Responsible AI Platform
🇳🇱 Nederlands

Annex VII AI Act

class="oj-doc-ti" id="d1e38-134-1">ZAŁĄCZNIK VII

Official text

id="anx_VII"> ZAŁĄCZNIK VII Zgodność opierająca się na ocenie systemu zarządzania jakością i ocenie dokumentacji technicznej 1.   Wprowadzenie Zgodność opierająca się na ocenie systemu zarządzania jakością i ocenie dokumentacji technicznej jest procedurą oceny zgodności przeprowadzaną na podstawie pkt 2–5. 2.   Informacje ogólne Zatwierdzony system zarządzania jakością w zakresie projektowania, rozwoju i testowania systemów AI zgodnie z art. 17 ocenia się zgodnie z pkt 3 i poddaje nadzorowi zgodnie z pkt 5. Dokumentację techniczną systemu AI ocenia się zgodnie z pkt 4. 3.   System zarządzania jakością

3.1.

Wniosek dostawcy zawiera:

a) imię i nazwisko lub nazwę i adres dostawcy oraz, jeśli wniosek jest składany przez upoważnionego przedstawiciela, również jego imię i nazwisko lub nazwę i adres;

b) wykaz systemów AI objętych tym samym systemem zarządzania jakością;

c) dokumentację techniczną każdego systemu AI objętego tym samym systemem zarządzania jakością;

d) dokumentację dotyczącą systemu zarządzania jakością, która obejmuje wszystkie aspekty wymienione w art. 17;

e) opis wprowadzonych procedur zapewniających stałą adekwatność i skuteczność systemu zarządzania jakością;

f) oświadczenie na piśmie, że tego samego wniosku nie złożono w innej jednostce notyfikowanej.

3.2.

System zarządzania jakością jest oceniany przez jednostkę notyfikowaną, która ustala, czy spełnia on wymogi, o których mowa w art. 17. O decyzji powiadamia się dostawcę lub jego upoważnionego przedstawiciela. Powiadomienie to zawiera wnioski z oceny systemu zarządzania jakością oraz decyzję dotyczącą dokonanej oceny wraz z uzasadnieniem.

3.3.

Zatwierdzony system zarządzania jakością jest dalej wdrażany i utrzymywany przez dostawcę, tak aby mógł zachować adekwatność i skuteczność.

3.4.

Dostawca powiadamia jednostkę notyfikowaną o wszelkich zamierzonych zmianach w zatwierdzonym systemie zarządzania jakością lub w wykazie systemów AI objętych tym systemem. Proponowane zmiany podlegają weryfikacji przeprowadzanej przez jednostkę notyfikowaną, która stwierdza, czy zmieniony system zarządzania jakością nadal spełnia wymogi, o których mowa w pkt 3.2, czy też konieczna jest jego ponowna ocena. Jednostka notyfikowana powiadamia dostawcę o swojej decyzji. Takie powiadomienie zawiera wnioski z weryfikacji zmian oraz decyzję dotyczącą dokonanej oceny wraz z uzasadnieniem.

4.   Kontrola dokumentacji technicznej

4.1.

Oprócz wniosku, o którym mowa w pkt 3, dostawca składa wniosek do wybranej przez siebie jednostki notyfikowanej o przeprowadzenie oceny dokumentacji technicznej dotyczącej systemu AI, który dostawca zamierza wprowadzić do obrotu lub oddać do użytku i który jest objęty systemem zarządzania jakością, o którym mowa w pkt 3.

4.2.

Wniosek zawiera:

a) imię i nazwisko lub nazwę i adres dostawcy;

b) oświadczenie na piśmie, że tego samego wniosku nie złożono w innej jednostce notyfikowanej;

c) dokumentację techniczną, o której mowa w załączniku IV.

4.3.

Analizy dokumentacji technicznej dokonuje jednostka notyfikowana. W stosownych przypadkach, i w zakresie ograniczonym do tego, co jest niezbędne do wykonywania zadań jednostki notyfikowanej, otrzymuje ona pełny dostęp do wykorzystywanych zbiorów danych treningowych, walidacyjnych i testowych, w tym, w stosownych przypadkach i z zastrzeżeniem gwarancji bezpieczeństwa, za pośrednictwem API lub innych odpowiednich środków i narzędzi technicznych umożliwiających zdalny dostęp.

4.4.

Analizując dokumentację techniczną, jednostka notyfikowana może zwrócić się do dostawcy o przedstawienie dalszych dowodów lub przeprowadzenie dalszych testów w celu umożliwienia właściwej oceny zgodności systemu AI z wymogami określonymi w rozdziale III sekcja 2. W przypadku gdy jednostka notyfikowana nie jest usatysfakcjonowana testami przeprowadzonymi przez dostawcę, przeprowadza sama bezpośrednio, stosownie do okoliczności, odpowiednie testy.

4.5.

W przypadku gdy jest to konieczne do oceny zgodności systemu AI wysokiego ryzyka z wymogami określonymi w rozdziale III sekcja 2, po wyczerpaniu wszystkich innych racjonalnych sposobów weryfikacji zgodności, które okazały się niewystarczające, jednostka notyfikowana uzyskuje – na uzasadniony wniosek – również dostęp do modeli treningowych i trenowanych systemu AI, w tym do odpowiednich jego parametrów. Taki dostęp podlega obowiązującym przepisom prawa Unii dotyczącym własności intelektualnej i tajemnic przedsiębiorstwa.

4.6.

O decyzji jednostki notyfikowanej powiadamia się dostawcę lub jego upoważnionego przedstawiciela. Powiadomienie to zawiera wnioski z oceny dokumentacji produktu oraz decyzję dotyczącą dokonanej oceny wraz z uzasadnieniem. W przypadku gdy system AI spełnia wymogi określone w rozdziale III sekcja 2, jednostka notyfikowana wydaje unijny certyfikat oceny dokumentacji technicznej. Certyfikat ten zawiera imię i nazwisko lub nazwę oraz adres dostawcy, wnioski z oceny, (ewentualne) warunki jego ważności oraz dane niezbędne do identyfikacji systemu AI. Certyfikat wraz z załącznikami musi zawierać wszystkie istotne informacje umożliwiające ocenę zgodności systemu AI oraz, w stosownych przypadkach, kontrolę systemu AI podczas jego wykorzystywania. W przypadku gdy system AI nie spełnia wymogów określonych w rozdziale III sekcja 2, jednostka notyfikowana odmawia wydania unijnego certyfikatu oceny dokumentacji technicznej i informuje o tym wnioskodawcę, podając szczegółowe uzasadnienie odmowy. W przypadku gdy system AI nie spełnia wymogu dotyczącego danych wykorzystywanych do jego trenowania, przed złożeniem wniosku o nową ocenę zgodności system AI należy poddać retrenowaniu. W takim przypadku decyzja jednostki notyfikowanej o odmowie wydania unijnego certyfikatu oceny dokumentacji technicznej wraz z uzasadnieniem zawiera szczegółowe uwagi na temat jakości danych wykorzystanych do treningu systemu AI, w szczególności na temat przyczyn niezgodności.

4.7.

Wszelkie zmiany w systemie AI, które mogłyby wpłynąć na zgodność systemu AI z wymogami lub jego przeznaczeniem, podlegają ocenie przez jednostkę notyfikowaną, która wydała unijny certyfikat oceny dokumentacji technicznej. Dostawca informuje taką jednostkę notyfikowaną, jeżeli zamierza wprowadzić wyżej wymienione zmiany lub jeżeli w inny sposób dowiedział się o ich zaistnieniu. Zamierzone zmiany ocenia jednostka notyfikowana, która decyduje, czy zmiany te wymagają przeprowadzenia nowej oceny zgodności zgodnie z art. 43 ust. 4, czy też można je uwzględnić w formie uzupełnienia unijnego certyfikatu oceny dokumentacji technicznej. W tym ostatnim przypadku jednostka notyfikowana ocenia zmiany, powiadamia dostawcę o swojej decyzji i, w przypadku zatwierdzenia zmian, wydaje dostawcy uzupełnienie unijnego certyfikatu oceny dokumentacji technicznej.

5.   Nadzór nad zatwierdzonym systemem zarządzania jakością

5.1.

Celem nadzoru sprawowanego przez jednostkę notyfikowaną, o której mowa w pkt 3, jest zapewnienie, aby dostawca należycie wywiązywał się z warunków, jakimi obwarowano zatwierdzony system zarządzania jakością.

5.2.

Do celów oceny dostawca umożliwia jednostce notyfikowanej dostęp do pomieszczeń, w których odbywa się projektowanie, rozwój i testowanie systemów AI. Dostawca udostępnia ponadto jednostce notyfikowanej wszystkie niezbędne informacje.

5.3.

Jednostka notyfikowana przeprowadza okresowe audyty, aby upewnić się, że dostawca utrzymuje i stosuje system zarządzania jakością, oraz przedstawia dostawcy sprawozdanie z audytu. W ramach tych audytów jednostka notyfikowana może przeprowadzać dodatkowe testy systemów AI, w odniesieniu do których wydano unijny certyfikat oceny dokumentacji technicznej.

Source: EUR-Lex, Regulation (EU) 2024/1689 — text reproduced verbatim.

📬 AI Act Weekly

Get the most important AI Act developments in your inbox every week.

Subscribe

Frequently asked questions

What does Annex VII of the AI Act describe?

Annex VII describes the conformity assessment procedure based on assessment of the quality management system and assessment of the technical documentation by a notified body.

When is the Annex VII procedure mandatory?

Annex VII is mandatory for biometric AI systems under Annex III, point 1 (remote identification, biometric categorisation, emotion recognition), unless fully harmonised standards have been applied and the provider opts for internal control (Annex VI).

What does the notified body assess?

The notified body assesses two things: (1) the quality management system for compliance with Article 17, and (2) the technical documentation of the AI system for compliance with Chapter III, Section 2 requirements.

Can the notified body demand access to training data?

Yes, point 4.3 states that the notified body, where relevant and limited to its tasks, shall be granted full access to training, validation and testing datasets, including through API or other technical means for remote access where appropriate.

What if the notified body rejects my technical documentation?

The notified body will refuse the EU certificate and inform the provider with detailed reasons. If the issue relates to training data, the AI system must be retrained before a new conformity assessment.

How long is the certificate valid?

The certificate contains its validity conditions. The notified body conducts periodic audits (point 5.3) to verify the quality management system is maintained. Changes to the AI system may require reassessment (point 4.7).

What must I submit to the notified body?

Point 3.1 requires: (a) provider name and address, (b) list of AI systems under the QMS, (c) technical documentation per AI system, (d) QMS documentation, (e) procedures for adequacy, and (f) declaration that no other notified body has been approached.

Can the notified body also access the trained model?

Yes, point 4.5 states that in exceptional cases, after exhausting other means and upon reasoned request, the notified body may also access the trained model and relevant parameters, subject to IP and trade secret protections.