Checklist obligatii furnizor pentru fondatori si lideri compliance

Obligatiile furnizorului trebuie verificate inainte de vanzare, lansare, schimbare materiala sau review enterprise. Checklistul decide daca firma este furnizor, identifica activul AI, traseul de risc, obligatiile, dovezile si momentul reevaluarii.

1. Confirma activul AI

Nu evalua generic "AI in produs". Identifica sistemul, integrarea de model, scoringul, recomandarea, API-ul, instrumentul intern sau modelul GPAI. Noteaza aria, ownerul, faza, utilizatorii, persoanele afectate, datele, sursa modelului, vendorul si parcursul clientului.

2. Decide rolul AI Act

Documenteaza daca firma este furnizor, deployer, importator, distribuitor, producator, furnizor GPAI sau are mai multe roluri. Explica cine defineste scopul, vinde functia, controleaza UX, schimba praguri si livreaza instructiuni clientilor.

3. Verifica lantul valoric

Articolul 25 conteaza cand echipa white-label, fine-tune, reconfigureaza sau vinde un sistem tert ca produs propriu. Intreaba daca clientul vede vendorul, daca marca ta este folosita, daca scopul sau comportamentul se schimba si daca documentele vendorului ajung.

4. Clasifica riscul

Conecteaza checklistul la clasificarea AI. Noteaza daca activul este interzis, high-risk, transparenta, risc minim, GPAI sau in afara scopului. Pentru posibil high-risk, documenteaza use case, scop, persoane afectate, supraveghere umana si consecinta outputului.

5. Mapeaza obligatii high-risk

Pentru high-risk, articolul 16 cere owneri pentru cerinte, sistem de calitate, documentatie tehnica, loguri sub controlul furnizorului, conformitate, declaratie UE, CE, inregistrare, actiuni corective, cooperare cu autoritatile si accesibilitate.

6. Separa GPAI

Daca firma poate furniza un model GPAI, evalueaza articolul 53 separat: documentatie tehnica, informatii downstream, politica de copyright, rezumat public de training, cooperare cu autoritatile si standarde sau coduri. Folosirea unui model tert nu este suficienta.

7. Construieste pachetul de dovezi

Pastreaza rol, clasificare, documente vendor, documentatie tehnica, teste, supraveghere umana, loguri, securitate, instructiuni client, ticket release, risc rezidual, monitorizare, incident route si reevaluare. Organizeaza dupa decizii.

8. Pregateste documentatia clientului

Clientii pot cere scop, limite, supraveghere, monitorizare, utilizari suportate, dependente de model, date, notificari de schimbare si suport. Sales, trust center, help, contracte si chestionare trebuie sa foloseasca aceeasi sursa aprobata.

9. Defineste monitorizare si corectie

Atribuie owner pentru incidente, plangeri, update-uri vendor, drift model, escaladari si corectii. Defineste cand opresti, notifici clientii, actualizezi instructiuni sau escaladezi la legal si compliance.

10. Stabileste declansatori de reevaluare

Redeschide checklistul pentru scop nou, segment nou, mai multa automatizare, mai putin review uman, date noi, schimbare de model vendor, context high-risk, incident sau guidance oficial nou.

FAQ

Care este scopul practic?

Sa arate rolul, obligatiile, dovezile, instructiunile clientilor, monitorizarea si reevaluarea sistemului AI oferit sau modificat.

Cand se aplica SaaS?

Cand echipa dezvolta sau comanda un sistem AI, il vinde sub nume propriu, modifica un sistem high-risk, schimba scopul sau furnizeaza un model GPAI.

Ce documentezi mai intai?

Un registru per workflow AI: rol, clasificare, obligatii, owner dovezi, documente tehnice, documentatie client, monitorizare, blocaje launch si reevaluare.