Структурата на AI Act през 2026 г.

AI Act е първата в света всеобхватна хоризонтална регулация на изкуствения интелект. Нейната архитектура с нива на риск е ключът към разбирането кои задължения се прилагат към кои системи.

Нивата на риск

Законът разпределя AI системите в четири нива въз основа на риска, който представляват:

• Забранени системи — практики, които са напълно забранени, включително манипулативни сублиминални техники, експлоатиране на уязвимости, социално оценяване от публични органи и определени форми на биометрично категоризиране и разпознаване на емоции
• Системи с висок риск — системи, използвани в определени рискови контексти, подлежащи на основната част от съществените задължения на Закона, включително управление на риска, управление на данни, прозрачност, човешки надзор и изисквания за точност
• Системи с ограничен риск — системи със специфични задължения за прозрачност, включително повечето AI-управлявани препоръчващи системи за съдържание и чатботове, взаимодействащи директно с потребители
• Системи с минимален риск — всичко останало, подлежащо само на общи доброволни кодекси за поведение

Мястото на рекламата и препоръчващите системи

Повечето AI, насочен към рекламата — оценяване на аудиторията, оптимизиране на програматичните наддавания, препоръчващи системи за съдържание, персонализиращи машини — попада в нивото с ограничен риск, а не в нивото с висок риск. Това звучи обнадеждаващо, но нивото с ограничен риск все пак носи значими задължения за прозрачност и редица гранични случаи тласкат конкретни системи към по-високи нива. Критично е, че правилата за забранени практики могат да достигнат рекламни системи, ако те навлязат в областта на манипулацията или експлоатацията, а EDPB е сигнализирал готовност да тълкува тези разпоредби широко.

Поетапното въвеждане

Календарът за 2026 г. е важен: задълженията за нови системи с висок риск влизат в сила през август 2026 г., задълженията за системи, вече на пазара, влизат в сила през 2027 г., а задълженията на доставчиците на AI с общо предназначение вече са в сила. Издателите и рекламодателите трябва да съпоставят своя AI инвентар с този календар, за да знаят кои задължения кога се прилагат.

Как AI Act се наслагва върху GDPR

AI Act не замества GDPR. Той се наслагва върху него. Система, обработваща лични данни за производство на AI-управлявани резултати, трябва да удовлетворява и двата режима, а задълженията са кумулативни, а не алтернативни.

Слоят GDPR

GDPR продължава да урежда законосъобразността на обработката на лични данни. Съгласието за рекламно профилиране, законовото основание за измерване, групата права на субектите на данни, задълженията за трансгранично прехвърляне — всички те продължават да се прилагат непроменени.

Слоят AI Act

Върху GDPR AI Act добавя задължения, специфично свързани с самата AI система: как е обучена, какви данни са влезли в обучението, как са документирани резултатите й, какви механизми за надзор съществуват, каква прозрачност получава потребителят. Тези задължения се прилагат към AI системата независимо от това дали основната обработка на данни е базирана на съгласие, договор или друго законово основание.

Практическото следствие

Издател, управляващ препоръчваща система за съдържание върху лични данни, се нуждае от валидно законово основание по GDPR за обработката на данните и от съответстващо разкриване на прозрачност по AI Act. Нито едното само по себе си е достатъчно. Повърхността на съответствие сега е истински двуизмерна, а документационната верига трябва да обхваща и двете оси.

Забранени практики и реклама

Списъкът с забранени практики на Закона е кратък, но значим, и няколко позиции имат последствия за рекламния дизайн.

Манипулативни техники

Законът забранява AI системи, прилагащи сублиминални техники, манипулативни практики или експлоатиращи уязвимости на конкретни групи по начини, вероятно причиняващи значителна вреда. Повечето рекламни дизайни не се доближават до тази граница — но реклама, насочена към идентифицирани уязвимости (финансови затруднения, психично здраве, модели на зависимост) чрез AI-управлявано профилиране, може да я пресече. EDPB е посочил това в ранните си насоки.

Биометрично категоризиране

Законът забранява биометричното категоризиране, извеждащо чувствителни атрибути като раса, политическо мнение, членство в синдикати, религиозни убеждения, сексуален живот или сексуална ориентация. Аудиторните сегменти, изградени от биометрични данни, извеждащи тези атрибути, сега са в забранена зона.

Разпознаване на емоции в конкретни контексти

Разпознаването на емоции е забранено в работни и образователни контексти. Случаите на употреба на разпознаване на емоции в рекламата извън тези контексти все още могат да бъдат допустими, но са обект на засилен контрол.

Задължения за прозрачност при ограничен риск

Тук се съсредоточава основната работа по съответствие с AI Act за издатели и рекламодатели през 2026 г.

Разкриването на препоръчващата система

Препоръчващите системи за съдържание, персонализиращи това, което потребителите виждат — независимо дали на началната страница на издателя, в емисия в приложението или в рекламно пространство при програматично закупуване — попадат в нивото с ограничен риск. Потребителите трябва да бъдат информирани, че взаимодействат с AI система, а системата трябва да бъде проектирана така, че AI характерът на взаимодействието да е ясен.

Разкриването на чатбота

Всяка AI система, взаимодействаща директно с потребители в разговорна форма, трябва да разкрива своя AI характер. Издатели и рекламодатели, управляващи AI чат интерфейси — за поддръжка на клиенти, намиране на съдържание или друга цел — трябва да отговарят на тази базова изисква.

Разкриването на синтетично съдържание

AI-генерирани изображения, аудио, видео и текстово съдържание трябва да бъдат маркирани като такива. Издатели, използващи AI-генерирани визуализации или текстове в редакционното съдържание, рекламни материали или изображения на продукти, трябва да прилагат задълженията за маркиране. Указанията за прилагане за 2026 г. са изяснили техническите спецификации за маркиране, включително стандарти за воден знак за визуалното съдържание.

Комбинираната повърхност на съгласие през 2026 г.

CMP и известието за поверителност сега трябва да работят за двата режима. CMP на издателя за 2026 г. е значимо по-сложен от предшественика си от 2024 г.

Гранулирани цели на съгласието

CMP излага целите на съгласието, разграничаващи общата реклама, профилирането за реклама, автоматизираното вземане на решения и персонализирането на препоръките. Всяка съответства на конкретна граница на AI Act и GDPR и изисква свое самостоятелно изрично съгласие.

Разкривания на AI системата

Известието за поверителност или придружаващият документ за разкриване на AI описва използваните AI системи, техните цели, категориите входни данни, широката логика на резултатите и съществуващите механизми за човешки надзор. Това е повече от разкриването на автоматизирано вземане на решения по член 22 от GDPR — то е по-пълна история за прозрачност на AI.

Правото на възражение

Правото на GDPR да се възразява срещу профилирането продължава да се прилага, а AI Act добавя допълнителни права на потребителите около персонализирането на препоръчващите системи с AI. Потребителите могат да се откажат от персонализирането на препоръките, без да губят достъп до основната услуга, и отказът трябва да е поне толкова лесен, колкото и включването.

Оперативни модели, работещи през 2026 г.

Издателите и рекламодателите, управляващи зрели програми за 2026 г., се събират около няколко оперативни модела.

AI инвентарът

Поддържайте жив инвентар на всяка AI система в употреба в стека на издателя или рекламодателя: системата, нейното ниво на риск по Закона, личните данни, които обработва, нейното законово основание по GDPR, приложените разкривания за прозрачност и действащия човешки надзор. Това е основният артефакт на съответствие и е това, което регулаторите ще поискат да видят първо.

Комбинираното известие за поверителност

Едно комбинирано известие за поверителност и прозрачност на AI — на португалски, немски, френски или каквито и да е подходящи за аудиторията езици — което разглежда задълженията по GDPR и AI Act в съгласуван разказ. Опитът да се поддържат две отделни разкривания води до противоречия и объркване на читателите.

AI одитът на доставчика

За всеки доставчик на реклама или анализи, обработващ AI-управлявани резултати от името на издателя, договорът трябва да урежда разпределянето на задълженията по AI Act, достъп до техническа документация и уведомяване при инцидент. Стандартните споразумения за обработка на данни от 2023 г. не уреждат AI Act и трябва да бъдат обновени.

Санкции и позиция по прилагане

AI Act въвежда стъпаловиден режим на санкции с административни глоби, които могат да надхвърлят максимумите на GDPR.

Нивата на санкциите

• До EUR 35 милиона или 7 процента от глобалния годишен оборот за нарушения на забранените практики
• До EUR 15 милиона или 3 процента за повечето други съществени нарушения
• До EUR 7,5 милиона или 1 процент за предоставяне на неверна информация

Архитектурата за прилагане

Всяка държава-членка определя национални компетентни органи за прилагане на AI Act, а Европейската служба за AI координира надзора на AI моделите с общо предназначение. Прилагането срещу издатели и рекламодатели ще се осъществява предимно чрез националните органи, често в тясна координация с действащите органи за защита на данните. Очаква се първите значими действия по прилагане на AI Act в хода на 2026 г., тъй като задълженията за системи с висок риск влизат напълно в сила.

Контролен списък за одит на AI-управлявана реклама през 2026 г.

• Жив инвентар на всяка AI система в стека с класификация на нивото на риск
• Документирано законово основание по GDPR за всяка AI система, обработваща лични данни
• Прилагани разкривания за прозрачност по AI Act за всяка система с ограничен риск, включително персонализиране на препоръките и чатботове
• Приложено маркиране на синтетично съдържание към AI-генерирани материали, изображения, аудио и видео
• Комбинирано известие за поверителност и прозрачност на AI на съответния местен език
• CMP излага профилирането, автоматизираното вземане на решения и персонализирането на препоръките като отделно подлежащи на съгласие цели
• Аудиторните сегменти са прегледани срещу списъка с забранено биометрично категоризиране
• Договорите с доставчици са актуализирани, за да уреждат разпределянето на задълженията по AI Act
• Документирани механизми за човешки надзор за всяка система, приближаваща се до границата с висок риск
• Работният поток за права на субектите на данни и потребителите по AI Act може да отговаря на искания за отказ, обяснение и преглед от човек в приложимите прозорци за отговор

Перспективата за 2026 г.

AI Act не замества GDPR — той се наслагва върху него, а комбинираната повърхност е значимо по-сложна от всеки от двата режима сам по себе си. За издатели и рекламодатели, управляващи AI-управлявана персонализация, профилиране, препоръчващи системи или генеративно съдържание, 2026 г. е годината, в която архитектурата на съответствие трябва да узрее отвъд чиста позиция по GDPR. Тези, които третират AI Act като бъдеща грижа, ще открият, че бъдещето пристига по-бързо от очакваното, с национални органи, издаващи първите си действия по прилагане в хода на 2026 г. и до 2027 г. Тези, изграждащи комбинирано съответствие от самото начало, ще открият, че архитектурата се изплаща: задълженията за прозрачност по AI Act, добре приложени, също укрепват историята на съгласие и доверие по GDPR, а оперативната дисциплина на поддържането на жив AI инвентар се оказва полезна далеч отвъд регулаторното съответствие.