Przewodnik pisany przed obowiązywaniem.
Rok później.

Dostałem ten przewodnik do skrzynki w kwietniu 2025 roku, tydzień po jego publikacji. Przeczytałem, pochwaliłem w rozmowach, odłożyłem do segregatora. Rok później, w kwietniu 2026, wziąłem ponownie. Inaczej czyta się materiał, który przewiduje, niż materiał, który opisuje. Szczególnie kiedy wiemy już, co się zdarzyło w pierwszym kwartale obowiązywania AI Act, co wyglądało inaczej niż myśleli autorzy i gdzie polska praktyka zrobiła zakręt, którego Bird & Bird nie przewidywał.

Materiał jest solidny, urzędniczo rzetelny i napisany przez zespół, który wie, o czym pisze. To jest branżowy standard dla tier-1 klientów korporacyjnych. I to jest jednocześnie jego ograniczenie.

O czym jest ten materiał

Bird & Bird LLP to brytyjska międzynarodowa kancelaria technologiczna z pierwszą pozycją w Legal 500 dla AI i Band 1 Chambers dla global multi-jurisdictional TMT. Przewodnik ma siedemdziesiąt sześć stron i dziesięć rozdziałów: przegląd i kalendarz wdrożenia, zakres materialny i terytorialny, praktyki zakazane, systemy wysokiego ryzyka, modele ogólnego przeznaczenia (GPAI), transparentność, piaskownice regulacyjne, enforcement i governance, co dalej, lista współautorów. Każdy rozdział prowadzony przez partnera lub senior associate'a odpowiedzialnego za daną jurysdykcję.

Struktura jest konwencjonalna i bardzo klarowna. Każdy rozdział otwiera się boxem At a glance (kluczowe tezy) i To do list (praktyczne kroki). Ciała rozdziałów odwołują się do konkretnych artykułów rozporządzenia 2024/1689, do załączników (Annex I i III), do recitals (szczególnie 28-45 o praktykach zakazanych). Timeline zbudowany jest na kluczowych datach: wejście w życie 1 sierpnia 2024, praktyki zakazane od 2 lutego 2025, GPAI od 2 sierpnia 2025, większość pozostałych przepisów od 2 sierpnia 2026, pełne obowiązywanie w ciągu 36 miesięcy.

Jednym zdaniem: to jest referencyjny przewodnik po AI Act pisany w momencie, gdy tylko część przepisów obowiązywała, przez zespół, który doradza globalnym spółkom technologicznym i europejskim korporacjom.

Recenzja właściwa

Co się w tym przewodniku przenosi do 2026 roku bez zmian

Najmocniejsza jest precyzja definicyjna. Bird & Bird pokazuje, że rola operatora (provider, deployer, importer, distributor, product manufacturer, authorised representative) nie jest statyczna. Można stać się providerem high-risk AI system przez samo umieszczenie własnego znaku towarowego na systemie albo przez substantial modification. To jest pułapka, o której polskie kancelarie rozmawiają dopiero teraz, rok później, przy projektach integracji rozwiązań open-source albo przy customizacji narzędzi zakupionych u dostawców amerykańskich. Przewodnik widział to już w kwietniu 2025.

Drugi mocny element to rozdział o praktykach zakazanych, z klarownym wyliczeniem ośmiu kategorii z art. 5: techniki subliminalne i manipulacyjne, wykorzystywanie wrażliwości grup, social scoring, predykcja przestępczości, scraping baz twarzy, rozpoznawanie emocji w pracy i szkole, kategoryzacja biometryczna wrażliwa, identyfikacja biometryczna w czasie rzeczywistym. Każda kategoria z wyjątkami. Do tego sankcja czterdziestu milionów euro albo siedmiu procent globalnego obrotu, zastosowana operator-agnostycznie. Ten rozdział zestarzał się najmniej, bo praktyki zakazane obowiązują od 2 lutego 2025 i przez rok doczekały się pierwszych wytycznych Komisji (4 lutego 2025) oraz pierwszych postępowań krajowych.

Trzeci element, który warto wziąć do polskiego sejfu, to tabela At a glance z rozdziału o enforcement. Trzyfilarowy model nadzoru: EDPS dla instytucji UE, Komisja Europejska dla providerów GPAI, organy krajowe dla reszty. Sankcje kaskadowe. Procedury koordynacji między państwami członkowskimi. Ta konstrukcja jest fundamentem całego reżimu i Bird & Bird opisuje ją czysto.

Gdzie przewodnik się zestarzał i gdzie polska praktyka poszła inaczej

Tu zaczyna się interesująca lektura. Przewodnik pisany jest w momencie, gdy Polska jeszcze nie wyznaczyła organu nadzorczego AI Act. Bird & Bird nie zajmuje się tym pytaniem, bo pisze na poziomie europejskim. Rok później polski krajobraz instytucjonalny nadal jest niedokończony. Rozmowa o tym, czy nadzór obejmie UOKiK, czy UODO, czy nowy organ wydzielony z któregoś z istniejących, jest ciągle rozmową. To jest luka, której przewodnik nie mógł zamknąć, a którą polska kancelaria musi sobie dopisać samodzielnie, zwłaszcza jeśli klient pyta, kto w 2026 roku podejmuje decyzję o wejściu w sandbox regulacyjny.

Druga luka: GPAI. Rozdział piąty pisany jest w momencie, gdy kodeksy praktyk (codes of practice) dla GPAI były jeszcze w negocjacjach. Bird & Bird opisuje architekturę z zapowiedzianymi narzędziami, ale nie może dać czytelnikowi tego, co dała rzeczywistość drugiego półrocza 2025: pierwszych publicznych wersji kodeksu, stanowisk Hugging Face i Mistral AI, pierwszych ocen modeli systemic risk na podstawie progu 10^25 FLOPS. Dla polskich kancelarii pracujących z dostawcami GPAI w 2026 roku ten rozdział potrzebuje aktualizacji z notatek konferencyjnych, nie z przewodnika.

Trzecia sprawa, na którą patrzę z ostrożnością: rozdział dziewiąty, What's Next. Przewodnik zapowiada AI Liability Directive jako przyszłą pracę legislacyjną. W rzeczywistości Komisja wycofała projekt dyrektywy w lutym 2025 roku z programu prac, uznając, że Product Liability Directive (dyrektywa 2024/2853) pokrywa większość przypadków. Bird & Bird w kwietniu 2025 jeszcze tego nie wiedział. Polska kancelaria, która używa przewodnika w 2026 roku, musi tę korektę dopisać.

Compound regime po raz piąty

Motyw wraca. TOM 001 (Kenney) pokazał, że europejskie regulacje AI nakładają się na RODO w sposób mnożący obowiązki. TOM 005 (Levy) napisał playbook bez tej warstwy, bo pisał dla Ameryki. TOM 006 (MindForge) operacjonalizował z perspektywy Singapuru. TOM 007 (McDonald i Stockwell) zrobił brytyjski handbook kryzysowy bez ani jednej wzmianki o RODO. Bird & Bird w TOM 008 robi coś innego. Widzi RODO. Opisuje interplay w rozdziale szóstym i dziewiątym. Ale traktuje oba reżimy jako sąsiadujące, nie jako compound.

Różnica jest praktyczna. Bird & Bird pisze: "AI Act współdziała z RODO". Polska kancelaria musi umieć powiedzieć klientowi: twój use-case podlega jednocześnie art. 22 RODO o decyzjach zautomatyzowanych, art. 35 RODO o DPIA, art. 26 AI Act o obowiązkach deployerów high-risk i art. 50 AI Act o transparentności treści syntetycznych - i żaden z tych artykułów nie uchyla pozostałych, tylko zaostrza ich łączny rygor. To jest inna logika analityczna. Bird & Bird jej nie wyklucza, ale jej nie formułuje wprost.

Perspektywa tier-1 vs perspektywa mid-size kancelarii

Bird & Bird pisze dla swoich klientów. Spółki notowane, grupy kapitałowe, producenci sprzętu medycznego, operatorzy infrastruktury krytycznej, banki, firmy ubezpieczeniowe. Czyli dla organizacji, które mają compliance teamy, zewnętrzne doradztwo prawne i budżety na wdrożenia liczone w dziesiątkach milionów euro. Przewodnik zakłada, że czytelnik ma zaplecze do sklasyfikowania systemu AI, przeprowadzenia conformity assessment, przygotowania dokumentacji technicznej z załącznika IV, utrzymania post-market monitoring i zgłaszania poważnych incydentów w trybie art. 73.

Polska kancelaria piętnastoosobowa, która obsługuje piętnastu klientów z sektora średnich firm, dostaje ten przewodnik do ręki i ma z nim problem. Nie dlatego, że przewodnik jest zły. Dlatego, że siatka pojęciowa jest kalibrowana do innej skali operacji. Kancelaria mid-size potrzebuje trójstronicowego schematu: czy twój klient to provider, deployer, czy ani jedno ani drugie, jakie obowiązki obowiązują, co musisz mu doradzić w ciągu miesiąca. Bird & Bird daje siedemdziesiąt sześć stron kontekstu, z którego taki schemat trzeba dopiero wyciągnąć. To jest różnica między doradztwem strategicznym a doradztwem operacyjnym.

Brussels effect, widziany z Warszawy

Przewodnik otwiera się frazą o nowym Brussels effect, porównywalnym z RODO. To jest teza, która w kwietniu 2025 była obietnicą, a w kwietniu 2026 jest hipotezą do sprawdzenia. Na plus: AI Act zainspirował prace regulacyjne w Kanadzie (C-27), Brazylii (PL 2338/2023), części stanów USA (Colorado AI Act), Japonii (AI Promotion Act). Na minus: w kluczowych jurysdykcjach technologicznych (USA federalnie, Chiny, Indie) nie ma przepisów lustrzanych, a raczej alternatywne architektury. Brussels effect w 2026 roku działa mocniej w jurysdykcjach, które same wcześniej zaadoptowały modele europejskie. Bird & Bird tej różnicy nie wyciąga, bo pisze przed faktem.

Co z tego wynika

Przewodnik polecam każdemu, kto obsługuje klientów wpadających pod AI Act i nie ma jeszcze własnej wewnętrznej siatki pojęciowej. Bird & Bird daje najlepsze dostępne na rynku marketingowe wprowadzenie do rozporządzenia. Dostaje się w prezencie od większości tier-1 kancelarii, jeżeli ktoś o nie poprosi. Wartość tego materiału leży w strukturze (każdy rozdział z At a glance i To do list), w precyzji definicyjnej i w klarownym opisie ról operatorów.

Polecam trzem grupom. Partnerom kancelarii średniej wielkości, którzy chcą szybko zbudować ofertę doradztwa AI Act i potrzebują referencji. Compliance officerom w polskich spółkach, którzy dopiero rozpoczynają mapowanie ekspozycji na AI Act. Szefom działów prawnych w grupach kapitałowych z matką w UE, którzy muszą uzgodnić słownik między headquarters a jednostkami lokalnymi.

Jednej grupie go nie polecam jako lektury jedynej. Kancelariom, które już mają klienta z konkretnym use-case w trybie pilnym. Siedemdziesiąt sześć stron to nie jest format "co mam zrobić w środę rano". Dla takiej sytuacji lepiej wziąć wybrany rozdział z Bird & Bird, zestawić z konkretnym artykułem rozporządzenia i dopisać polski kontekst: nadzór, UODO, tajemnica zawodowa, sektorowy regulator (KNF, UKE, URE), rzeczywisty stan wdrożenia u klienta.