FAQ Komisji, który mówi mniej,
niż powinien.

FAQ Komisji jest wygodny. Trzydzieści sześć stron, pytania i odpowiedzi, język prosty, żadnych odsyłaczy do recitals, dla których trzeba otwierać drugą zakładkę. Dla klienta, który zaczyna rozmowę o AI Act, to jest pierwszy materiał, jaki można wysłać. Dla kancelarii, która już z AI Act pracuje, to jest materiał, z którego trzeba umieć odczytać, czego w nim nie ma.

Ten tekst jest o jednym i drugim. O tym, co FAQ robi dobrze i czego solidnie używam w rozmowach z klientami. I o tym, gdzie milczy - a milczy w miejscach, które dla polskiej kancelarii są właśnie najważniejsze.

O czym jest ten materiał

AI Act Service Desk to oficjalny punkt informacyjny uruchomiony przez Komisję Europejską (DG CNECT wspólnie z AI Office) dla podmiotów stykających się z rozporządzeniem 2024/1689. FAQ jest jedną z trzech warstw tego punktu - obok formularza zapytań indywidualnych i bazy wytycznych sektorowych. Dokument ma trzydzieści sześć stron i grupuje kilkadziesiąt pytań w osiem obszarów.

Kluczowe tezy FAQ: (1) AI Act wszedł w życie 1 sierpnia 2024, praktyki zakazane i obowiązki AI literacy obowiązują od 2 lutego 2025, GPAI od 2 sierpnia 2025, pozostałe przepisy od 2 sierpnia 2026. (2) Komisja w ramach pakietu Digital Omnibus (listopad 2025) zaproponowała przesunięcie niektórych terminów dla systemów wysokiego ryzyka o okres do szesnastu miesięcy - pakiet jest na etapie procedury legislacyjnej. (3) AI agenci (autonomiczne systemy wykonujące zadania dla użytkowników) są objęci AI Act jako systemy AI - jeśli wpadają w zakres wysokiego ryzyka albo wykorzystują model GPAI, obowiązują ich przepisy odpowiednie dla tych kategorii. (4) Progi GPAI: 10^23 FLOPS dla statusu GPAI, 10^25 FLOPS dla systemic risk. (5) Piaskownice regulacyjne ustanawiane są w każdym państwie członkowskim do 2 sierpnia 2026. (6) AI literacy to obowiązek obowiązujący od 2 lutego 2025 - każdy provider i deployer musi zapewnić, że personel pracujący z systemem AI ma wystarczającą wiedzę do jego obsługi.

Jednym zdaniem: to jest oficjalny urzędniczy komentarz Komisji do własnego rozporządzenia, celowo prosty, celowo ostrożny i celowo nie wnikający w compound regime ani w praktykę wdrożeniową.

Recenzja właściwa

Perspektywa compliance i Digital Omnibus

Najważniejsza nowa informacja w FAQ dotyczy Digital Omnibus. Komisja zaproponowała w listopadzie 2025 pakiet zmian, który dla systemów wysokiego ryzyka może przesunąć obowiązywanie niektórych obowiązków o dwanaście do szesnastu miesięcy. FAQ opisuje to w kilku akapitach z zastrzeżeniem, że pakiet jest na etapie procedury legislacyjnej. Z perspektywy compliance jest to zapis ostrożny i właściwy - Komisja nie może obiecać odroczenia, które dopiero musi przegłosować Rada i Parlament.

Problem jest taki, że klienci tego zapisu nie czytają uważnie. Informacja "Komisja zaproponowała odroczenie" w głowie dyrektora operacyjnego zapisuje się jako "mamy jeszcze rok". W rzeczywistości: pakiet Digital Omnibus dopiero zaczyna trilog, losy odroczenia nie są przesądzone, a nawet gdyby zostało przyjęte - dotyczy wybranych obowiązków, nie wszystkich. Kancelaria, która powtórzy klientowi formułę z FAQ bez podpisania jej własnym komentarzem, buduje fałszywe poczucie komfortu. Z kąta ochrony danych osobowych dodatkowo: RODO obowiązuje niezależnie od tego, co zrobi Digital Omnibus z AI Act. DPIA dla systemu, który będzie kiedyś high-risk, trzeba i tak zrobić teraz, bo przetwarzanie już się odbywa.

FAQ poprawnie odnotowuje, że AI literacy z art. 4 obowiązuje od 2 lutego 2025 i że Digital Omnibus tego terminu nie zmienia. Jest to punkt, który w polskich kancelariach bywa pomijany. Obowiązek AI literacy dotyczy każdego providera i deployera niezależnie od kategorii ryzyka systemu. Oznacza to, że kancelaria korzystająca z narzędzia AI do analizy dokumentów (deployer) ma obowiązek zapewnić, że asystent prawny korzystający z narzędzia rozumie jego ograniczenia i potrafi poprawnie interpretować wyniki. Bez szkoleń, bez regulaminu wewnętrznego, bez ewidencji tego szkolenia - obowiązek jest niespełniony od czternastu miesięcy.

Perspektywa bezpiecznej architektury i agentów

Sekcja o AI agentach jest nowa i dla praktyki wdrożeniowej kluczowa. FAQ definiuje agenta jako system wykonujący w sposób autonomiczny lub półautonomiczny zadania zlecone przez użytkownika, często opierający się na modelu GPAI. Komisja wyjaśnia, że AI Act nie tworzy osobnej kategorii "agenta" - agent jest systemem AI w rozumieniu art. 3 pkt 1 i podlega temu samemu reżimowi, co każdy inny system.

Konsekwencja praktyczna jest taka, że kancelaria wdrażająca agenta do obsługi korespondencji klienta musi policzyć, w którą kategorię ten agent wpadnie. Jeżeli agent czyta dokumenty kadrowe i rekomenduje decyzje HR, wpada w Annex III pkt 4 (zatrudnienie) jako high-risk. Jeżeli agent tylko podsumowuje e-maile, prawdopodobnie nie. Jeżeli agent wykorzystuje model GPAI dostawcy zewnętrznego, na kancelarii (jako deployerze) ciążą obowiązki informacyjne wobec użytkownika końcowego oraz obowiązek dopełnienia compatibility między ograniczeniami dostawcy GPAI a własnym use-case. FAQ tego ostatniego nie pokazuje w sposób operacyjny. Opisuje architekturę, nie łańcuch decyzji.

Z kąta bezpieczeństwa danych druga rzecz. FAQ mówi, że agent opierający się na modelu GPAI dostarczanym w chmurze "podlega przepisom GPAI po stronie providera modelu". Nie mówi tego, co kancelaria musi wiedzieć: jeżeli agent przesyła do chmury treść dokumentów objętych tajemnicą zawodową, sam fakt, że provider modelu ma compliance GPAI, nie zwalnia kancelarii z analizy, czy transfer danych jest dopuszczalny w świetle ustawy o adwokaturze, ustawy o radcach prawnych, art. 28 RODO i specyficznych klauzul umowy z klientem. FAQ nie ma tej warstwy. Nie powinno - nie jest to jego zadaniem. Ale kancelaria, która wyśle klientowi FAQ bez tej warstwy, zostawia go z poczuciem, że sprawa compliance jest wyjaśniona. Nie jest.

Piaskownice regulacyjne i enforcement

FAQ potwierdza, że każde państwo członkowskie ustanowi piaskownicę regulacyjną do 2 sierpnia 2026. W Polsce pytanie, kto będzie prowadził piaskownicę, pozostaje otwarte. FAQ nie rozwiązuje - i rozwiązać nie może - kwestii wyznaczenia krajowego organu nadzoru. Jest to decyzja ustawodawcy krajowego, która w Polsce w momencie pisania tej recenzji (kwiecień 2026) nadal nie została sformalizowana w pełnej architekturze. Kancelaria, która chce doradzać klientowi w sprawie wejścia do piaskownicy, powinna śledzić projekt ustawy o krajowym systemie AI, nie FAQ Komisji.

Druga sprawa enforcement. FAQ poprawnie opisuje trzyfilarową strukturę nadzoru (EDPS dla instytucji UE, Komisja dla providerów GPAI, organy krajowe dla pozostałych) i trzyfilarową strukturę sankcji (do 35 mln EUR lub 7% obrotu za praktyki zakazane, do 15 mln lub 3% za naruszenia obowiązków GPAI, do 7,5 mln lub 1% za nieprawdziwe informacje). Nie opisuje mechaniki kaskadowania sankcji w sytuacji, gdy deployer i provider są z różnych państw członkowskich. Nie opisuje też, jak będzie wyglądała koordynacja z postępowaniami RODO, w których kary są obliczane odrębnie. To jest luka, której FAQ z założenia nie zamknie.

Open-source, GPAI i pragmatyka

Jedna z lepszych sekcji FAQ dotyczy open-source. Komisja wyjaśnia, że modele udostępniane na licencjach open-source są zwolnione z większości obowiązków AI Act, pod warunkiem że nie są modelami systemic risk i że nie są wprowadzane do obrotu jako część systemu wysokiego ryzyka. Sekcja jest jasna i praktyczna. Dla kancelarii, która doradza startupowi fine-tunującemu Llama albo Mistral na własnych danych, jest to punkt referencyjny.

Czego FAQ nie mówi: wyjątek open-source przestaje działać w momencie, gdy model jest integrowany w system wysokiego ryzyka. Startup, który daje swój open-source model szpitalowi do triage pacjentów, nie może się już schować za zwolnieniem. Szpital staje się deployerem high-risk, a startup - w zależności od roli - może zostać uznany za providera z pełnym katalogiem obowiązków z art. 16-22. FAQ sugeruje, że open-source to strefa komfortu. Nie jest nią - jest nią tylko do momentu kontaktu z realnym use-case.

Czego FAQ w ogóle nie ma

Tu zaczyna się najważniejsza część recenzji. FAQ nie zajmuje się:

Tajemnicą zawodową i privilege. Ani jednej wzmianki o adwokackiej, radcowskiej, lekarskiej, dziennikarskiej tajemnicy. To nie jest oczywiście zadaniem FAQ, ale dla kancelarii jest to pierwsze pytanie, jakie zadaje klient. Jak pogodzić wdrożenie agenta AI z art. 6 ustawy prawo o adwokaturze. FAQ milczy i musi milczeć.

Compound regime z RODO. Tylko cztery wzmianki o RODO w całym dokumencie, wszystkie w trybie "AI Act stosuje się bez uszczerbku dla przepisów o ochronie danych osobowych". To jest prawdziwe i niewystarczające. W praktyce wdrożeniowej art. 22 RODO (zautomatyzowane decyzje), art. 35 RODO (DPIA), art. 25 RODO (privacy by design) nakładają się na obowiązki AI Act w sposób mnożący, nie sąsiadujący. Ta warstwa nie została w FAQ wywołana.

Perspektywą małych i średnich podmiotów. FAQ jest pisany tak, jakby czytelnik dysponował wewnętrznym działem compliance albo zewnętrznym doradztwem tier-1. Dziesięcioosobowa kancelaria w Katowicach, która używa narzędzia AI do analizy akt, dostaje ten dokument i nie wie, co z nim zrobić. Trzy strony z Digital Omnibus, dwie strony o GPAI systemic risk, żadnej praktycznej mapy obowiązków dla małego deployera. Autor przekonuje, że wdrożenie jest proste. Cóż, zwykle tak brzmią urzędnicy, zanim klient zapłaci za audyt.

Specyfiką polską. Organ nadzoru, sektorowy regulator (KNF, UKE, URE), wzajemna relacja z ustawą o usługach zaufania, z ustawą o krajowym systemie cyberbezpieczeństwa, z projektem ustawy o sztucznej inteligencji. FAQ jurisdiction-agnostic framework. Polska zauważy, gdzie nie pasuje.

Pytania, których autor nie zadał

Kilka pytań, które w FAQ bym dopisał i których brak jest wymowny.

Co zrobić, kiedy provider GPAI zmienia warunki korzystania i kancelaria traci ścieżkę opt-out z treningu na własnych danych, a postępowanie klienta jest już w toku. Kto ma obowiązek powiadomić klienta o zmianie i w jakim trybie.

Jak wygląda odpowiedzialność deployera, kiedy agent halucynuje i generuje treść, która trafia do decyzji administracyjnej albo pisma procesowego. Czy deployer jest zwolniony, jeżeli zastosował model GPAI zgodnie z warunkami providera. Krótka odpowiedź: nie jest. Długa odpowiedź wymaga osobnego przewodnika.

Jaki jest status danych treningowych, które provider GPAI pobrał z publicznie dostępnych stron kancelaryjnych (orzecznictwo, komentarze, publikacje adwokatów) - i czy publikacja opatrzona klauzulą prawnoautorską daje podstawę do sprzeciwu wobec użycia w treningu.

Żadnego z tych pytań w FAQ nie ma. I chyba nie powinno być - to nie jest zadanie urzędu. Ale kancelaria, która idzie z tym dokumentem do klienta, powinna mieć gotowe odpowiedzi na wszystkie trzy.

Co z tego wynika

FAQ Komisji to dobry dokument referencyjny. Używam go jako pierwszego kontaktu z klientem, który dopiero zaczyna rozmowę o AI Act. Używam go jako punktu wyjścia do rozmowy o Digital Omnibus, bo formułka Komisji jest neutralna i nie wciąga klienta w polityczne spory. Używam go do pokazania, że AI literacy obowiązuje od lutego 2025 - bo kiedy pada zarzut "ale tego nie było w przepisach", można otworzyć FAQ i pokazać oficjalną odpowiedź Komisji.

Nie używam go jako dokumentu operacyjnego. Nie daję go do ręki klientowi, który jutro wdraża agenta AI, bez dopisania własnego komentarza. Nie używam go jako dowodu na to, że "Komisja wszystko wyjaśniła". Komisja wyjaśniła rozporządzenie. Nie wyjaśniła tego, co zrobi polska kancelaria w piętnastoosobowym zespole w poniedziałek rano, kiedy klient zadzwoni z pytaniem, czy może używać ChatGPT do pisania pozwu.

FAQ warto przeczytać. Warto go przeczytać uważnie - i z czerwonym długopisem w ręce.