Atlas dla compliance officera
w czterech jurysdykcjach.

O czym jest ta książka

Pierwsza edycja, pierwszy własny tytuł Digital 520. Czterysta osiemdziesiąt siedem stron tekstu, dwadzieścia rozdziałów numerowanych, pięć aneksów, glosariusz, bibliografia. Autor - Noah M. Kenney - prowadzi konsultingową firmę Digital 520, kieruje Disruptive AI Lab i Ethical Tech Forum, doradzał w ponad czterdziestu inicjatywach AI. To nie jest profil akademika. To jest profil praktyka, który postanowił spisać swój ośmiomiesięczny cykl publikacyjny w jednym miejscu.

Konstrukcja książki ma dwie warstwy. Pierwsza to komparatystyka regulacyjna. Rozdział czwarty - EU AI Act, rozdział piąty - USA, rozdział szósty - inne kraje (UK, Kanada, Singapur, Brazylia, Indie), rozdział siódmy - Chiny. Drugi blok to warsztat praktyka. Rozdziały od ósmego do dwudziestego: ramy etyczne, governance lifecycle, model auditing, sektorowy compliance (finanse, zdrowie, edukacja, zatrudnienie), AI Privacy Engineering, security, post-incident management, GenAI risk, agenty AI, wdrożenie korporacyjne. Aneksy - słownik, lista regulatorów, szablony audytu, lista źródeł.

Dla polskiego czytelnika kluczowe jest jedno. Książka jest pisana z perspektywy amerykańskiej. Domyślny adresat to compliance officer w korporacji w USA, który ma do obsłużenia globalny portfel produktów AI w środowisku, w którym EU AI Act jest jedną z piętnastu regulacji do uwzględnienia. To inny kąt niż polskiej kancelarii, dla której EU AI Act i RODO są fundamentem, a wszystko inne kontekstem.

Recenzja właściwa

Co bierzemy do polskiej kancelarii

Komparatystyka czterech jurysdykcji. Rozdziały 4-7 to najbardziej wartościowy fragment dla polskiego kontekstu. Kenney pokazuje EU AI Act przez pryzmat tego, co go odróżnia od podejścia USA (sektorowe i fragmentaryczne), UK (principles-based, regulatorzy istniejący), Chin (Cyberspace Administration of China, generatywna AI od 2023 i interim measures, podejście authoritarian-state). Polska kancelaria, która obsługuje klienta z polską spółką-córką amerykańskiej grupy, dostaje gotową mapę: który element compliance trzeba zmapować z którego reżimu, gdzie są pułapki double-coverage, a gdzie luki.

NIST AI RMF jako pomost. Kenney konsekwentnie używa NIST AI Risk Management Framework jako wspólnego języka między regulacjami. To nie jest narzędzie compliance, to jest narzędzie konwersacyjne - struktura, którą można postawić nad EU AI Act, ISO/IEC 42001 i wewnętrzną politykę firmy bez konfliktu. Dla polskiej kancelarii argumentującej z compliance officerem klienta - bardzo użyteczne narzędzie. NIST AI RMF nie jest wiążący w UE, ale jest cytowany przez European Network and Information Security Agency w kontekście NIS2 jako dobra praktyka.

Audyt jako proces, nie produkt. Aneks D - szablon raportu z audytu AI - jest jednym z najlepszych, jakie widziałem w komercyjnej publikacji. Sekcje: scope, methodology, governance findings, technical findings, risk classification (critical/high/medium), remediation tracking (30/90/180/365 dni), management response, peer review. To jest gotowy szkielet, który polska kancelaria może adaptować na audyt RODO art. 32 ze zintegrowanym mapowaniem na AI Act art. 9 - mechanizm, który omawialiśmy w TOM 054 (EDPB Guidelines on DPIA). Kenney daje strukturę. EDPB daje regulacyjną kotwicę. Polska kancelaria składa.

Glosariusz jako referencja. Aneks E - słownik blisko dwustu pięćdziesięciu pojęć z definicjami. Adversarial robustness, algorithmic transparency, calibration, conformity assessment, counterfactual explanation, data poisoning, differential privacy, federated learning, model card, model drift, bias drift, jailbreak, RAG. To jest źródło, z którego można dolewać do naszego słownika MateMatic, gdy w recenzjach pojawia się nowe pojęcie wymagające definicji. Jakość definicji - wysoka. Kenney pisze precyzyjnie i bez waffle'u.

Ramy etyczne jako baseline. Rozdział trzeci omawia siedem fundamentalnych zasad etycznych w AI (fairness, transparency, accountability, privacy, safety, beneficence, autonomy) i dziewięć ram porównawczych (IEEE Ethically Aligned Design, OECD AI Principles, UNESCO Recommendation, Beijing AI Principles). To dobry materiał wyjściowy do warsztatu wewnętrznego dla zarządu kancelarii, zanim podpiszą dokument polityki AI. Trzeba go potem zlokalizować do polskich realiów (Karta Etyki Adwokata, Kodeks Etyki Radcy Prawnego), ale punkt startu jest mocny.

Czego nie endorsujemy

US-centryzm z którym musisz się rozliczyć. Książka jest gęsta od amerykańskich konstrukcji prawnych, które dla polskiej kancelarii są kontekstem, nie podstawą. NYC Local Law 144 (audyt bias dla narzędzi rekrutacyjnych), BIPA (Biometric Information Privacy Act stanu Illinois), FERPA (ochrona danych studentów), FTC Section 5 enforcement, Colorado AI Act, Texas Data Privacy and Security Act. Każdy z tych aktów dostaje własną sekcję. To nie jest złe - to jest po prostu adresowane gdzie indziej. Polska kancelaria czytając te fragmenty powinna odhaczyć w głowie "to jest input dla klienta z amerykańską spółką-matką, nie dla polskiego administratora".

Compliance-by-vendor jako podejście domyślne. Kenney - spójnie z perspektywą amerykańskiego doradcy korporacyjnego - operuje w modelu, w którym organizacja kupuje narzędzia od dostawców, dostaje od nich dokumentację (SOC 2, model cards, conformity assessment), buduje wokół tego compliance. To jest dominujący model w USA. W Polsce - dla średniej i dużej kancelarii zarządzającej tajemnicą zawodową - nie wystarcza. Tajemnica zawodowa adwokacka i radcowska (interpretacja MateMatic, nie stanowisko NRA ani KRRP) wymaga, żeby dane klienta nie opuszczały kontroli kancelarii w sposób, który eliminuje ryzyko third-party access. Stack zero-cloud, który spina się z pillarem Decyzja jako jednostka pracy, jest odpowiedzią inną niż "podpisz DPA z dostawcą i ufaj". Książka tej alternatywy nie omawia.

Daty EU AI Act sprzed Omnibus. Kenney podaje daty wejścia w życie z fazy 2024-2025: 2 lutego 2025 (zakaz unacceptable risk), 2 sierpnia 2025 (general-purpose AI), 2 sierpnia 2026 (cały framework dla high-risk). To były daty obowiązujące w momencie pisania książki. Aktualne na 09.05.2026 daty zmieniły się na mocy AI Act Omnibus (porozumienie Rady UE z Parlamentem Europejskim z 7 maja 2026). Zaktualizowane terminy: high-risk z Annex III - 2 grudnia 2027, high-risk z Annex I - 2 sierpnia 2028, art. 50(2) o oznaczaniu treści generowanych przez AI - 2 grudnia 2026. Polski czytelnik, który bierze daty z książki na sesję z klientem, popełni błąd o dwa lata. Dopisujemy jako naszą warstwę.

Brak warstwy polskich realiów regulacyjnych. Książka nie wymienia UODO, PUODO, KRRP, NRA, Karty Etyki Adwokata, Kodeksu Etyki Radcy Prawnego, ustawy o doręczeniach elektronicznych, ustawy o krajowym systemie cyberbezpieczeństwa, ustawy o KSC w nowelizacji NIS2. To nie jest zarzut - autor pisał globalną książkę, nie polską. To jest informacja: każdy fragment trzeba zlokalizować, zanim trafi do klienta-kancelarii.

Gdzie dopisujemy własną warstwę

Polski mostek jurysdykcyjny. Każdy rozdział czytaj z pytaniem: jak to mapuje się na art. 9 AI Act (system zarządzania ryzykiem dostawcy), art. 6 plus Annex III (systemy wysokiego ryzyka), art. 26 (obowiązki użytkownika), art. 50 (transparentność dla użytkownika końcowego), art. 72 (post-market monitoring)? RODO art. 32 (środki techniczne i organizacyjne) i art. 35 (DPIA) są kotwicą - zobacz TOM 054 dla szablonu EDPB. Tajemnica zawodowa adwokacka (art. 6 Prawa o adwokaturze) i radcowska (art. 3 ustawy o radcach prawnych) są twardą barierą - zawsze powyżej compliance dostawcy.

EU AI Act Omnibus jako filtr aktualizacyjny. Książka opublikowana w 2026, przed Omnibus z 7 maja. Każdy fragment o terminach implementacji wymaga aktualizacji. To jest praca dla polskiej kancelarii recenzującej dokument compliance klienta - nie wystarczy zacytować Kenneya, trzeba dodać ten przypis.

Stack zero-cloud jako alternatywa dla compliance-by-vendor. Tam gdzie Kenney pisze "wybierz dostawcę z odpowiednim DPA i model cards", polska kancelaria zarządzająca tajemnicą zawodową ma trzecią opcję: lokalna inferencja, dane nie opuszczają środowiska kancelarii, compliance dostawcy nie jest jedynym mechanizmem. To jest miejsce, w którym pillar MateMatic Stack zero-cloud odpowiada na lukę w książce.

Decyzja jako jednostka pracy. Kenney operuje na poziomie systemu - "AI system has these properties". Polska kancelaria, dla której każda decyzja procesowa, każde pismo, każda opinia jest jednostką odpowiedzialności, potrzebuje granularności. Tom 045 (Runtime Enforcement) jest najbliższy temu wątkowi - mówi o per-decision controls. W książce ten wątek jest rozproszony po rozdziałach 8-9. Dla polskiej praktyki to za mało. Dopisujemy.

Tabela referencyjna - co rozdział, gdzie sięgać

Co z tego wynika

Kenney napisał książkę, którą warto mieć w bibliotece kancelaryjnej. Nie jako podręcznik wdrożenia, tylko jako atlas - mapę terenu, do której zaglądasz, gdy klient pyta o reżim, którego nie znasz, albo gdy zespół compliance potrzebuje wzorca audytowego. Jakość pisania jest wysoka, gęstość informacji bardzo wysoka, struktura czytelna. Cena za to: trzeba przejść przez cały filtr trzyfilarowy MateMatic - co bierzemy, czego nie endorsujemy, gdzie dopisujemy.

Książka nie zastępuje recenzji dwóch wcześniejszych paperów Kenneya. TOM 001 jest mocniejszy w wątku compound regime RODO i AI Act - autor pisał go z innym fokusem niż książkę. TOM 045 jest mocniejszy w wątku runtime enforcement i jego sześciu zasad - w książce ten wątek jest rozcieńczony. Trzy materiały tego samego autora w naszej bibliotece nie są nadmiarem - są warstwami.

Nie hostujemy pliku PDF. Książka jest All Rights Reserved, oficyna autora prowadzi własną dystrybucję. Po pełny tekst - bezpośrednio do noahkenney.com. Nasza recenzja działa pod prawem cytatu, jest syntezą referencyjną, a nie substytutem zakupu.