Artykuł 43: Ocena zgodności
Na potrzeby oceny zgodności dostawcy systemów AI wysokiego ryzyka wymienionych w załączniku III pkt 1 (obszar danych biometrycznych), którzy stosują normy zharmonizowane lub wspólne specyfikacje, muszą dokonać wyboru między kontrolą wewnętrzną a oceną z udziałem jednostki notyfikowanej. Jeżeli normy te nie są w pełni stosowane bądź są ograniczone lub jeżeli wspólne specyfikacje nie były dostępne lub nie były stosowane przez dostawcę, wymagana jest ocena z udziałem jednostki notyfikowanej.
W przypadku systemów AI wysokiego ryzyka wymienionych w załączniku III pkt 2–8 dostawcy muszą przeprowadzić ocenę zgodności opartą na kontroli wewnętrznej, bez udziału jednostki notyfikowanej.
W przypadku systemów AI wysokiego ryzyka objętych obowiązującymi przepisami UE wymienionymi w sekcji A załącznika I dostawca musi przestrzegać odpowiednich procedur oceny zgodności, a jednostki notyfikowane muszą zapewnić zgodność z wymogami dotyczącymi AI. Istotne zmiany w systemach AI wymagają nowych ocen zgodności, z wyjątkiem z góry zaplanowanych zmian w systemach, które nadal się uczą.
Systemy AI wysokiego ryzyka muszą zostać poddane nowej ocenie zgodności, jeżeli zostały istotnie zmienione, chyba że zmiany zostały z góry zaplanowane i udokumentowane. Komisja może aktualizować załączniki i procedury oceny zgodności w drodze aktów delegowanych, biorąc pod uwagę skuteczność kontroli wewnętrznej i zdolności jednostek notyfikowanych.
Certyfikaty wydawane przez jednostki notyfikowane muszą być sporządzone w języku zrozumiałym dla właściwych organów i być ważne przez okres do pięciu lat w przypadku systemów wymienionych w załączniku I i czterech lat w przypadku systemów wymienionych w załączniku III, z możliwością przedłużenia. Jeżeli system AI przestanie spełniać wymogi, jednostka notyfikowana może zawiesić, cofnąć lub ograniczyć certyfikat, chyba że dostawca podejmie działania naprawcze. W odniesieniu do decyzji podejmowanych przez jednostki notyfikowane dostępna jest procedura odwoławcza.
Podsumowania mają służyć jako pomocne wyjaśnienia, ale nie są prawnie wiążące.
1. W odniesieniu do systemów AI wysokiego ryzyka wymienionych w załączniku III pkt 1, w przypadku gdy do wykazania zgodności systemu AI wysokiego ryzyka z wymogami ustanowionymi w sekcji 2 dostawca zastosował normy zharmonizowane, o których mowa w art. 40, lub, w stosownych przypadkach, wspólne specyfikacje, o których mowa w art. 41, dostawca wybiera jedną z następujących procedur oceny zgodności w oparciu o:
Przy wykazywaniu zgodności systemu AI wysokiego ryzyka z wymogami ustanowionymi w sekcji 2 dostawca postępuje zgodnie z procedurą oceny zgodności ustanowioną w załączniku VII, w przypadku gdy:
Na potrzeby procedury oceny zgodności, o której mowa w załączniku VII, dostawca może wybrać dowolną jednostkę notyfikowaną. Jednak w przypadku gdy system ma zostać oddany do użytku przez organy ścigania, organy imigracyjne lub organy azylowe lub przez instytucje, organy i jednostki organizacyjne Unii, funkcję jednostki notyfikowanej pełni organ nadzoru rynku, o którym mowa odpowiednio w art. 74 ust. 8 lub ust. 9.
2. W przypadku systemów AI wysokiego ryzyka, o których mowa w załączniku III pkt 2–8, dostawcy postępują zgodnie z procedurą oceny zgodności opierającą się na kontroli wewnętrznej, o której mowa w załączniku VI i która nie przewiduje udziału jednostki notyfikowanej.
3. W przypadku systemów AI wysokiego ryzyka objętych zakresem stosowania unijnego prawodawstwa harmonizacyjnego wymienionego w załączniku I sekcja A, dostawca postępuje zgodnie z odpowiednią procedurą oceny zgodności wymaganą na podstawie tych aktów prawnych. W odniesieniu do tego rodzaju systemów AI wysokiego ryzyka zastosowanie mają wymogi ustanowione w sekcji 2 niniejszego rozdziału i stanowią one jeden z elementów tej oceny. Zastosowanie mają również przepisy załącznika VII pkt 4.3, pkt 4.4, pkt 4.5 i pkt 4.6 akapit piąty.
Na potrzeby tej oceny jednostki notyfikowane, które notyfikowano zgodnie z tymi aktami prawnymi, są uprawnione do przeprowadzania kontroli zgodności systemów AI wysokiego ryzyka z wymogami ustanowionymi w sekcji 2, o ile zgodność tych jednostek notyfikowanych z wymogami ustanowionymi w art. 31 ust. 4, 5, 10 i 11 została oceniona w kontekście procedury notyfikacyjnej przewidzianej w tych aktach prawnych.
W przypadku gdy akt prawny wymieniony w załączniku I sekcja A zapewnia producentowi produktu możliwość zrezygnowania z oceny zgodności przeprowadzanej przez stronę trzecią, pod warunkiem że producent ten zapewnił zgodność ze wszystkimi normami zharmonizowanymi obejmującymi wszystkie stosowne wymogi, taki producent może skorzystać z tej możliwości wyłącznie w przypadku, gdy zapewnił również zgodność z normami zharmonizowanymi lub – w stosownych przypadkach – wspólnymi specyfikacjami, o których mowa w art. 41, obejmującymi wszystkie wymogi ustanowione w sekcji 2 niniejszego rozdziału.
4. Systemy AI wysokiego ryzyka, które poddano już procedurze oceny zgodności, poddaje się nowej procedurze oceny zgodności w przypadku gdy wprowadza się w nich istotne zmiany, niezależnie od tego, czy zmieniony system jest przeznaczony do dalszej dystrybucji lub czy ma być nadal wykorzystywany przez obecny podmiot stosujący.
W przypadku systemów AI wysokiego ryzyka, które nadal uczą się po wprowadzeniu ich do obrotu lub po oddaniu ich do użytku, istotnej zmiany nie stanowią zmiany w systemie AI wysokiego ryzyka i jego skuteczności działania, które dostawca z góry zaplanował w chwili przeprowadzania początkowej oceny zgodności i które są częścią informacji zawartych w dokumentacji technicznej, o której mowa w pkt 2 lit. f) załącznika IV.
5. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 97 w celu zmiany załączników VI i VII poprzez ich zmianę w świetle postępu technicznego.
6. Komisja jest uprawniona do przyjmowania aktów delegowanych zgodnie z art. 97 w celu zmiany ust. 1 i 2 niniejszego artykułu, aby objąć systemy AI wysokiego ryzyka, o których mowa w załączniku III pkt 2–8, procedurą oceny zgodności, o której mowa w załączniku VII, lub elementami tej procedury. Komisja przyjmuje takie akty delegowane, biorąc pod uwagę skuteczność procedury oceny zgodności opierającej się na kontroli wewnętrznej, o której mowa w załączniku VI, w zapobieganiu ryzyku dla zdrowia i bezpieczeństwa oraz ryzyku związanemu z ochroną praw podstawowych stwarzanemu przez takie systemy lub minimalizowaniu takiego ryzyka, a także uwzględniając dostępność odpowiednich zdolności i zasobów wśród jednostek notyfikowanych.