Responsible AI Platform
🇳🇱 Nederlands

Annex VII AI Act

Atitiktis, grindžiama kokybės valdymo sistemos vertinimu ir techninių dokumentų vertinimu

Official text

id="anx_VII "> VII PRIEDAS Atitiktis, grindžiama kokybės valdymo sistemos vertinimu ir techninių dokumentų vertinimu 1.   Įvadas Atitiktis, grindžiama kokybės valdymo sistemos vertinimu ir techninių dokumentų vertinimu, yra atitikties vertinimo procedūra pagal 2–5 punktus. 2.   Apžvalga Patvirtinta kokybės valdymo sistema, skirta DI sistemoms projektuoti, kurti ir bandyti pagal 17 straipsnį, nagrinėjama pagal 3 punktą ir jai taikoma 5 punkte nurodyta priežiūra. DI sistemos techniniai dokumentai nagrinėjami pagal 4 punktą. 3.   Kokybės valdymo sistema

3.1.

Tiekėjo paraiškoje nurodomas (pateikiamas):

a) tiekėjo pavadinimas (vardas ir pavardė) ir adresas, o jei paraišką pateikia įgaliotasis atstovas – ir to atstovo pavadinimas (vardas ir pavardė) ir adresas;

b) DI sistemų, kurioms taikoma ta pati kokybės valdymo sistema, sąrašas;

c) kiekvienos DI sistemos, kuriai taikoma ta pati kokybės valdymo sistema, techniniai dokumentai;

d) dokumentai, susiję su kokybės valdymo sistema, kurie apima visus 17 straipsnyje išvardytus aspektus;

e) taikomų procedūrų siekiant užtikrinti, kad kokybės valdymo sistema išliktų tinkama ir veiksminga, aprašymas;

f) rašytinis pareiškimas, kad tokia pati paraiška nebuvo pateikta jokiai kitai notifikuotajai įstaigai.

3.2.

Kokybės valdymo sistemą įvertina notifikuotoji įstaiga siekdama nustatyti, ar sistema atitinka 17 straipsnyje nurodytus reikalavimus. Apie sprendimą pranešama tiekėjui arba jo įgaliotajam atstovui. Pranešime pateikiamos kokybės valdymo sistemos vertinimo išvados ir motyvuotas sprendimas dėl įvertinimo.

3.3.

Tiekėjas toliau įgyvendina ir prižiūri patvirtintą kokybės valdymo sistemą, kad ji išliktų tinkama ir veiksminga.

3.4.

Apie bet kokį numatytą patvirtintos kokybės valdymo sistemos arba DI sistemų, kurioms taikoma minėta kokybės valdymo sistema, sąrašo pakeitimą tiekėjas praneša notifikuotajai įstaigai. Notifikuotoji įstaiga išnagrinėja siūlomus pakeitimus ir nusprendžia, ar pakeista kokybės valdymo sistema ir toliau atitinka 3.2 punkte nurodytus reikalavimus, ar kokybės valdymo sistemą reikia įvertinti iš naujo. Notifikuotoji įstaiga savo sprendimą praneša tiekėjui. Pranešime pateikiamos pakeitimų nagrinėjimo išvados ir motyvuotas sprendimas dėl įvertinimo.

4.   Techninių dokumentų kontrolė.

4.1.

Be 3 punkte nurodytos paraiškos, tiekėjas teikia pasirinktai notifikuotajai įstaigai paraišką, kad būtų įvertinti techniniai dokumentai, susiję su DI sistema, kurią tiekėjas ketina pateikti rinkai arba pradėti naudoti ir kuriai taikoma 3 punkte nurodyta kokybės valdymo sistema.

4.2.

Paraiškoje nurodoma:

a) tiekėjo pavadinimas (vardas ir pavardė) ir adresas;

b) rašytinis pareiškimas, kad tokia pati paraiška nebuvo pateikta jokiai kitai notifikuotajai įstaigai;

c) techniniai dokumentai, nurodyti IV priede.

4.3.

Techninius dokumentus nagrinėja notifikuotoji įstaiga. Kai aktualu ir neviršijama to, kas būtina notifikuotosios įstaigos užduotims atlikti, jai suteikiama visapusiška prieiga prie naudojamų mokymo, validavimo ir bandymo duomenų rinkinių, įskaitant, kai tinkama ir taikant apsaugos priemones, API arba kitas atitinkamas technines priemones ir įrankius, kurie sudaro sąlygas nuotolinei prieigai.

4.4.

Nagrinėdama techninius dokumentus notifikuotoji įstaiga gali prašyti, kad tiekėjas pateiktų papildomų įrodymų arba atliktų tolesnius bandymus ir taip sudarytų sąlygas tinkamai įvertinti DI sistemos atitiktį III skyriaus 2 skirsnyje nustatytiems reikalavimams. Visais atvejais, kai notifikuotosios įstaigos netenkina tiekėjo atlikti bandymai, notifikuotoji įstaiga, kai tinkama, pati tiesiogiai atlieka tinkamus bandymus.

4.5.

Kai būtina įvertinti didelės rizikos DI sistemos atitiktį III skyriaus 2 skirsnyje nustatytiems reikalavimams, išnaudojus visus kitus pagrįstus atitikties tikrinimo būdus ir paaiškėjus, kad jų nepakanka, ir gavus pagrįstą prašymą, notifikuotajai įstaigai taip pat suteikiama prieiga prie DI sistemos mokymo ir išmokytų modelių, įskaitant atitinkamus sistemos parametrus. Tokiai prieigai taikoma galiojanti Sąjungos teisė dėl intelektinės nuosavybės ir komercinių paslapčių apsaugos.

4.6.

Apie notifikuotosios įstaigos sprendimą pranešama tiekėjui arba jo įgaliotajam atstovui. Pranešime pateikiamos techninių dokumentų vertinimo išvados ir motyvuotas sprendimas dėl įvertinimo. Jeigu DI sistema atitinka III skyriaus 2 skirsnyje nustatytus reikalavimus, notifikuotoji įstaiga išduoda Sąjungos techninių dokumentų įvertinimo sertifikatą. Sertifikate nurodomas tiekėjo pavadinimas (vardas ir pavardė) ir adresas, nagrinėjimo išvados, jo galiojimo sąlygos (jei yra) ir DI sistemos identifikavimui būtini duomenys. Sertifikate ir jo prieduose pateikiama visa atitinkama informacija, kad būtų sudarytos sąlygos DI sistemos atitikčiai įvertinti ir, kai taikytina, DI sistemai kontroliuoti tuo metu, kai ji naudojama. Jeigu DI sistema neatitinka III skyriaus 2 skirsnyje nustatytų reikalavimų, notifikuotoji įstaiga atsisako išduoti Sąjungos techninių dokumentų įvertinimo sertifikatą ir atitinkamai informuoja pareiškėją, nurodydama išsamias atsisakymo priežastis. Jeigu DI sistema neatitinka reikalavimo, susijusio su jos mokymui naudotais duomenimis, prieš pateikiant paraišką dėl naujo DI sistemos atitikties vertinimo, sistema turės būti pakartotinai mokoma. Šiuo atveju notifikuotosios įstaigos pagrįstame sprendime dėl vertinimo, kuriuo atsisakoma išduoti Sąjungos techninių dokumentų įvertinimo sertifikatą, nurodomos konkrečios aplinkybės, susijusios su duomenų, naudotų mokant DI sistemą, kokybe, visų pirma su neatitikties priežastimis.

4.7.

Bet kurį DI sistemos pakeitimą, kuris galėtų turėti įtakos DI sistemos atitikčiai reikalavimams arba jos numatytajai paskirčiai, įvertina Sąjungos techninių dokumentų įvertinimo sertifikatą išdavusi notifikuotoji įstaiga. Tiekėjas informuoja tokią notifikuotąją įstaigą apie savo ketinimą atlikti bet kurį iš pirmiau minėtų pakeitimų arba jeigu jis kitais būdais sužino apie tokius pakeitimus. Notifikuotoji įstaiga įvertina numatomus pakeitimus ir nusprendžia, ar dėl tų pakeitimų reikia atlikti naują atitikties vertinimą pagal 43 straipsnio 4 dalį, ar dėl jų galima išduoti Sąjungos techninių dokumentų įvertinimo sertifikato papildymą. Pastaruoju atveju notifikuotoji įstaiga įvertina pakeitimus, praneša tiekėjui apie savo sprendimą ir, jei pakeitimai patvirtinami, pateikia jam Sąjungos techninių dokumentų įvertinimo sertifikato papildymą.

5.   Patvirtintos kokybės valdymo sistemos priežiūra.

5.1.

Notifikuotosios įstaigos atliekamos priežiūros pagal 3 punktą tikslas – užtikrinti, kad tiekėjas tinkamai laikytųsi patvirtintos kokybės valdymo sistemos sąlygų.

5.2.

Vertinimo tikslais tiekėjas leidžia notifikuotajai įstaigai patekti į patalpas, kuriose kuriamos, plėtojamos ir bandomos DI sistemos. Tiekėjas su notifikuotąja įstaiga toliau dalijasi visa būtina informacija.

5.3.

Siekdama užtikrinti, kad tiekėjas nuolat taikytų kokybės valdymo sistemą, notifikuotoji įstaiga periodiškai vykdo auditą ir tiekėjui pateikia audito ataskaitas. Šių auditų kontekste notifikuotoji įstaiga gali atlikti papildomus DI sistemos, dėl kurios buvo išduotas Sąjungos techninių dokumentų įvertinimo sertifikatas, bandymus.

Source: EUR-Lex, Regulation (EU) 2024/1689 — text reproduced verbatim.

📬 AI Act Weekly

Get the most important AI Act developments in your inbox every week.

Subscribe

Frequently asked questions

What does Annex VII of the AI Act describe?

Annex VII describes the conformity assessment procedure based on assessment of the quality management system and assessment of the technical documentation by a notified body.

When is the Annex VII procedure mandatory?

Annex VII is mandatory for biometric AI systems under Annex III, point 1 (remote identification, biometric categorisation, emotion recognition), unless fully harmonised standards have been applied and the provider opts for internal control (Annex VI).

What does the notified body assess?

The notified body assesses two things: (1) the quality management system for compliance with Article 17, and (2) the technical documentation of the AI system for compliance with Chapter III, Section 2 requirements.

Can the notified body demand access to training data?

Yes, point 4.3 states that the notified body, where relevant and limited to its tasks, shall be granted full access to training, validation and testing datasets, including through API or other technical means for remote access where appropriate.

What if the notified body rejects my technical documentation?

The notified body will refuse the EU certificate and inform the provider with detailed reasons. If the issue relates to training data, the AI system must be retrained before a new conformity assessment.

How long is the certificate valid?

The certificate contains its validity conditions. The notified body conducts periodic audits (point 5.3) to verify the quality management system is maintained. Changes to the AI system may require reassessment (point 4.7).

What must I submit to the notified body?

Point 3.1 requires: (a) provider name and address, (b) list of AI systems under the QMS, (c) technical documentation per AI system, (d) QMS documentation, (e) procedures for adequacy, and (f) declaration that no other notified body has been approached.

Can the notified body also access the trained model?

Yes, point 4.5 states that in exceptional cases, after exhausting other means and upon reasoned request, the notified body may also access the trained model and relevant parameters, subject to IP and trade secret protections.