29 czerwca 2026 r. Rada UE przyjęła rozporządzenie Digital Omnibus on AI, wprowadzające ukierunkowane zmiany do AI Act. Pakiet obejmuje przesunięcie kluczowych terminów compliance, nowe zakazy oraz doprecyzowanie szeregu definicji. Poniżej przedstawiamy zmiany istotne z perspektywy podmiotów rozwijających, wdrażających lub zamawiających systemy AI.
Nowe terminy stosowania wymogów dla systemów wysokiego ryzyka
Pierwotny termin wejścia w życie wymogów dla systemów wysokiego ryzyka 2 sierpnia 2026 r. zostaje zastąpiony dwoma nowymi datami, w zależności od tego, jak system jest klasyfikowany:
- 2 grudnia 2027 r. – systemy samodzielne (stand-alone) klasyfikowane z Załącznika III AI Act, m.in. systemy wykorzystywane w biometrii, rekrutacji, edukacji, kredytowaniu, egzekwowaniu prawa i wymiarze sprawiedliwości.
- 2 sierpnia 2028 r. – systemy wbudowane w produkty objęte unijnym prawem harmonizacyjnym (Załącznik I), np. urządzenia medyczne, maszyny, zabawki.
Przesunięcie terminów wynika głównie z opóźnień w pracach normalizacyjnych i niewystarczającej gotowości krajowych organów nadzoru.
Nowe zakazy dotyczące AI generującej nielegalne treści seksualne
Od 2 grudnia 2026 r. zakazane jest udostępnianie i używanie systemów AI, które:
- generują materiały przedstawiające seksualne wykorzystywanie dzieci (CSAM);
- bez zgody osoby, której wizerunek dotyczy, tworzą lub manipulują obrazem, dźwiękiem lub wideo przedstawiającym intymne części ciała tej osoby lub jej aktywność o charakterze jednoznacznie seksualnym (tzw. niekonsensualny deepfake seksualny).
Zakaz obejmuje zarówno dostawców systemów AI, którzy nie mogą wprowadzać ich do obrotu bez odpowiednich zabezpieczeń technicznych, jak i podmioty, które wykorzystują te systemy w zakazanym celu. Przepisy stosuje się od 2 grudnia 2026 r.
Obowiązek maszynoczytelnego oznaczania treści syntetycznych
Dostawcy systemów AI generujących syntetyczne treści (audio, wideo, obraz lub tekst), których systemy zostały wprowadzone do obrotu przed 2 sierpnia 2026 r., mają czas do 2 grudnia 2026 r. na dostosowanie się do obowiązku maszynoczytelnego znakowania tych treści (watermarking). Dotyczy to również modeli GPAI. Okres przejściowy został skrócony z 6 do 3 miesięcy.
Doprecyzowanie definicji „komponentu bezpieczeństwa”
AI Act obowiązuje systemy AI pełniące „funkcję bezpieczeństwa”, czyli takie, których celem jest zapobieganie ryzyku dla zdrowia lub bezpieczeństwa osób lub mienia. Zmiana precyzuje, że są to systemy służące wyłącznie asystowaniu użytkownikowi, optymalizacji wydajności lub automatyzacji procesów nie są klasyfikowane jako komponenty bezpieczeństwa, o ile ich awaria nie stwarza zagrożenia zdrowotnego lub fizycznego. W praktyce zmiana ta zawęża zakres systemów AI klasyfikowanych jako komponenty bezpieczeństwa, co bezpośrednio wpływa na ocenę ryzyka systemów wbudowanych w produkty przemysłowe i konsumenckie.
Przetwarzanie danych szczególnych kategorii do wykrywania i korygowania biasu
Do tej pory przetwarzanie wrażliwych danych osobowych (np. danych o pochodzeniu etnicznym czy zdrowiu) w celu wykrywania i korygowania błędów algorytmicznych (bias) było dopuszczalne wyłącznie dla dostawców systemów wysokiego ryzyka. Digital Omnibus rozszerza tę możliwość również na dostawców i wdrożeniowców systemów AI spoza kategorii wysokiego ryzyka, pod warunkiem, że przetwarzanie jest ściśle niezbędne i objęte odpowiednimi zabezpieczeniami (art. 10 ust. 5 AI Act).
Rozszerzenie ulg MŚP na małe spółki mid-cap oraz inne zmiany systemowe
Preferencyjne zasady stosowania AI Act, dotychczas zarezerwowane dla MŚP, rozszerzone zostaną na tzw. małe spółki mid-cap (SMC), podmioty, które przekroczyły progi MŚP, ale nadal działają w skali porównywalnej do mniejszych podmiotów. Jednocześnie wzmocnione zostają mechanizmy egzekwowania przepisów wobec wybranych modeli GPAI przez Europejskie Biuro ds. AI (AI Office), a dla sektorów takich jak maszyny możliwe będzie uniknięcie dublowania wymogów compliance, gdy prawo sektorowe zapewnia równoważny poziom ochrony.
Krajowe piaskownice regulacyjne AI
Państwa członkowskie mają czas do 2 sierpnia 2027 r. na uruchomienie krajowych piaskownic regulacyjnych AI (AI regulatory sandboxes). To kontrolowane środowiska, w których firmy mogą testować innowacyjne systemy AI pod nadzorem organu właściwego, z możliwością tymczasowego odstępstwa od wybranych wymogów.
Jeśli wdrażasz, zamawiasz lub rozwijasz systemy AI i chcesz ocenić, jakie obowiązki wynikają z AI Act dla Twojej organizacji jesteśmy do dyspozycji. Skontaktuj się z nami: Aneta Kiser, Marcin Kroll, Rafał Wieczerzak.


