Co dokładnie uzgodniono

Komunikat Rady Unii Europejskiej z 7 maja 2026 i równoległa nota IAPP AI Governance Center potwierdzają pięć zmian. Pełny tekst nie jest jeszcze dostępny - to porozumienie polityczne, nie ostateczna ustawa.

Annex III - przesunięcie
2 sierpnia 2026 → 2 grudnia 2027
Annex I - przesunięcie
2 sierpnia 2026 → 2 sierpnia 2028
Art. 50(2) watermarking
Przesunięty na 2 grudnia 2026
Status
Porozumienie polityczne · tekst formalny pending

Pięć kluczowych elementów porozumienia:

  1. Przesunięcie egzekucji dla systemów wysokiego ryzyka. Annex III (rekrutacja, edukacja, kredyt, biometria, infrastruktura krytyczna, ściganie, wymiar sprawiedliwości, migracja) - z 2 sierpnia 2026 na 2 grudnia 2027. Annex I (urządzenia medyczne, maszyny, zabawki, dźwigi, łodzie regulowane sektorowo) - na 2 sierpnia 2028. Daty są twarde, niezależne od dostępności standardów technicznych ani wytycznych Komisji.
  2. Nudification i CSAM dodane do listy zakazanych praktyk. Art. 5 obejmie systemy AI generujące non-consensual sexual lub intimate content oraz Child Sexual Abuse Material. Safe-harbour dla systemów z efektywnymi prewencyjnymi zabezpieczeniami.
  3. Rejestracja w bazie unijnej pozostaje obowiązkowa. Również dla dostawców systemów "exempted" - nie zaklasyfikowanych jako wysokie ryzyko z mocy derogacji. Pierwotna propozycja Komisji uproszczenia tego wymogu została ograniczona przez Parlament i Radę.
  4. Watermarking i wykrywanie GenAI - skompresowane. Art. 50(2) (transparency obligations dla generative AI output) miał sześciomiesięczny grace period. Skompresowano go do trzech. Nowa data wejścia: 2 grudnia 2026 - siedem miesięcy od dziś.
  5. Przetwarzanie wrażliwych danych dla bias correction - szerszy zakres. Organizacje będą mogły legalnie przetwarzać sensitive personal data dla wykrywania i korygowania biasów - ale nadal "strictly necessary" i tylko dla określonych typów uprzedzeń.

Zmiany terminów to nagłówek. Struktura aktu pozostaje. Logika klasyfikacji ryzyka, obowiązki art. 9 dla dostawców systemów wysokiego ryzyka, definicje, kary - wszystko trzyma się oryginalnego projektu. Trilog jeszcze nie zamknięty, ale to operacyjna baza planowania.

Co przemilczano - czyli AI literacy

W dzisiejszej notyfikacji nie podano informacji o tym, co uzgodniono ws. art. 4 (AI literacy). To istotna luka. Komisja i Rada chciały usunąć lub znacząco złagodzić ten obowiązek - argumentem był "ciężar administracyjny". Parlament Europejski był przeciw.

Brak komunikatu w tej sprawie sugeruje, że albo nie osiągnięto porozumienia, albo decyzja została pozostawiona na późniejszy etap trilogu. Dla kancelarii to oznacza jedno: nie zakładaj, że obowiązek AI literacy zniknie. Polskie kancelarie, które do tej pory wstrzymywały programy literacy AI dla pracowników "do wyjaśnienia", powinny teraz zacząć - bo prawdopodobieństwo, że obowiązek pozostanie w jakiejś formie, jest wyższe niż prawdopodobieństwo jego usunięcia.

Dlaczego "delay" to nie "anulacja"

Najczęstsza reakcja na rynku LegalTech od dzisiejszego rana: "skoro przesunięto - mamy więcej czasu, można odpriorytetyzować". To błąd kategorii.

Przesunięto egzekucję, nie obowiązek przygotowania. Annex III i Annex I obejmują zastosowania, które już dziś są w produkcji w wielu organizacjach - rekrutacja przez AI screening, scoring kredytowy, biometria w kontroli dostępu, narzędzia wspomagające pracę sędziego. Audyt mapowania systemów AI kancelarii na te listy to praca architektoniczna, nie godzinna konsultacja prawna.

Art. 9 (system zarządzania ryzykiem) jest mechanizmem ciągłym. Nie egzaminem do zdania w terminie, tylko procesem, który musi działać przez cały cykl życia systemu AI - od projektowania, przez deployment, po decommissioning. Standard ISO 27005, na którym art. 9 jest oparty, mówi wprost: zbudowanie takiego procesu wymaga przejścia trzech cykli iteracji, czyli minimum dwóch kwartałów obserwowanych zmian.

Konsultacje EDPB nad szablonem DPIA (analiza z 6 maja 2026) kończą się 9 czerwca 2026. RODO art. 32-35 i AI Act art. 9 to ten sam mechanizm baseline-eskalacja, opisany w trzech różnych aktach prawnych. Kancelaria, która użyje przesunięcia AI Act jako wymówki do wstrzymania prac nad architekturą zarządzania ryzykiem, traci również okno wpływu na finalny szablon EDPB.

Konsekwencja praktyczna

Jedyne, co naprawdę zmienia się dla kancelarii - to data, do której musi być gotowa pełna dokumentacja zgodności dla systemów Annex III. Wszystko, co jest poniżej: mapowanie systemów, baseline ryzyka, AI literacy pracowników, governance struktur dostawców - to praca, która powinna trwać dziś, niezależnie od daty egzekucji.

Trzy pytania dla polskiej kancelarii w tym tygodniu

Niezależnie od tego, czy kancelaria jest dostawcą systemów AI, czy ich użytkownikiem, są trzy pytania, których odpowiedź zmienia się fundamentalnie między dziś a 2 grudnia 2027:

  1. Które z naszych obecnych systemów AI pasują do Annex III lub Annex I? Nie "czy w ogóle" - dokładnie które. Mapping jest pracą architektoniczną, nie prawną. Wymaga zrozumienia, jak system działa pod spodem - nie tylko jak jest reklamowany przez dostawcę.
  2. Czy mamy proces zarządzania ryzykiem dla AI w kategorii art. 9 - ciągły, nie audytowy? Jeśli odpowiedź to "robimy roczny audyt zewnętrzny" - to nie jest art. 9. To jest dokument do szuflady.
  3. Co robimy z AI literacy między dziś a hipotetycznym wycofaniem art. 4? Jeśli czekamy na decyzję Brukseli - przegrywamy. Polskie kancelarie, które zaczną programy literacy w maju 2026, w 2027 będą miały zespoły czytające output AI z należną ostrożnością. Konkurencja, która czekała - nie.

Każde z tych pytań ma jedną poprawną odpowiedź na poziomie procesu. Brak procesu w którymkolwiek z trzech to nie luka prawna - to luka operacyjna, której kara za AI Act jest tylko jednym z kosztów ujawnienia.

Co MateMatic wnosi do tego tematu

Warsztat MateMatic "AI Act dla kancelarii" obejmuje dokładnie te trzy obszary: mapowanie systemów AI kancelarii na Annex III i Annex I, zaprojektowanie procesu art. 9 jako ciągłego mechanizmu, oraz program AI literacy dopasowany do art. 4 - niezależnie od finalnej formy, którą przyjmie ten artykuł w tekście Omnibusu.

Deliverable po warsztacie: mapa ryzyka systemów AI kancelarii, lista luk do zamknięcia przed 2 grudnia 2027, oraz roadmapa programu AI literacy z konkretnymi modułami szkoleniowymi dla zespołów prawnych i administracyjnych. Materiał oparty o połączenie trzech aktów prawnych (RODO art. 32-35, AI Act art. 9-6, ISO 27005), nie o jeden checklist regulacyjny. Interpretacje regulacyjne na poziomie warsztatu są stanowiskiem MateMatic - nie zastępują doradztwa prawnego.