29 czerwca 2026 r. Rada Unii Europejskiej ostatecznie zatwierdziła Digital Omnibus dotyczący sztucznej inteligencji, przesuwając terminy nałożone przez AI Act dla systemów wysokiego ryzyka z 2 sierpnia 2026 r. na 2 grudnia 2027 r. w przypadku systemów samodzielnych oraz na 2 sierpnia 2028 r. dla sztucznej inteligencji wbudowanej w regulowane produkty. Głosowanie miało miejsce na pięć tygodni przed pierwotnym terminem, po dwóch nieudanych rundach rozmów trójstronnych w kwietniu i maju 2026 r., przez które zespoły ds. zgodności przygotowywały się na termin, który mógł przetrwać lub nie.
Opóźnienie to nie oznacza odwrotu od egzekwowania prawa. W tym samym okresie 2026 r. Komisja Europejska nałożyła na Temu karę w wysokości 200 milionów euro na mocy przepisu DSA, irlandzki Sąd Najwyższy utrzymał karę 530 milionów euro nałożoną na TikTok w ramach RODO, a krajowe organy nadzorcze przeszły od trybu obserwacji do aktywnych kontroli zgodnie z DORA w sektorach bankowym i ubezpieczeniowym. Europejski zbiór zasad dotyczących sztucznej inteligencji, danych i platform jest jednocześnie pisany na nowo i egzekwowany, przy czym harmonogramy tych działań rzadko się pokrywają.
Dla liderów zarządzania sztuczną inteligencją, inspektorów ochrony danych i specjalistów ds. cyfrowej zgodności działających w UE, Wielkiej Brytanii i Szwajcarii to właśnie ta kombinacja, czyli przesuwające się terminy i nakładane na bieżąco kary, stanowi rzeczywiste środowisko operacyjne na resztę 2026 r.
Czy termin 2 sierpnia 2026 r. dla systemów wysokiego ryzyka w ramach AI Act jest nadal aktualny?
Nie po opublikowaniu Digital Omnibus dotyczącego sztucznej inteligencji w Dzienniku Urzędowym, co jest spodziewane w lipcu 2026 r., a po trzech dniach od tego momentu wejdzie on w życie. Rozporządzenie (UE) 2024/1689 pierwotnie wyznaczało datę 2 sierpnia 2026 r. dla systemów wysokiego ryzyka z Załącznika III, obejmujących rekrutację, ocenę zdolności kredytowej, identyfikację biometryczną, edukację, migrację i zastosowania w ochronie porządku publicznego, oraz 2 sierpnia 2027 r. dla wbudowanych w produkty systemów z Załącznika I. Parlament Europejski zatwierdził tekst Omnibus 16 czerwca 2026 r. 423 głosami za, a ostateczna zgoda Rady z 29 czerwca 2026 r. ustaliła nowe daty odpowiednio na 2 grudnia 2027 r. i 2 sierpnia 2028 r.
Dwa wymogi przesuwają się w przeciwnym kierunku. Okres przejściowy na oznaczanie znakiem wodnym i etykietowanie treści generowanych przez sztuczną inteligencję zgodnie z art. 50 skrócono z sześciu do trzech miesięcy, co przyśpiesza nowy termin na 2 grudnia 2026 r. dla systemów już obecnych na rynku, a Omnibus dodaje całkowity zakaz generowania intymnych lub seksualnych treści bez zgody oraz materiałów przedstawiających seksualne wykorzystywanie dzieci wygenerowanych przez sztuczną inteligencję, przepis wchodzący w życie bez żadnego opóźnienia. Dopóki tekst nie ukaże się w Dzienniku Urzędowym, pierwotna data 2 sierpnia 2026 r. pozostaje prawnie wiążąca, więc organizacje klasyfikujące systemy zgodnie z Załącznikiem III nie mogą po prostu zawiesić działań.
Jak agresywnie Komisja Europejska egzekwuje przepisy DSA?
Wystarczająco agresywnie, aby nałożyć dwie kary sięgające setek milionów euro w ciągu sześciu miesięcy. 5 grudnia 2025 r. Komisja ukarana X kwotą 120 milionów euro, w swojej pierwszej decyzji o niezgodności z DSA, za wprowadzający w błąd projekt niebieskiego znacznika weryfikacji, repozytorium reklam niespełniające wymogów ujawniania informacji z art. 39 oraz bariery dostępu dla badaczy naruszające art. 40 ust. 12. Platformie X dano 60 dni roboczych na rozwiązanie problemu znacznika oraz 90 dni roboczych na przedstawienie pełnego planu naprawczego w przypadku innych naruszeń, a firma odwołała się do Sądu Unii Europejskiej w lutym 2026 r., co stanowiło pierwszy test sądowy egzekwowania DSA.
28 maja 2026 r. Komisja nałożyła na Temu karę 200 milionów euro, co stanowi 0.38% jej globalnego obrotu wynoszącego 53 miliardy euro, za brak odpowiedniej oceny ryzyka pozwalającej na identyfikację nielegalnych i niebezpiecznych produktów na jej platformie handlowej. Temu ma czas do 28 sierpnia 2026 r. na przedłożenie planu działań naprawczych, a szersze dochodzenie Komisji w sprawie systemów rekomendacji i moderacji treści na platformie Temu pozostaje otwarte. Obie sprawy opierały się na wymogach dotyczących ryzyka systemowego określonych w art. 34 i 35, czyli tych samych przepisach, które utrzymują każdą bardzo dużą platformę internetową i wyszukiwarkę pod ciągłym nadzorem Komisji, w obszarze, w którym monitorowanie regulacyjne na poziomie platformy wychwytuje nowe dochodzenie w dniu jego otwarcia, a nie w dniu, w którym trafia na pierwsze strony gazet.
Który organ regulacyjny faktycznie rozstrzyga sprawy RODO, gdy dane przekraczają granice?
W ramach mechanizmu jednego okienka jest to organ ochrony danych w państwie, w którym firma ma swoją główną jednostkę organizacyjną w UE, a dla większości globalnych platform oznacza to Irlandię. Decyzja irlandzkiej Komisji Ochrony Danych z 2 maja 2025 r. nałożyła na TikTok karę w wysokości 530 milionów euro, w tym 45 milionów za brak odpowiedniego poinformowania użytkowników zgodnie z art. 13 ust. 1 lit. f oraz 485 milionów za niezgodne z prawem przekazywanie danych użytkowników z EOG do Chin zgodnie z art. 46 ust. 1, po stwierdzeniu, że TikTok nie był w stanie dowieść, iż jego standardowe klauzule umowne zapewniają ochronę danych EOG w stopniu zasadniczo równoważnym wymogom RODO. 3 czerwca 2026 r. irlandzki Sąd Najwyższy utrzymał zarówno stwierdzenie odpowiedzialności, jak i kwotę kary, choć odesłał nakaz wstrzymania przyszłych transferów z powrotem do organu regulacyjnego w celu ponownego rozpatrzenia, pozwalając TikTokowi na dalsze przenoszenie europejskich danych do Chin, podczas gdy ten konkretny punkt jest ponownie analizowany.
Skumulowane kary nałożone przez irlandzką Komisję Ochrony Danych wynoszą obecnie 4.04 miliarda euro od 2018 r., a na czele wciąż znajduje się decyzja dotycząca Mety na 1.2 miliarda euro z 2023 r. Według badania DLA Piper ze stycznia 2026 r., kary nałożone przez wszystkie organy nadzorcze w UE w 2025 r. wyniosły około 1.2 miliarda euro, dorównując wynikowi z 2024 r. i podnosząc łączną kwotę dla całego bloku od wejścia w życie RODO w 2018 r. do 7.1 miliarda euro. Praktyczną lekcją dla specjalisty ds. zgodności jest to, że wybór głównego organu nadzorczego nie jest jedynie formalnością administracyjną, lecz decyduje o tym, czyje podejście do egzekwowania prawa, harmonogramy i apetyt na kary transgraniczne faktycznie rządzą sprawą.
Czy samo RODO jest pisane na nowo wraz z AI Act?
Tak, poprzez ten sam pakiet Digital Omnibus, zaproponowany przez Komisję 19 listopada 2025 r. jako COM(2025) 837. Wniosek ten na nowo zdefiniowałby dane osobowe tak, aby dane spseudonimizowane nie były uznawane za osobowe dla podmiotu, który nie dysponuje środkami do ponownej identyfikacji jednostki, pozwoliłby firmom opierać się na prawnie uzasadnionym interesie z RODO do trenowania lub obsługi modeli sztucznej inteligencji pod warunkiem odpowiednich zabezpieczeń, przeniósłby zasady zgody na pliki cookie z dyrektywy ePrivacy do RODO z jednokliknięciową zgodą ważną przez sześć miesięcy oraz utworzył pojedynczy punkt zgłaszania naruszeń ochrony danych i incydentów cyberbezpieczeństwa.
Europejska Rada Ochrony Danych i Europejski Inspektor Ochrony Danych wydali wspólną opinię w lutym 2026 r. popierającą uproszczenia administracyjne, jednocześnie wyraźnie wzywając współprawodawców do nieprzyjmowania nowej definicji danych osobowych, ostrzegając, że zawęziłoby to podstawowe prawo do ochrony danych bardziej, niż powinna to robić poprawka techniczna. W połowie 2026 r. wniosek pozostaje w zwykłej procedurze ustawodawczej, a odpowiedzialność w Parlamencie dzielą komisje ds. przemysłu oraz wolności obywatelskich, co oznacza, że tekst RODO, z którym firma jest dziś zgodna, może nie być tym samym tekstem RODO obowiązującym do czasu uruchomienia projektowanego obecnie programu trenowania sztucznej inteligencji.
Co Digital Markets Act, Data Act i DORA dodają do AI Act i RODO?
Przepisy DMA określają własną ścieżkę egzekwowania prawa wobec tych samych strażników dostępu. 22 kwietnia 2025 r. Komisja ukarała Apple na 500 milionów euro za naruszenia związane ze sterowaniem ruchem na mocy art. 5 ust. 4 oraz Metę na 200 milionów euro za jej model reklamowy związany z płaceniem lub wyrażeniem zgody zgodnie z art. 5 ust. 2, co stanowiło pierwsze kary za brak zgodności wydane na mocy DMA. Pierwszy przegląd trzyletni Komisji, opublikowany 3 maja 2026 r. jako COM(2026) 178, uznał system za adekwatny do zamierzonych celów, bez potrzeby zmian legislacyjnych, podczas gdy postępowania określające wymogi wszczęte wobec Google Play i wyszukiwarki Google w styczniu 2026 r. pozostają aktywne.
Przepisy Data Act zaczęły obowiązywać 12 września 2025 r., przyznając użytkownikom połączonych produktów i usług prawo dostępu do danych generowanych przez te produkty, a także, w miarę możliwości, dzielenia się nimi z podmiotami trzecimi w czasie rzeczywistym. Obowiązki projektowe wymagające, aby połączone produkty domyślnie udostępniały dane, wejdą w życie 12 września 2026 r., a uczciwe, rozsądne i niedyskryminujące warunki umowne mają zastosowanie do wszystkich umów udostępniania danych B2B zawartych po wrześniu 2025 r., co od września 2027 r. obejmie również pewne długoterminowe umowy starszego typu. W przypadku danych osobowych kary wynikające z Data Act podążają za poziomami określonymi w RODO, osiągając do 20 milionów euro lub 4% globalnego obrotu.
W przypadku samych podmiotów finansowych okres przejściowy dla DORA zakończył się w 2025 r. Od pierwszego kwartału 2026 r. EBC, BaFin, AMF, CSSF i inne właściwe organy krajowe przeszły od przeglądów gotowości do formalnych ocen nadzorczych w zakresie zarządzania ryzykiem ICT, umów z dostawcami zewnętrznymi oraz zgłaszania incydentów, popartych karami do 2% światowego obrotu dla instytucji oraz do 1 miliona euro osobiście dla członków organu zarządzającego, którzy nie podejmują działań w związku z raportami o ryzyku ICT.
| Instrument | Status (Lipiec 2026) | Kluczowa data do śledzenia |
|---|---|---|
| AI Act, Załącznik III systemy wysokiego ryzyka | Omnibus przyjęty, oczekuje na publikację w Dzienniku Urzędowym | 2 grudnia 2027 (było 2 sierpnia 2026) |
| AI Act, art. 50 przejrzystość | Okres przejściowy skrócony przez Omnibus | 2 grudnia 2026 |
| DSA egzekwowanie w związku z ryzykiem systemowym | Aktywne, wydano dwie kary, jedna w trakcie apelacji | 28 sierpnia 2026 (plan naprawczy Temu) |
| RODO (sprawa przekazywania danych przez TikTok) | Odpowiedzialność i kara utrzymane, środek zaradczy ponownie otwarty | Oczekuje na ponowne rozpatrzenie przez irlandzką DPC |
| Reforma RODO (Digital Omnibus) | W zwykłej procedurze ustawodawczej | Nie ustalono daty przyjęcia |
| DMA obowiązki strażników dostępu | Wydano dwie kary, przegląd zakończony, brak zmian | Trwa postępowanie w sprawie określenia wymogów dla Google |
| Data Act obowiązki projektowe | Główne przepisy obowiązują od września 2025 | 12 września 2026 |
| DORA egzekwowanie przez organy nadzoru | Okres przejściowy zakończony, aktywne oceny | W toku, zgodnie z właściwym organem krajowym |
Osiem instrumentów, osiem harmonogramów, z czego co najmniej trzy uległy istotnej zmianie w pierwszej połowie 2026 r. Funkcja ds. zgodności, która śledzi to wszystko w arkuszu kalkulacyjnym, jest o jeden przeoczony komunikat prasowy Rady od oparcia programu na terminie, który już nie obowiązuje, a właśnie tę lukę ma wypełnić asystent AI firmy Obsidian: nie jako substytut oceny prawnej, ale zweryfikowany asystent ds. regulacji, który sygnalizuje moment, w którym akt delegowany przechodzi kontrolę lub kara staje się ostateczna.
Co powinien zrobić zespół ds. zgodności w następnej kolejności?
Zacząć należy od oddzielenia wiążącego tekstu AI Act od planowanych poprawek: kontynuować prace nad klasyfikacją z Załącznika III, opierając się na założeniu, że 2 sierpnia 2026 r. nadal może obowiązywać, śledząc jednocześnie postępy Omnibusu aż do publikacji w Dzienniku Urzędowym, aby nowa data 2 grudnia 2027 r. została potwierdzona, a nie tylko zakładana. Równolegle należy traktować egzekwowanie DSA i DMA jako dowód na to, co organy regulacyjne faktycznie priorytetyzują, takie jak oceny ryzyka systemowego i ograniczenia dotyczące sterowania ruchem, a nie opierać się wyłącznie na samym tekście rozporządzeń.
Dla zespołów zarządzających ekspozycją na RODO w wielu jednostkach w UE należy potwierdzić, który organ nadzorczy posiada status wiodący dla każdego procesu przetwarzania oraz śledzić negocjacje w sprawie Digital Omnibus pod kątem zmian definicji danych osobowych, które mogłyby wpłynąć na już trwające programy szkolenia sztucznej inteligencji. MCP dla asystentów AI firmy Obsidian pozwala na prowadzenie tego śledzenia w narzędziach już używanych przez zespoły ds. zgodności, a obecne plany pokazują, jak monitorowanie w podziale na poszczególne jurysdykcje dotrzymuje kroku przepisom, które uległy trzem zmianom w pierwszej połowie 2026 r.