Poland Passes Its AI Law: Time for an Inventory, Not Panic

Czwartek, 11 czerwca, sala plenarna

W czwartek 11 czerwca 2026 r., późnym popołudniem, Sejm uchwalił ustawę o systemach sztucznej inteligencji — polski akt wdrażający unijne rozporządzenie 2024/1689, znane powszechnie jako AI Act. Wynik głosowania nie pozostawia pola do spekulacji: 421 posłów za, trzech przeciw, osiemnastu wstrzymało się od głosu. W polskim parlamencie, w którym spór potrafi dotyczyć przecinka w preambule, taka większość zdarza się przy ustawach okołobudżetowych i kondolencyjnych uchwałach. Tym razem dotyczyła regulacji, która w ciągu kilkunastu miesięcy zmieni sposób, w jaki tysiące polskich firm i urzędów kupują, wdrażają i rozliczają technologię.

Poprawki przyjęte przez izbę — zgłoszone przez Lewicę — miały charakter legislacyjny i porządkujący. Doprecyzowano termin, w jakim Senat powinien podjąć uchwałę w sprawie zgody na powołanie przewodniczącego nowego organu nadzoru, oraz wydłużono z 14 do 21 dni termin na przedstawienie sprawozdania z wykonania działań, których organ zażądał w ostrzeżeniu kierowanym do podmiotu przed nałożeniem sankcji. Sens ustawy pozostał nietknięty. Teraz tekst trafia do Senatu — i nic nie wskazuje, by izba wyższa zamierzała go zatrzymać.

Droga do tego głosowania była dłuższa, niż wypadało. Rada Ministrów przyjęła projekt 31 marca 2026 r. — niemal dwa lata po wejściu AI Act w życie i ponad rok po tym, jak w całej Unii zaczęły obowiązywać pierwsze zakazy. Polska przez ten czas była rynkiem, na którym unijne przepisy o sztucznej inteligencji formalnie obowiązywały, ale nie miał ich kto egzekwować. Ta wygodna luka właśnie się zamyka.

Co właściwie uchwalono — i czego ta ustawa nie robi

Zacznijmy od rzeczy, którą w zarządach rozumie się najrzadziej: polska ustawa o systemach sztucznej inteligencji nie tworzy nowych obowiązków merytorycznych dla dostawców i użytkowników AI. Te obowiązki istnieją już w rozporządzeniu 2024/1689, które — jak każde rozporządzenie unijne — stosuje się bezpośrednio, bez transpozycji. Zakazy nieakceptowalnych praktyk z art. 5 AI Act obowiązują od 2 lutego 2025 r. Od tego samego dnia obowiązuje art. 4 — wymóg zapewnienia, by personel pracujący z systemami AI dysponował odpowiednimi kompetencjami (tzw. AI literacy). Obowiązki dla systemów wysokiego ryzyka z załącznika III wchodzą do stosowania 2 sierpnia 2026 r. — i ta data nie wynika z polskiej ustawy, więc żadne opóźnienie w Senacie jej nie przesunie.

Co w takim razie robi ustawa? Trzy rzeczy. Po pierwsze — tworzy organ nadzoru rynku i wyposaża go w procedury: postępowania, kontrole, decyzje, sankcje. Po drugie — buduje infrastrukturę wsparcia, z piaskownicą regulacyjną na czele. Po trzecie — ustanawia krajowy punkt kontaktowy w relacjach z Komisją Europejską i Europejską Radą ds. Sztucznej Inteligencji. Mówiąc obrazowo: rozporządzenie unijne napisało kodeks drogowy, a polska ustawa właśnie powołała policję drogową, ustawiła fotoradary i otworzyła ośrodek doskonalenia techniki jazdy.

Dla praktyka oznacza to jedno: argument „polskiej ustawy jeszcze nie ma, więc nie musimy nic robić", którym przez półtora roku zbywano działy compliance, właśnie stracił ważność. Obowiązki istniały od dawna — od teraz istnieje też ktoś, kto za ich nieprzestrzeganie wystawi decyzję administracyjną.

KRiBSI — regulator złożony z czterech regulatorów

Sercem ustawy jest Komisja Rozwoju i Bezpieczeństwa Sztucznej Inteligencji — w skrócie KRiBSI. To krajowy organ nadzoru rynku w rozumieniu AI Act i pojedynczy punkt kontaktowy w relacjach z instytucjami unijnymi. Przewodniczącego powołuje Sejm za zgodą Senatu na pięcioletnią kadencję, co ma zapewnić niezależność od bieżącego cyklu politycznego. W kierownictwie Komisji zasiądą przedstawiciele czterech istniejących regulatorów: Urzędu Ochrony Konkurencji i Konsumentów, Komisji Nadzoru Finansowego, Krajowej Rady Radiofonii i Telewizji oraz Urzędu Komunikacji Elektronicznej.

Ta konstrukcja zasługuje na chwilę uwagi, bo przesądza o charakterze przyszłego nadzoru. KRiBSI nie będzie uczyć się rynku od zera — wchodzi do gry z know-how czterech instytucji, które od lat prowadzą kontrole, nakładają kary i przegrywają oraz wygrywają spory przed sądami administracyjnymi. Kto miał okazję obserwować postępowanie UOKiK w sprawie naruszeń zbiorowych interesów konsumentów albo kontrolę KNF w instytucji finansowej, ten wie, że to nie są organy, które onieśmiela duży podmiot z dużą kancelarią.

Zakres kompetencji Komisji obejmie prowadzenie postępowań administracyjnych, wydawanie decyzji, stosowanie sankcji, koordynację nadzoru nad systemami AI oraz wydawanie zezwoleń dla systemów wysokiego ryzyka wykorzystywanych m.in. w kształceniu, infrastrukturze krytycznej, zatrudnianiu i zarządzaniu migracją. Komisja będzie mogła badać rozwiązania pod kątem zgodności z AI Act, żądać usunięcia naruszeń, a w skrajnym scenariuszu — wycofać system z rynku. Mechanizm ostrzeżenia przed sankcją, ze wspomnianym 21-dniowym terminem na sprawozdanie z działań naprawczych, sugeruje, że ustawodawca przewidział model „najpierw napraw, potem płać". To dobra wiadomość dla tych, którzy zaczną działać teraz, i żadna pociecha dla tych, którzy ostrzeżenie zignorują.

Kary liczone jak w RODO — tylko wyższe

Architektura sankcji pochodzi wprost z rozporządzenia i będzie boleśnie znajoma każdemu, kto pamięta wdrożenia RODO. Za stosowanie zakazanych praktyk z art. 5 — manipulacji behawioralnej wykorzystującej podatności, social scoringu, masowego scrapingu wizerunków do baz rozpoznawania twarzy — grozi kara do 35 milionów euro lub 7% światowego rocznego obrotu, w zależności od tego, która kwota jest wyższa (art. 99 ust. 3 AI Act). Naruszenia obowiązków dotyczących systemów wysokiego ryzyka, modeli ogólnego przeznaczenia i wymogów przejrzystości — do 15 milionów euro lub 3% obrotu. Dostarczenie organowi nadzoru informacji nieprawdziwych, niekompletnych lub wprowadzających w błąd — do 7,5 miliona euro lub 1% obrotu.

Dla porównania: górny pułap kar z RODO to 20 milionów euro lub 4% obrotu. Unijny prawodawca uznał, że ryzyka związane ze sztuczną inteligencją wyceniane są wyżej niż ryzyka związane z danymi osobowymi — i ta wycena od 2 sierpnia 2026 r. będzie miała w Polsce swojego egzekutora. Warto przy tym pamiętać lekcję, którą orzecznictwo UODO i sądów administracyjnych powtarza od lat: organ nadzoru nie musi czekać na szkodę. Samo niespełnienie wymogów — brak dokumentacji, brak nadzoru, brak analizy ryzyka — wystarcza do wszczęcia postępowania. Nie ma powodu zakładać, że KRiBSI przyjmie łagodniejszą filozofię niż jej czterej instytucjonalni rodzice.

Zakazy obowiązują od roku — kończy się tylko bezkarność

Warto przy okazji rozprawić się z mitem, że „AI Act dopiero wchodzi". Najostrzejsza część rozporządzenia — katalog praktyk zakazanych z art. 5 — obowiązuje od 2 lutego 2025 r., czyli od szesnastu miesięcy. Zakazane jest m.in. wykorzystywanie technik podprogowych i manipulacyjnych istotnie zniekształcających zachowanie osób, eksploatowanie podatności związanych z wiekiem czy niepełnosprawnością, scoring społeczny prowadzący do nieuzasadnionego gorszego traktowania, nieukierunkowane pozyskiwanie wizerunków twarzy z internetu lub monitoringu do budowy baz rozpoznawania oraz — co dotyczy pracodawców wprost — rozpoznawanie emocji w miejscu pracy i w placówkach edukacyjnych, poza wąskimi wyjątkami medycznymi i bezpieczeństwa. Jeżeli ktoś w organizacji testował narzędzie analizujące „zaangażowanie" pracowników na podstawie mimiki podczas wideokonferencji, to nie jest w szarej strefie. Jest po niewłaściwej stronie art. 5 — od ponad roku.

Od tej samej daty obowiązuje art. 4, czyli wymóg kompetencji AI (AI literacy): dostawcy i podmioty stosujące mają obowiązek zapewnić, by osoby obsługujące systemy AI w ich imieniu dysponowały odpowiednią wiedzą — stosownie do kontekstu, doświadczenia i grup, na które systemy oddziałują. To obowiązek o miękkiej nazwie i twardych konsekwencjach dowodowych: w razie incydentu lub kontroli organizacja będzie musiała wykazać, że ludzie podejmujący decyzje wsparte przez AI rozumieli, czym dysponują i gdzie leżą ograniczenia narzędzia. Lista obecności ze szkolenia „czym jest ChatGPT" tego ciężaru nie udźwignie; program kompetencji dopasowany do ról — owszem.

Przez szesnaście miesięcy oba przepisy istniały w Polsce w stanie zawieszenia praktycznego: obowiązywały, ale nie istniał organ wyznaczony do ich egzekwowania. Uchwalona ustawa kończy ten stan. I to jest właściwa rama do myślenia o czwartkowym głosowaniu — nie „nowe obowiązki nadciągają", lecz „stare obowiązki właśnie dostały adres, telefon i uprawnienia kontrolne".

Najczęstszy błąd kwalifikacji: „my tylko używamy"

W rozmowach, które prowadzimy z zarządami i działami IT, jedno zdanie wraca jak bumerang: „nas to nie dotyczy, my niczego nie produkujemy — tylko używamy". To nieporozumienie, które warto rozbroić, zanim zrobi to kontrola. AI Act rozróżnia rolę dostawcy (provider) i podmiotu stosującego (deployer) — i na obie nakłada obowiązki. Firma, która kupiła system do preselekcji CV, scoringu kredytowego, monitorowania pracowników czy oceny zdolności leasingowej, jest deployerem systemu wysokiego ryzyka — z obowiązkiem stosowania systemu zgodnie z instrukcją dostawcy, zapewnienia nadzoru ludzkiego przez osoby kompetentne, monitorowania działania, przechowywania logów i zgłaszania poważnych incydentów.

Jest i drugi próg, o który potyka się zaskakująco wielu: pracodawca wykorzystujący wobec pracowników systemy AI wysokiego ryzyka ma obowiązek poinformować o tym pracowników i ich przedstawicieli — wraz z zasadami, na jakich te systemy funkcjonują. W praktyce oznacza to konieczność zinwentaryzowania narzędzi HR, które przez ostatnie trzy lata dział kadr kupował w modelu SaaS, często bez wiedzy IT i bez jakiejkolwiek oceny prawnej. Nasze doświadczenia z audytów zjawiska shadow AI pokazują, że typowa organizacja średniej wielkości używa od kilkunastu do kilkudziesięciu narzędzi z komponentem AI, z których formalnie wdrożono pięć. Reszta żyje w cieniu — na prywatnych kontach, w darmowych planach, w pluginach do przeglądarek. Pisaliśmy o tym szerzej w analizie shadow AI jako niewidzialnego pracownika — w kontekście wycieku danych. Od sierpnia ten sam cień stanie się również problemem regulacyjnym.

I wreszcie pułapka najsubtelniejsza: deployer, który istotnie modyfikuje system wysokiego ryzyka albo firmuje go własną marką, może zostać uznany za dostawcę — z pełnym pakietem obowiązków: systemem zarządzania jakością, dokumentacją techniczną, oceną zgodności. Granica między „dostosowaliśmy narzędzie do naszych potrzeb" a „staliśmy się dostawcą" bywa cieńsza, niż sugeruje intuicja działu zakupów.

Samorząd i administracja — FRIA przed sierpniem

Dla jednostek samorządu terytorialnego i podmiotów publicznych ustawa ma wymiar szczególny. To właśnie administracja publiczna stosuje systemy, które załącznik III AI Act kwalifikuje jako wysokie ryzyko: narzędzia wspierające przyznawanie świadczeń, ocenę wniosków, zarządzanie ruchem i infrastrukturą krytyczną, systemy wykorzystywane w edukacji i w służbach zatrudnienia. Podmioty publiczne stosujące takie systemy mają obowiązek przeprowadzenia oceny skutków dla praw podstawowych — FRIA (Fundamental Rights Impact Assessment, art. 27 AI Act) — przed oddaniem systemu do użytku.

Ustawodawca unijny przewidział okres przejściowy: systemy wysokiego ryzyka wprowadzone do użytku przez podmioty publiczne przed 2 sierpnia 2026 r. muszą osiągnąć zgodność najpóźniej do 2 sierpnia 2030 r. Brzmi komfortowo — do momentu, w którym uświadomimy sobie dwie rzeczy. Po pierwsze, okres przejściowy dotyczy systemów już wdrożonych, a nie tych, które urząd planuje kupić jesienią; każde nowe wdrożenie po 2 sierpnia wchodzi w pełny reżim od pierwszego dnia. Po drugie, żeby wiedzieć, które systemy korzystają z okresu przejściowego, trzeba najpierw wiedzieć, jakie systemy się posiada — a inwentaryzacja narzędzi AI w urzędach, według naszych obserwacji, praktycznie nie istnieje. Chatboty na stronach gmin, automatyczne transkrypcje sesji rady, narzędzia do anonimizacji dokumentów, moduły AI w systemach EZD — wszystko to funkcjonuje, ale rzadko figuruje w jakimkolwiek rejestrze.

Samorządy mają przy tym świeżo w pamięci dwie inne fale obowiązków: rejestrację w wykazie podmiotów kluczowych i ważnych po nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz niesłabnącą aktywność kontrolną Prezesa UODO. Ustawa o AI nie zastępuje żadnego z tych reżimów — dokłada trzeci, z osobnym organem, osobnymi karami i osobną dokumentacją.

Piaskownica regulacyjna — co naprawdę daje art. 91

Ustawa przewiduje uruchomienie piaskownicy regulacyjnej — kontrolowanego środowiska, w którym firma może rozwijać, testować i oceniać system AI pod okiem regulatora, zanim wprowadzi go na rynek. Zgodnie z AI Act co najmniej jedna piaskownica musi działać w każdym państwie członkowskim do 2 sierpnia 2026 r., więc kalendarz jest tu wyjątkowo napięty: między podpisem Prezydenta a unijnym terminem zostanie kilka tygodni.

Warto rozumieć, co piaskownica daje, a czego nie daje. Zgodnie z projektowanym art. 91 ust. 3 uczestnictwo zwalnia z trzech konkretnych obowiązków: prowadzenia systemu zarządzania jakością, sporządzania dokumentacji zgodności oraz rejestrowania zdarzeń (logów) — na czas testów i w zakresie objętym planem piaskownicy. Nie zwalnia natomiast z odpowiedzialności za szkody wyrządzone uczestnikom testów ani z przestrzegania zakazów art. 5. To nie jest strefa bezprawia — to poligon z instruktorem. Dla polskich startupów budujących systemy wysokiego ryzyka, zwłaszcza w medtech, fintech i HR-tech, to mimo wszystko oferta poważna: możliwość zderzenia produktu z oczekiwaniami regulatora, zanim zderzy się z nimi w postępowaniu administracyjnym.

Trzy reżimy, jedna organizacja — AI Act, RODO, NIS-2

Najdroższym błędem, jaki organizacja może teraz popełnić, jest potraktowanie ustawy o AI jako osobnego projektu, prowadzonego przez osobnego pełnomocnika, w osobnym segregatorze. System AI przetwarzający dane osobowe podlega jednocześnie AI Act i RODO — z DPIA po stronie ochrony danych i FRIA po stronie praw podstawowych, które częściowo się pokrywają i które rozsądny praktyk przygotowuje razem. Organizacja będąca podmiotem kluczowym lub ważnym w rozumieniu znowelizowanej ustawy o KSC musi z kolei uwzględnić systemy AI w analizie ryzyka i zarządzaniu incydentami — bo incydent w systemie AI wspierającym proces krytyczny jest incydentem w rozumieniu NIS-2, niezależnie od tego, co na ten temat sądzi dostawca modelu. O punktach styku obu regulacji pisaliśmy już w tekście o tym, co łączy AI Act z bezpieczeństwem informacji — dziś ta zbieżność przestaje być akademicka.

Dobra wiadomość jest taka, że narzędziownia jest gotowa. Organizacje, które mają wdrożony system zarządzania bezpieczeństwem informacji zgodny z ISO/IEC 27001, dysponują 70% infrastruktury potrzebnej pod AI Act: rejestrem aktywów, analizą ryzyka, nadzorem nad dostawcami, zarządzaniem incydentami, przeglądami zarządzania. Norma ISO/IEC 42001 — system zarządzania sztuczną inteligencją — została zaprojektowana tak, by nakładać się na tę strukturę, a nie konkurować z nią. Ścieżka „rozszerzamy istniejący SZBI o domenę AI" jest tańsza, szybsza i bardziej wiarygodna w oczach regulatora niż budowanie równoległego silosu. Trzeba też pamiętać, że otoczenie prawne wciąż się porusza: pakiet Digital Omnibus, o którym pisaliśmy w kontekście zmian w ochronie danych, może jeszcze skorygować niektóre terminy i obowiązki AI Act na poziomie unijnym. Korekta kalendarza nie zmieni jednak kierunku — a organy nadzoru powstają tu i teraz.

Kalendarz na najbliższe miesiące

Spróbujmy uporządkować daty, bo to one wyznaczają tempo pracy. Ustawa trafia teraz do Senatu; po jej przyjęciu i podpisie Prezydenta zasadnicza część przepisów ma znaleźć zastosowanie w sierpniu 2026 r., równolegle z pełnym wejściem do stosowania wymogów AI Act dla systemów wysokiego ryzyka 2 sierpnia 2026 r. W tym samym terminie powinna ruszyć pierwsza piaskownica regulacyjna. Pełne wejście w życie wszystkich przepisów ustawy nastąpi w 2027 r. KRiBSI musi zostać obsadzona — z procedurą sejmowo-senacką powołania przewodniczącego — zanim nadzór ruszy operacyjnie, co daje organizacjom kilka, może kilkanaście miesięcy realnego oddechu.

Ten oddech łatwo źle wykorzystać. Doświadczenie z RODO z lat 2016–2018 i z NIS-2 z lat 2024–2026 uczy, że organizacje dzielą się na te, które czas między uchwaleniem a egzekwowaniem przeznaczyły na wdrożenie, i te, które przeznaczyły go na czekanie. Różnica ujawniała się przy pierwszej kontroli — i była różnicą między korektą procedur a karą liczoną od obrotu. Z perspektywy zarządu kluczowe jest jedno: odpowiedzialność za zgodność z AI Act nie jest delegowalna na dostawcę technologii. Tak jak umowa powierzenia nie zwalniała administratora z odpowiedzialności za podwykonawców, tak licencja na system AI nie zwolni deployera z obowiązku nadzoru nad tym, co system robi z jego klientami i pracownikami.

Osobne zdanie należy się MŚP, bo to one najczęściej wyciągają z lektury takich tekstów wniosek „to nie nasza liga". Unijny prawodawca przewidział dla małych i średnich podmiotów uproszczenia — preferencyjny dostęp do piaskownic regulacyjnych, uproszczoną dokumentację techniczną, kary miarkowane wielkością przedsiębiorstwa — ale nie przewidział wyłączenia. Biuro rachunkowe korzystające z narzędzia AI do wstępnej oceny zdolności kredytowej klientów, agencja pracy używająca automatycznej preselekcji kandydatów, niepubliczna placówka medyczna z modułem AI w systemie gabinetowym — wszystkie te podmioty wykonują czynności, które załącznik III kwalifikuje jako wysokie ryzyko, niezależnie od liczby etatów. Skala działalności wpływa na głębokość wdrożenia i wysokość ewentualnej kary, ale nie na samo istnienie obowiązku. Im mniejsza organizacja, tym ważniejsze zresztą, by zgodność osiągnąć najtańszą możliwą ścieżką — czyli porządkując stan faktyczny teraz, a nie ratując go pod presją postępowania.

Dlaczego z Fib.Code — ład AI bez teatru zgodności

W Fib.Code od lat budujemy systemy zarządzania bezpieczeństwem informacji i zgodnością regulacyjną dla firm prywatnych, samorządów i podmiotów sektora publicznego — od ISO/IEC 27001 i 22301, przez RODO i NIS-2, po audyty KRI. Domena AI nie jest dla nas nowym rynkiem do zagospodarowania marketingowo, lecz naturalnym rozszerzeniem tego samego warsztatu: inwentaryzacja aktywów, klasyfikacja ryzyka, dokumentacja, która odzwierciedla rzeczywistość, i nadzór, który działa również wtedy, gdy nikt nie patrzy. Wdrażając governance AI, korzystamy z ISO/IEC 42001 jako szkieletu i mapujemy wymogi AI Act na kontrole, które organizacja już posiada — zamiast sprzedawać jej drugi, równoległy system.

Pracujemy według trzech zasad. Po pierwsze — najpierw stan faktyczny, potem dokumenty: zaczynamy od rzetelnej inwentaryzacji systemów AI, w tym tych z cienia, bo polityka napisana do nieistniejącego rejestru jest makulaturą. Po drugie — proporcjonalność: MŚP z dwoma narzędziami SaaS nie potrzebuje tej samej machiny co bank z własnymi modelami; dobieramy zakres do rzeczywistego ryzyka i roli w łańcuchu (dostawca, deployer, importer). Po trzecie — odpowiedzialność osobista: każdy projekt kończy się wskazaniem, kto w organizacji za co odpowiada, bo KRiBSI — jak każdy regulator — będzie rozmawiać z ludźmi, nie z segregatorami.

Produktem końcowym nie jest plik z politykami, lecz działający ład: rejestr systemów AI z klasyfikacją ryzyka, przeprowadzone FRIA i DPIA tam, gdzie są wymagane, zaktualizowane umowy z dostawcami, przeszkolony personel spełniający wymóg AI literacy oraz procedury nadzoru i reagowania na incydenty wpięte w istniejący SZBI. Innymi słowy — stan, w którym ostrzeżenie od regulatora kończy się 21-dniowym sprawozdaniem, a nie postępowaniem sankcyjnym.

Co zrobić w ten weekend z ustawą o AI

Nie trzeba zwoływać sztabu kryzysowego — wystarczy jedna decyzja i jedno spotkanie. Decyzja: wyznaczenie osoby odpowiedzialnej za przygotowanie organizacji do AI Act, z mandatem zarządu i terminem na pierwszy raport. Spotkanie: w poniedziałek, godzina, IT, HR, prawnik lub IOD oraz przedstawiciel biznesu, z jednym punktem agendy — inwentaryzacja. Na tym spotkaniu padają cztery pytania. Pierwsze: jakich narzędzi z komponentem AI używamy — formalnie i nieformalnie, łącznie z tym, co pracownicy uruchamiają na własnych kontach? Drugie: czy którekolwiek z nich dotyka obszarów wysokiego ryzyka — rekrutacji, oceny pracowników, scoringu, świadczeń, edukacji, infrastruktury krytycznej? Trzecie: w jakiej roli występujemy wobec każdego z nich — kupujemy, modyfikujemy, a może firmujemy własną marką? Czwarte: kto u nas spełnia wymóg kompetencji AI i czym to udokumentujemy?

Odpowiedzi na te cztery pytania — spisane choćby w arkuszu — są fundamentem wszystkiego, co przyjdzie potem: klasyfikacji, FRIA, aktualizacji umów, szkoleń. Organizacja, która zrobi to w czerwcu, wchodzi w sierpień z mapą. Organizacja, która odłoży to na „po wakacjach", wejdzie w sezon kontrolny z białą plamą w miejscu, w którym KRiBSI będzie oczekiwać rejestru.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: AI Act a bezpieczeństwo informacji — co łączą nowe regulacje, Shadow AI — niewidzialny pracownik wynosi dane z firmy, Digital Omnibus i RODO 2.0 — co zmienia się w ochronie danych — trzy teksty, które domykają obraz regulacyjnego krajobrazu, w którym ustawa o AI jest najnowszym, ale nie ostatnim elementem.