Digital Omnibus: AI Act dostaje pierwszy lifting w PE
Akt o sztucznej inteligencji — flagowa regulacja UE, opublikowana w lipcu 2024 roku — nie zaczął jeszcze w pełni obowiązywać, a już dostaje gruntowną nowelizację w ramach pakietu Digital Omnibus. 26 marca Parlament Europejski przegłosował 83 poprawki do wniosku Komisji zmieniającego AI Act. Niektóre z nich wykraczają daleko poza „uproszczenia”, jakie Komisja miała na myśli. To nie jest lifting. To jest poważna operacja na otwartym tekście.
Skąd ten pośpiech?
Żeby zrozumieć, dlaczego UE nowelizuje akt prawny, który nie jest jeszcze w całości stosowany, trzeba cofnąć się do harmonogramu wdrożenia AI Act. Przepisy dotyczące zakazanych praktyk AI i modeli ogólnego przeznaczenia (GPAI) obowiązują odpowiednio od 2 lutego i 2 sierpnia 2025 r. Ale kluczowe przepisy — te regulujące systemy AI wysokiego ryzyka (rozdział III) — miały zacząć obowiązywać 2 sierpnia 2026 r. i 2 sierpnia 2027 r.
Problem w tym, że ten termin okazał się fikcją. Komisja sama to przyznaje we wniosku legislacyjnym, że normy zharmonizowane nie są gotowe, wiele państw członkowskich nie wyznaczyło organów nadzoru, a jednostki oceniające zgodność — podmioty, które mają certyfikować systemy AI — nie zostały powołane. Dostawcy systemów AI nie wiedzą, jak wykazać zgodność z przepisami, bo nikt im jeszcze nie powiedział, według jakich standardów mają to robić.
W odpowiedzi Komisja zaproponowała pakiet zmian określony jako „Digital Omnibus on AI” — część szerszego programu „Prostsza i szybsza Europa”. Parlament Europejski przyjął do niego stanowisko w pierwszym czytaniu 26 marca 2026 r. stosunkiem głosów 569 za, 45 przeciw, 23 wstrzymujących się. Sprawa trafiła do negocjacji z Radą w ramach procedury trilogu. Ale to, co Parlament przegłosował, znacząco wykracza poza to, co zaproponowała Komisja.
Odroczenie, ale na czyich warunkach?
Komisja zaproponowała elastyczny (przynajmniej w założeniu) mechanizm: przepisy rozdziału III nie wchodzą w życie automatycznie, lecz dopiero po wydaniu przez Komisję decyzji potwierdzającej, że ekosystem regulacyjny jest gotowy (normy, wytyczne, organy nadzoru). Po takiej decyzji biegłoby jeszcze 6 lub 12 miesięcy, w zależności od typu systemu. Gdyby decyzji nie było — przepisy i tak zaczęłyby obowiązywać od konkretnych dat granicznych.
Parlament ten mechanizm odrzucił. Daty graniczne zachował — systemy AI z załącznika III (identyfikacja biometryczna, infrastruktura krytyczna, zatrudnienie, migracja) od 2 grudnia 2027 r., systemy objęte prawem sektorowym od 2 sierpnia 2028 r. — ale usunął warunkowy przełącznik dający Komisji kontrolę nad tym, kiedy obowiązki zaczną się stosować. Zamiast tego przepisy wchodzą w życie automatycznie i przewidywalnie, niezależnie od tego, czy Komisja zdąży z normami.
Innymi słowy: Parlament daje branży więcej czasu, ale nie daje Komisji uznaniowości. Jednocześnie zobowiązuje Komisję do zapewnienia narzędzi wsparcia „w odpowiednim czasie” — co jest eleganckim sposobem powiedzenia „zróbcie swoje, zanim przyjdą terminy”.
Przy okazji przyspieszono termin na watermarking — dostawcy systemów generatywnych już obecnych na rynku muszą spełnić wymogi oznaczania treści syntetycznych do 2 listopada 2026 r. zamiast lutego 2027 r. Trzy miesiące wcześniej, niż chciała Komisja.
Zakaz nudifierów: Grok jako katalizator
Komisja nie proponowała żadnych nowych zakazanych praktyk AI. Parlament — tak. Nowy art. 5 ust. 1 lit. ha) zakazuje wprowadzania do obrotu, oddawania do użytku lub używania systemów AI, które generują intymne obrazy lub filmy przedstawiające rozpoznawalne osoby bez ich zgody — tak zwane nudification apps.
Kontekst tego zakazu jest bardzo konkretny. W grudniu 2025 r. xAI Elona Muska udostępniło w serwisie X możliwość edycji i generowania obrazów przez Groka z modelem Aurora — przy minimalnych zabezpieczeniach. W ciągu kilku dni użytkownicy X zaczęli masowo wysyłać zdjęcia kobiet i dzieci z poleceniem „rozebraj ją”. Grok wykonywał te polecenia. Według New York Timesa w ciągu 9 dni Grok wygenerował 4,4 miliona obrazów, z czego 1,8 miliona to seksualizowane wizerunki kobiet. Center for Countering Digital Hate oszacowało, że w 11 dni powstało 23 000 seksualizowanych obrazów dzieci.
Skandal rozwijał się lawinowo. Ze stanowisk odszedł cały trzon zespołu bezpieczeństwa xAI — co media odczytały jako efekt świadomego luzowania zabezpieczeń przez Muska. W styczniu 2026 r. Indonezja i Malezja zablokowały Groka, prokurator generalny Kalifornii wszczął dochodzenie, a europosłanka Kim Van Sparrentak złożyła pytanie parlamentarne wprost domagające się zakazu nudifierów w UE. 26 marca — tego samego dnia, w którym PE głosował nad Omnibusem — holenderski sąd nakazał xAI zaprzestania generowania nagich wizerunków pod groźbą 100 000 euro dziennie.
Zakaz z art. 5 ust. 1 lit. ha) nie jest jednak bezwzględny. Wyłączeni są dostawcy, którzy wdrożyli skuteczne środki techniczne uniemożliwiające generowanie takich treści, a także prace badawczo-rozwojowe nad samą technologią. Zakaz dotyczy więc celowego lub niedbałego udostępniania narzędzia, nie samej zdolności technologicznej.
Co jeszcze zmienił Parlament?
1. Węższa definicja systemu wysokiego ryzyka
Komisja nie ruszała definicji systemu wysokiego ryzyka. Parlament — tak. Dotychczas każdy system AI będący „elementem bezpieczeństwa” produktu objętego prawem sektorowym (załącznik I) był automatycznie klasyfikowany jako system wysokiego ryzyka. Teraz musi być niezbędny do zapewnienia zgodności produktu z wymogami bezpieczeństwa. Asystent użytkownika, funkcja optymalizacji wydajności czy kontrola jakości aspektów niezwiązanych z bezpieczeństwem — nie są funkcjami bezpieczeństwa, jeżeli ich awaria nie stwarza bezpośredniego ryzyka dla zdrowia lub życia. To istotne zawężenie, które wyklucza z reżimu wysokiego ryzyka sporo AI wbudowanego w urządzenia IoT i produkty konsumenckie.
2. Przebudowa relacji z prawem sektorowym
Parlament poszedł znacznie dalej niż Komisja w porządkowaniu relacji między AI Act a sektorowym prawodawstwem produktowym. Usunął całą sekcję A załącznika I i wprowadził 12 nowych artykułów (110a–110l), z których każdy zmienia inny akt sektorowy — od rozporządzenia o maszynach przez dyrektywę zabawkową po rozporządzenie o wyrobach medycznych. Mechanizm jest dwojaki: wymogi AI Act traktowane są jako „zasadnicze wymagania w zakresie zdrowia i bezpieczeństwa” w rozumieniu prawa sektorowego (co eliminuje podwójną zgodność), a Komisja nie może przy przyjmowaniu specyfikacji sektorowych wykraczać poza to, co przewiduje AI Act. Jeden zestaw wymogów, jedna ścieżka zgodności.
3. Obowiązki dostawców GPAI w łańcuchu wartości
Komisja nie ruszała art. 25. Parlament dodał do niego dostawców modeli GPAI, których modele są zintegrowane w systemach wysokiego ryzyka. Muszą oni: udostępniać dokumentację techniczną, ujawniać znane ograniczenia i tryby awarii modelu oraz zapewniać dostęp techniczny do celów testowania. Naruszenie tych obowiązków podlega karom na zasadach ogólnych — Parlament zamknął lukę, w której dostawca modelu fundacyjnego mógł umywać ręce od tego, co na jego modelu zbudowano.
4. AI Office: koniec wyłączności
Komisja chciała dać Urzędowi ds. AI wyłączną kompetencję nadzorczą nad systemami opartymi na GPAI (gdy model i system są od tego samego dostawcy) oraz nad systemami w bardzo dużych platformach i wyszukiwarkach. Parlament usunął słowo „wyłączną”. Organy krajowe mogą działać, jeżeli Komisja nie wszczęła postępowania. Systemy AI w infrastrukturze krytycznej zostały wyłączone z kompetencji AI Office — pozostają pod nadzorem regulatorów sektorowych. Model zmienił się z centralizacji na kompetencję współdzieloną, z krajowym backstopem.
Przy okazji Parlament nakazał AI Office koordynację z organami ochrony danych osobowych i nałożył na niego mandat uwzględniający jednocześnie innowacyjność, konkurencyjność i ochronę praw podstawowych.
5. Dane wrażliwe: ściślej niż chciała Komisja
Komisja zaproponowała szeroką, horyzontalną podstawę prawną do przetwarzania danych wrażliwych (rasa, zdrowie, orientacja seksualna) w celu wykrywania stronniczości AI — dla wszystkich systemów i modeli AI. Parlament zawęził to istotnie: standard „konieczne” zastąpił „ściśle konieczne”, ograniczył zakres do systemów wysokiego ryzyka (z możliwością rozszerzenia na inne systemy tylko gdy stronniczość zagraża zdrowiu, bezpieczeństwu lub prowadzi do zakazanej dyskryminacji) i wyraźnie zaznaczył, że przepis nie tworzy obowiązku prowadzenia debiasingu.
6. Piaskownice regulacyjne: z udziałem organów ochrony danych
Piaskownica regulacyjna na poziomie UE (prowadzona przez AI Office) — to propozycja Komisji, którą Parlament zaakceptował. Ale dodał warunek: gdy piaskownica obejmuje przetwarzanie danych osobowych, obowiązkowy jest udział krajowych organów ochrony danych i EROD. Przewidział też priorytetowy dostęp do piaskownic dla MŚP i startupów.
7. Kary: nie dla wszystkich jednakowo
Komisja rozszerzyła preferencyjne zasady karania na małe spółki o średniej kapitalizacji. Parlament to zaakceptował, ale dodał istotne zastrzeżenie: dostawcy modeli GPAI o ryzyku systemowym nie korzystają z obniżonych pułapów kar, nawet jeśli formalnie mieszczą się w kategorii SMC. Startup rozwijający model frontier-class nie dostanie taryfy ulgowej.
Czego tu nie ma
Warto powiedzieć, czego Omnibus — w żadnej wersji — nie zmienia. Nie rusza katalogu zakazanych praktyk AI (poza nudifierami dodanymi przez PE). Nie zmienia wymogów materialnych dla systemów wysokiego ryzyka — art. 8–15 zostają nienaruszone. Nie modyfikuje obowiązków materialnych dostawców modeli GPAI — ani ogólnych (art. 53), ani dotyczących modeli o ryzyku systemowym (art. 55). Zmienia mechanizmy nadzoru nad kodeksami praktyk (art. 56) i wymogi oznaczania treści syntetycznych (art. 50), ale to kwestie proceduralne, nie merytoryczne. To nie jest rewizja meritum AI Act. To jest rewizja terminów, procedur, architektury nadzoru i relacji z prawem sektorowym.
To co tu właściwie widzimy?
Oficjalna narracja jest taka, że Digital Omnibus to pakiet uproszczeń. I częściowo tak jest — uproszczona dokumentacja dla MŚP, elastyczniejszy monitoring posprzedażowy, jedno okienko dla jednostek notyfikowanych. Ale pod powierzchnią dzieje się znacznie więcej.
Po pierwsze, zakres zmian jest nieproporcjonalnie duży jak na akt prawny, który nie zdążył jeszcze w pełni zadziałać. Parlament przebudowuje architekturę załącznika I, wprowadza 12 nowych artykułów zmieniających prawo sektorowe, redefiniuje pojęcie funkcji bezpieczeństwa, przebudowuje model nadzoru nad AI Office. To nie są korekty redakcyjne.
Po drugie, główną przyczyną odroczenia jest niewydolność instytucjonalna. Normy zharmonizowane nie powstały na czas. Państwa członkowskie nie wyznaczyły organów. Jednostki notyfikowane nie działają. Komisja nie ma gotowych wytycznych. To nie jest tak, że przepisy okazały się zbyt surowe — one mogą być w porządku. Problem w tym, że cały aparat, który miał umożliwić ich stosowanie, nie istnieje. Komisja de facto przyznaje, że UE uchwaliła ambitną regulację AI, nie sprawdziwszy wcześniej, czy ktokolwiek jest w stanie ją wdrożyć.
Po trzecie, tempo zmian stawia pytanie o jakość procesu legislacyjnego. AI Act został opublikowany w Dzienniku Urzędowym w lipcu 2024 r. Niecałe dwa lata później Komisja składa wniosek o gruntowną nowelizację, a Parlament dorzuca do niej 83 poprawki. Niektóre z tych poprawek — jak przebudowa załącznika I czy zmiana modelu nadzoru — dotyczą kwestii, które powinny były być rozstrzygnięte podczas prac nad pierwotnym aktem. Fakt, że nie były, sugeruje, że AI Act uchwalono w pośpiechu, bez wystarczającego rozpoznania praktycznych konsekwencji.
Nie chodzi tu o kwestionowanie sensu regulacji AI. Chodzi o to, że Europa reguluje szybciej, niż jest w stanie wdrożyć, a potem musi się z tego wycofywać pod presją własnych terminów. Akt zbiorczy prawa cyfrowego dotyczący AI, mimo nazwy sugerującej uproszczenie, jest w istocie przyznaniem, że pierwotny akt nie został wystarczająco przemyślany. I że tym razem to nie branża technologiczna nie nadąża za regulacją — to regulacja nie nadąża za samą sobą.