Responsible AI Platform
🇳🇱 Nederlands

Annex VII AI Act

class="oj-doc-ti" id="d1e38-134-1">VII. MELLÉKLET

Official text

id="anx_VII"> VII. MELLÉKLET A minőségirányítási rendszer értékelésén és a műszaki dokumentáció értékelésén alapuló megfelelőség 1.   Bevezetés A minőségirányítási rendszer értékelésén és a műszaki dokumentáció értékelésén alapuló megfelelőség a 2–5. ponton alapuló megfelelőségértékelési eljárás. 2.   Áttekintés Az MI-rendszerek megtervezésére, fejlesztésére és tesztelésére szolgáló, a 17. cikk szerinti jóváhagyott minőségirányítási rendszert a 3. ponttal összhangban meg kell vizsgálni, és annak az 5. pontban meghatározott felügyelet tárgyát kell képeznie. Az MI-rendszer műszaki dokumentációját a 4. ponttal összhangban meg kell vizsgálni. 3.   Minőségirányítási rendszer

3.1.

A szolgáltató kérelmének a következőket kell tartalmaznia:

a) a szolgáltató neve és címe, és amennyiben a kérelmet a meghatalmazott képviselő nyújtja be, a meghatalmazott képviselő neve és címe;

b) az ugyanazon minőségirányítási rendszer hatálya alá tartozó MI-rendszerek jegyzéke;

c) az ugyanazon minőségirányítási rendszer hatálya alá tartozó minden egyes MI-rendszer műszaki dokumentációja;

d) a minőségirányítási rendszerre vonatkozó dokumentáció, amelynek a 17. cikkben felsorolt valamennyi szempontra ki kell terjednie;

e) az olyan eljárások leírása, amelyek biztosítják, hogy a minőségirányítási rendszer megfelelő és hatékony maradjon;

f) írásos nyilatkozat arról, hogy a szolgáltató ugyanazt a kérelmet más bejelentett szervezethez nem nyújtotta be.

3.2.

A bejelentett szervezetnek értékelnie kell a minőségirányítási rendszert, és meg kell állapítania, hogy az megfelel-e a 17. cikkben meghatározott követelményeknek. A határozatról értesíteni kell a szolgáltatót vagy annak meghatalmazott képviselőjét. Az értesítésnek tartalmaznia kell a minőségirányítási rendszer értékelése alapján levont következtetéseket és az indokolással ellátott értékelési határozatot.

3.3.

A jóváhagyott minőségirányítási rendszert a szolgáltatónak továbbra is alkalmaznia kell és karban kell tartania annak érdekében, hogy az megfelelő és hatékony maradjon.

3.4.

A szolgáltatónak fel kell hívnia a bejelentett szervezet figyelmét a jóváhagyott minőségirányítási rendszer vagy az ilyen rendszer hatálya alá tartozó MI-rendszerek jegyzékének bármely tervezett módosítására. A bejelentett szervezetnek meg kell vizsgálnia a javasolt módosításokat, majd el kell döntenie, hogy a módosított minőségirányítási rendszer a továbbiakban is megfelel-e a 3.2. pontban említett követelményeknek vagy újabb értékelésre van szükség. A bejelentett szervezetnek értesítenie kell a szolgáltatót a határozatáról. Az értesítésnek tartalmaznia kell a változtatások értékelése alapján levont következtetéseket és az indokolással ellátott értékelési határozatot.

4.   A műszaki dokumentáció ellenőrzése.

4.1.

A 3. pontban említett kérelem mellett a szolgáltatónak kérelmet kell benyújtania az általa választott bejelentett szervezethez a szolgáltató által forgalomba hozni vagy üzembe helyezni kívánt, a 3. pontban említett minőségirányítási rendszer hatálya alá tartozó MI-rendszerrel kapcsolatos műszaki dokumentáció értékelése céljából.

4.2.

A kérelemnek a következőket kell tartalmaznia:

a) a szolgáltató neve és címe;

b) írásos nyilatkozat arról, hogy a szolgáltató ugyanazt a kérelmet más bejelentett szervezethez nem nyújtotta be;

c) a IV. mellékletben említett műszaki dokumentáció.

4.3.

A bejelentett szervezetnek meg kell vizsgálnia a műszaki dokumentációt. Adott esetben és a feladatainak ellátásához szükséges mértékre korlátozva, a bejelentett szervezet számára többek között – adott esetben és biztonsági garanciák mellett – API-kon vagy távoli hozzáférést lehetővé tevő egyéb releváns műszaki megoldásokon és eszközökön keresztül teljes körű hozzáférést kell biztosítani az alkalmazott tanító-, validálási és tesztelő adatkészletekhez.

4.4.

A műszaki dokumentáció vizsgálata során a bejelentett szervezet előírhatja, hogy a szolgáltató nyújtson be további bizonyítékokat, vagy végezzen további vizsgálatokat annak érdekében, hogy lehetővé tegye annak megfelelő értékelését, hogy az MI-rendszer megfelel-e a III. fejezet 2. szakaszában meghatározott követelményeknek. Amennyiben a bejelentett szervezet nem elégedett a szolgáltató által elvégzett vizsgálatokkal, a bejelentett szervezetnek adott esetben közvetlenül saját magának kell elvégeznie a megfelelő vizsgálatokat.

4.5.

Amennyiben ez szükséges annak értékeléséhez, hogy a nagy kockázatú MI-rendszer megfelel-e a III. fejezet 2. szakaszában meghatározott követelményeknek, miután a megfelelőség ellenőrzésére szolgáló minden egyéb észszerű megoldást kimerítettek, és azok elégtelennek bizonyultak, továbbá indokolással ellátott kérésre a bejelentett szervezet számára hozzáférést kell biztosítani az MI-rendszer tanító- és tanított modelljeihez, ideértve annak releváns paramétereit is. Az ilyen hozzáférésre a szellemi tulajdon és az üzleti titkok védelmére vonatkozó meglévő uniós jog alkalmazandó.

4.6.

A bejelentett szervezet határozatáról értesíteni kell a szolgáltatót vagy annak meghatalmazott képviselőjét. Az értesítésnek tartalmaznia kell a műszaki dokumentáció értékelése alapján levont következtetéseket és az indokolással ellátott értékelési határozatot. Amennyiben az MI-rendszer megfelel a III. fejezet 2. szakaszában foglalt követelményeknek, a bejelentett szervezetnek ki kell állítania a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítványt. A tanúsítványnak tartalmaznia kell a szolgáltató nevét és címét, a vizsgálat következtetéseit, a tanúsítvány érvényességének (esetleges) feltételeit és az MI-rendszer azonosításához szükséges adatokat. A tanúsítványnak és mellékleteinek tartalmazniuk kell minden olyan lényeges információt, amely lehetővé teszi az MI-rendszer megfelelőségének értékelését, és adott esetben lehetővé teszi az MI-rendszer használat közbeni ellenőrzését. Amennyiben az MI-rendszer nem felel meg a III. fejezet 2. szakaszában foglalt követelményeknek, a bejelentett szervezetnek meg kell tagadnia a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítvány kiállítását, és az elutasítás részletes indokolásával együtt tájékoztatnia kell erről a kérelmezőt. Amennyiben az MI-rendszer nem felel meg a tanításhoz használt adatokra vonatkozó követelménynek, az új megfelelőségértékelés iránti kérelem benyújtása előtt újra kell tanítani az MI-rendszert. Ebben az esetben a bejelentett szervezet által hozott, a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítvány kiállítását elutasító, indokolással ellátott értékelési határozatnak konkrét megfontolásokat kell tartalmaznia az MI-rendszer tanításához használt minőségi adatokra, különösen a meg nem felelés okaira vonatkozóan.

4.7.

A műszaki dokumentáció értékelésére vonatkozó uniós tanúsítványt kiállító bejelentett szervezet értékelése szükséges az MI-rendszer minden olyan módosításához, amely érintheti az MI-rendszer követelményeknek való megfelelését vagy rendeltetését. A szolgáltatónak tájékoztatnia kell a bejelentett szervezetet azon szándékáról, hogy be kívánja vezetni a fent említett változtatások bármelyikét, vagy arról, ha egyébként tudomást szerez ilyen változtatások bekövetkezéséről. A bejelentett szervezetnek értékelnie kell a tervezett változtatásokat, és döntenie kell arról, hogy a 43. cikk (4) bekezdésének megfelelően szükség van-e új megfelelőségértékelésre, vagy elegendő a jóváhagyást a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítvány kiegészítésével megadni. Utóbbi esetben a bejelentett szervezetnek értékelnie kell a változtatásokat, határozatáról értesítenie kell a szolgáltatót, és amennyiben a változtatásokat jóváhagyja, ki kell állítania a szolgáltató számára a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítvány kiegészítését.

5.   A jóváhagyott minőségirányítási rendszer felügyelete.

5.1.

A 3. pontban említett bejelentett szervezet által gyakorolt felügyelet célja annak biztosítása, hogy a szolgáltató megfelelően megfeleljen a jóváhagyott minőségirányítási rendszer feltételeinek.

5.2.

Értékelés céljából a szolgáltatónak hozzáférést kell biztosítania a bejelentett szervezet számára az MI-rendszerek tervezésének, fejlesztésének és tesztelésének helyszínéhez. A szolgáltatónak továbbá minden szükséges információt meg kell osztania a bejelentett szervezettel.

5.3.

A bejelentett szervezetnek időszakos ellenőrzéseket kell végeznie, hogy megbizonyosodjon arról, hogy a szolgáltató fenntartja és alkalmazza-e a minőségirányítási rendszert, továbbá erről ellenőrzési jelentést kell készítenie a szolgáltatónak. Az ilyen ellenőrzések keretében a bejelentett szervezet további vizsgálatokat végezhet azokkal az MI-rendszerekkel kapcsolatban, amelyek tekintetében a műszaki dokumentáció értékelésére vonatkozó uniós tanúsítvány kiállítására került sor.

Source: EUR-Lex, Regulation (EU) 2024/1689 — text reproduced verbatim.

📬 AI Act Weekly

Get the most important AI Act developments in your inbox every week.

Subscribe

Frequently asked questions

What does Annex VII of the AI Act describe?

Annex VII describes the conformity assessment procedure based on assessment of the quality management system and assessment of the technical documentation by a notified body.

When is the Annex VII procedure mandatory?

Annex VII is mandatory for biometric AI systems under Annex III, point 1 (remote identification, biometric categorisation, emotion recognition), unless fully harmonised standards have been applied and the provider opts for internal control (Annex VI).

What does the notified body assess?

The notified body assesses two things: (1) the quality management system for compliance with Article 17, and (2) the technical documentation of the AI system for compliance with Chapter III, Section 2 requirements.

Can the notified body demand access to training data?

Yes, point 4.3 states that the notified body, where relevant and limited to its tasks, shall be granted full access to training, validation and testing datasets, including through API or other technical means for remote access where appropriate.

What if the notified body rejects my technical documentation?

The notified body will refuse the EU certificate and inform the provider with detailed reasons. If the issue relates to training data, the AI system must be retrained before a new conformity assessment.

How long is the certificate valid?

The certificate contains its validity conditions. The notified body conducts periodic audits (point 5.3) to verify the quality management system is maintained. Changes to the AI system may require reassessment (point 4.7).

What must I submit to the notified body?

Point 3.1 requires: (a) provider name and address, (b) list of AI systems under the QMS, (c) technical documentation per AI system, (d) QMS documentation, (e) procedures for adequacy, and (f) declaration that no other notified body has been approached.

Can the notified body also access the trained model?

Yes, point 4.5 states that in exceptional cases, after exhausting other means and upon reasoned request, the notified body may also access the trained model and relevant parameters, subject to IP and trade secret protections.