AI Act i RODO: uproszczenia jako test dojrzałości MŚP

Nie chodzi jednak o poluzowanie zasad ani o „ulgę regulacyjną” rozumianą jako mniejszą odpowiedzialność. Zapowiadane zmiany dotyczą przede wszystkim sposobu stosowania prawa, a nie jego zakresu. To subtelna, ale bardzo istotna różnica – zwłaszcza dla MŚP planujących rozwój systemów IT i narzędzi opartych na danych.

Dlaczego MŚP tonęły w procedurach?

Z projektów zmian wyłania się dość spójny obraz: dla małych i średnich firm problemem nie są ani same dane, ani samo wykorzystanie sztucznej inteligencji. Problemem jest skala formalności, zaprojektowana z myślą o dużych organizacjach, a następnie automatycznie przeniesiona na mniejsze podmioty. Dotyczy to zwłaszcza dokumentacji, raportowania oraz obowiązków organizacyjnych wokół danych klientów, danych pracowniczych i danych wykorzystywanych przez systemy IT.

W wielu firmach rozbudowane procedury funcjonują jako stały element codziennej pracy, niezależnie od tego, czy faktycznie wspierają przetwarzanie danych. Dokumentacja i procesy są utrzymywane przede wszystkim po to, by spełnić formalne oczekiwania, a ich związek z realnym wykorzystaniem systemów bywa drugorzędny.

Uproszczenia, które są obecnie w fazie projektowej, porządkują ten obszar. Odpowiedzialność pozostaje, ale ocena zgodności coraz częściej opiera się na tym, jak system działa w praktyce i jaki ma wpływ na dane. Pytanie o sens danego rozwiązania staje się punktem wyjścia do dalszych decyzji.

SMC jako most, a nie klif

Tu warto spojrzeć na pojawienie się kategorii small mid-caps (SMC). Chodzi o firmy, które formalnie przekroczyły próg MŚP, ale nadal funkcjonują w realiach dalekich od dużych korporacji. Zgodnie z propozycją rozporządzenia COM(2025) 501 final z 21 maja 2025 r.: poniżej 750 osób, obrót do 150 mln euro lub suma bilansowa do 129 mln euro. Warto zaznaczyć, że pakiet Digital Omnibus przewiduje różne progi SMC w zależności od aktu prawnego – dla rynków kapitałowych przyjmuje się próg do 1000 pracowników i 200 mln euro obrotu.

To rozszerzenie ma znaczenie nie tylko dla samych SMC. Pokazuje ono, że regulator zaczyna oceniać firmy przez pryzmat rzeczywistej skali działalności, a nie jednego sztywnego progu, po którego przekroczeniu gwałtownie rosną obowiązki. Dla MŚP to istotny sygnał: kierunek zmian zmierza w stronę ciągłości wymagań, a nie regulacyjnego „klifu”, za którym nagle kończy się elastyczność.

AI Act: od formalizmu do zrozumienia systemu

W projektach dotyczących AI Act coraz wyraźniej widać odejście od formalizmu. Dokumentacja techniczna nadal pozostaje obowiązkiem, ale jej rola się zmienia. Zamiast tworzenia rozbudowanych opisów „na zapas”, większe znaczenie ma zdolność firmy do wykazania:

– w jakim celu system AI jest wykorzystywany, 

– jakie kategorie danych są przetwarzane, 

– w których obszarach mogą pojawić się ryzyka wymagające nadzoru.

Projekty przewidują, że Komisja Europejska przygotuje ujednolicone, uproszczone wzory dokumentacji technicznej dla MŚP i SMC. Dokumentacja ta będzie przedstawiana jednostkom notyfikowanym. To wyspecjalizowane, niezależne podmioty uprawnione do oceny zgodności systemów z unijnymi przepisami.

W praktyce: dokumentacja ma być czytelna i użyteczna, a nie „na wszelki wypadek”. To przesuwa ciężar z formy na treść i ogranicza ryzyko kosztownych nadinterpretacji.

Podobnie rzecz się ma z kompetencjami w zakresie AI. Digital Omnibus odchodzi od założenia, że każdy pracownik musi mieć ten sam poziom „wiedzy o AI”. Zamiast tego regulator zaczyna patrzeć na kompetencje przez pryzmat realnego użycia systemów. Inne potrzeby ma firma, która testuje jedno narzędzie analityczne, a inne organizacja budująca własne modele.

RODO: od raportowania do proporcjonalności

Podobna zmiana logiki widoczna jest w projektach dotyczących stosowania RODO. Projekty rozdzielają przetwarzanie, które realnie wpływa na prawa osób, od działań, które dotąd generowały obowiązki wyłącznie z ostrożności.

Oznacza to rozszerzenie zwolnienia z obowiązku prowadzenia rejestru czynności przetwarzania na organizacje, które zatrudniają poniżej 750 pracowników, o ile przetwarzanie nie wiąże się z wysokim ryzykiem. Rozbudowane rejestry bez realnej wartości decyzyjnej przestają być domyślnym standardem.

Jednym z istotnych kierunków doprecyzowania przepisów jest wzmocnienie zasady oceny danych osobowych przez pryzmat realnej możliwości identyfikacji osoby po stronie danego podmiotu. W dokumentach pakietu Digital Omnibus akcentuje się, że informacja nie jest daną osobową dla firmy, jeśli nie ma możliwości identyfikacji osoby bez dodatkowych działań. Nawet jeśli takie możliwości istnieją po stronie innego podmiotu.

Dla wielu firm technologicznych i B2B oznacza to większą pewność prawną w określonych procesach analitycznych i testowych, bez konieczności automatycznego stosowania pełnego reżimu RODO. W tym kontekście Digital Omnibus rozszerza istniejący wyjątek z Art. 10(5) AI Act, pozwalając nie tylko dostawcom (providers), ale również podmiotom stosującym (deployers) wszystkich systemów AI – nie tylko wysokiego ryzyka – na przetwarzanie określonych danych wrażliwych w celu wykrywania i korygowania uprzedzeń algorytmicznych. To jedno z niewielu miejsc, w których regulator wprost przyznaje, że bez takich danych bezpieczne systemy po prostu nie powstaną.

Operacyjne konsekwencje zmian

Projektowane piaskownice regulacyjne mają pełnić rolę kontrolowanych środowisk testowych dla przedsiębiorców, którzy rozwijają lub wdrażają systemy AI. Dostęp dla MŚP i start-upów? Priorytetowy i co do zasady nieodpłatny. Pokazują zmianę podejścia: regulator traktuje zgodność jako proces oparty na zrozumieniu systemu i kontroli nad danymi, a nie jako jednorazowe spełnienie formalnych wymogów.

W tym samym kierunku idą mniej widoczne, ale bardzo konkretne zmiany operacyjne. Pakiet Digital Omnibus wprowadza mechanizm jednego punktu zgłoszeń (single entry point), który ma umożliwić firmom raportowanie incydentów cyfrowych przez jeden portal, zamiast do kilku instytucji równolegle. System będzie zarządzany przez ENISA (Agencję Unii Europejskiej ds. Cyberbezpieczeństwa).

Uzupełnieniem tej logiki są zmiany w obszarze cookies i danych technicznych. Projektowana lista celów – takich jak własne statystyki oglądalności, bezpieczeństwo usługi czy przesyłanie komunikatu – ma pozwolić na ich przetwarzanie bez konieczności każdorazowego zbierania zgód.

Pakiet Digital Omnibus jest obecnie w fazie legislacyjnej – propozycje Komisji z listopada 2025 roku muszą przejść przez Parlament Europejski i Radę. Finalna wersja będzie wynikiem negocjacji, co oznacza możliwe modyfikacje w szczegółach. To nie jest moment na wyrzucanie dokumentacji, lecz na przygotowanie się na kierunek zmiany.

Zgodność coraz rzadziej będzie sprawdzianem z dokumentów, a coraz częściej z tego, czy firma naprawdę rozumie własne procesy i dane, na których pracuje. Część MŚP to wykorzysta. Reszta zostanie z papierem, który przestaje mieć realną wartość.

Co można zrobić jutro rano

Nie chodzi o przepisywanie procedur ani tworzenie nowych dokumentów. Wystarczy kilka prostych kroków, które pomagają przygotować firmę na kierunek zmian.

– Krótka inwentaryzacja systemów, w których faktycznie przetwarzane są dane: co działa w firmie, do czego jest używane i przez kogo.

– Zadanie pytania o realny wpływ poszczególnych narzędzi — nie w sensie formalnym, lecz operacyjnym: gdzie system wpływa na dane, decyzje albo procesy.

– Sprawdzenie dokumentacji, czy rzeczywiście opisuje sposób działania systemów, czy jedynie funkcjonuje obok nich jako formalny dodatek.

– Wskazanie ról kluczowych, które na co dzień pracują z danymi lub systemami AI — zamiast planowania szkoleń „dla wszystkich”.

To niewielkie działania, ale dokładnie w tym samym kierunku, w którym zmierza regulator: od papieru do rzeczywistego obrazu tego, jak firma działa na danych.