EU AI Act a souhlas s cookies v roce 2026: Jak profilování, doporučovací systémy a cílená reklama zapadají do nového regulačního rámce
EU AI Act (Regulation 2024/1689) vstoupil v platnost v srpnu 2024, přičemž jeho ustanovení jsou zaváděna postupně v průběhu několikaletého zavádění. Pravidla pro zakázané postupy vstoupila v platnost v únoru 2025, povinnosti pro AI obecného účelu v srpnu 2025 a většina povinností pro vysoce rizikové systémy vstupuje v platnost v průběhu roku 2026 a do roku 2027. Na začátku roku 2026 již AI Act není budoucí starostí — je to provozní regulace, která se vrství nad GDPR pro jakýkoli systém, který používá AI k profilování, skórování nebo řazení uživatelů v EU. Pro vydavatele provozující doporučovací systémy, inzerenty provozující personalizační stroje a dodavatele reklamních technologií provozující automatizované skórování publika přidává AI Act nový rozměr souladu, který GDPR samotné nikdy nepokrylo: nejen zda uživatel souhlasil se zpracováním dat, ale zda samotný systém AI splňuje požadavky Zákona na design, transparentnost, dohled a odpovědnost. Tato příručka prochází strukturou AI Act, tím, jak se kříží s pravidly souhlasu s cookies a profilováním GDPR, co povinnosti roku 2026 skutečně vyžadují a jak by vydavatelé a inzerenti měli přemýšlet o kombinovaném povrchu souladu GDPR-plus-AI-Act.
Struktura AI Act v roce 2026
AI Act je první komplexní horizontální regulací umělé inteligence na světě. Jeho architektura s vrstvením rizik je klíčem k pochopení, které povinnosti se vztahují na které systémy.
Úrovně rizika
Zákon rozděluje systémy AI do čtyř úrovní podle rizika, které představují:
- Zakázané systémy — postupy, které jsou zcela zakázány, včetně manipulativních sublimálních technik, zneužívání zranitelností, sociálního skórování veřejnými orgány a určitých forem biometrické kategorizace a rozpoznávání emocí
- Vysoce rizikové systémy — systémy používané v určených vysoce rizikovými kontextech, podléhající většině věcných povinností Zákona, včetně řízení rizik, správy dat, transparentnosti, lidského dohledu a požadavků na přesnost
- Systémy s omezeným rizikem — systémy se specifickými povinnostmi transparentnosti, včetně většiny doporučovačů obsahu řízených AI a chatbotů interagujících přímo s uživateli
- Systémy s minimálním rizikem — vše ostatní, podléhající pouze obecným dobrovolným kodexům chování
Kde se nachází reklama a doporučovací systémy
Většina AI orientované na reklamu — skórování publika, optimalizace programatického nabídkového řízení, doporučovače obsahu, personalizační stroje — se nachází v úrovni omezeného rizika spíše než ve vysoce rizikové úrovni. To zní jako úleva, ale úroveň omezeného rizika stále nese smysluplné povinnosti transparentnosti a několik hraničních případů tlačí konkrétní systémy do vyšších úrovní. Kriticky, pravidla zakázaných postupů mohou dosáhnout na reklamní systémy, pokud překročí do území manipulace nebo zneužívání, a EDPB signalizoval ochotu vykládat tato ustanovení široce.
Postupné zavádění
Kalendář roku 2026 je důležitý: povinnosti pro vysoce rizikové systémy pro nové systémy vstupují v platnost v srpnu 2026, povinnosti pro systémy již na trhu vstupují v platnost v roce 2027 a povinnosti poskytovatele AI obecného účelu jsou již v platnosti. Vydavatelé a inzerenti by měli zmapovat svůj inventář AI oproti tomuto kalendáři, aby věděli, které povinnosti se kdy vztahují.
Jak se AI Act vrství nad GDPR
AI Act nenahrazuje GDPR. Vrství se nad něj. Systém, který zpracovává osobní data za účelem vytváření výstupů řízených AI, musí splňovat oba režimy a povinnosti jsou kumulativní spíše než alternativní.
Vrstva GDPR
GDPR nadále upravuje zákonnost zpracování osobních dat. Souhlas s reklamním profilováním, zákonný základ pro měření, shluk práv subjektů údajů, povinnosti přeshraničního předávání — to vše se nadále vztahuje beze změny.
Vrstva AI Act
Na základě GDPR přidává AI Act povinnosti konkrétně o samotném systému AI: jak byl trénován, jaká data vstoupila do tréninku, jak jsou dokumentovány jeho výstupy, jaké existují mechanismy dohledu, jakou transparentnost uživatel dostane. Tyto povinnosti se vážou na systém AI bez ohledu na to, zda je základní zpracování dat na základě souhlasu, smluvního základu nebo jiného zákonného základu.
Praktický dopad
Vydavatel provozující doporučovač obsahu na osobních datech potřebuje jak platný zákonný základ GDPR pro zpracování dat, tak vyhovující zveřejnění transparentnosti podle AI Act. Ani jedno samo o sobě nestačí. Povrch souladu je nyní skutečně dvojrozměrný a dokumentační řetězec musí pokrývat obě osy.
Zakázané postupy a reklama
Seznam zakázaných postupů Zákona je krátký, ale závažný a několik záznamů má dopady na design reklamy.
Manipulativní techniky
Zákon zakazuje systémy AI, které využívají sublimální techniky, manipulativní postupy nebo zneužívají zranitelnosti konkrétních skupin způsoby, které mohou způsobit výraznou újmu. Většina reklamního designu se k této hranici nepřibližuje — ale reklama, která cílí na identifikované zranitelnosti (finanční tíseň, stavy duševního zdraví, vzorce závislosti) pomocí profilování řízeného AI, ji může překročit. EDPB na to upozornil v raných pokynech.
Biometrická kategorizace
Zákon zakazuje biometrickou kategorizaci, která vyvozuje citlivé atributy, jako je rasa, politický názor, členství v odborech, náboženské přesvědčení, sexuální život nebo sexuální orientace. Segmenty publika vytvořené z biometrických dat, která tato odvozují tyto atributy, jsou nyní v zakázaném území.
Rozpoznávání emocí v konkrétních kontextech
Rozpoznávání emocí je zakázáno v pracovním a vzdělávacím prostředí. Případy použití detekce emocí v reklamě mimo tyto kontexty mohou být stále přípustné, ale čelí zvýšenému dohledu.
Povinnosti transparentnosti omezeného rizika
Zde spočívá většina práce na souladu AI Act pro vydavatele a inzerenty v roce 2026.
Zveřejnění doporučovacího systému
Doporučovače obsahu, které personalizují, co uživatelé vidí — ať už na domovské stránce vydavatele, v informačním kanálu v aplikaci nebo v programatickém reklamním umístění — spadají pod úroveň omezeného rizika. Uživatelé musí být informováni o tom, že interagují se systémem AI, a systém musí být navržen tak, aby byl charakter AI interakce jasný.
Zveřejnění chatbota
Jakýkoli systém AI, který interaguje přímo s uživateli v konverzační formě, musí svůj charakter AI zveřejnit. Vydavatelé a inzerenti provozující rozhraní AI chatu — pro zákaznickou podporu, objevování obsahu nebo jakýkoli jiný účel — musí splňovat tento základ.
Zveřejnění syntetického obsahu
Obrázky, zvuk, video a textový obsah generované AI musí být jako takové označeny. Vydavatelé používající vizuály nebo texty generované AI v redakčním obsahu, reklamních kreativách nebo obrázcích produktů musí uplatňovat povinnosti označování. Implementační pokyny pro rok 2026 objasnily technické specifikace pro označování, včetně standardů vodoznaků pro vizuální obsah.
Kombinovaný povrch souhlasu v roce 2026
CMP a oznámení o ochraně soukromí nyní musí fungovat pro oba režimy. CMP vydavatele pro rok 2026 je smysluplně propracovanější než jeho předchůdce z roku 2024.
Granulární účely souhlasu
CMP zveřejňuje účely souhlasu, které rozlišují mezi obecnou reklamou, profilováním pro reklamu, automatizovaným rozhodováním a personalizací doporučení. Každý se mapuje na konkrétní hranici AI Act a GDPR a každý vyžaduje svůj vlastní kladný souhlas.
Zveřejnění systému AI
Oznámení o ochraně soukromí nebo doprovodný dokument o zveřejnění AI popisuje používané systémy AI, jejich účely, kategorie vstupních dat, obecnou logiku výstupů a existující mechanismy lidského dohledu. To je více než zveřejnění automatizovaného rozhodování podle článku 22 GDPR — je to úplnější příběh transparentnosti AI.
Právo vznést námitku
Právo GDPR vznést námitku proti profilování se nadále uplatňuje a AI Act přidává další uživatelská práva ohledně personalizace doporučovačů řízeného AI. Uživatelé se mohou odhlásit z personalizace doporučení bez ztráty přístupu k základní službě a odhlášení musí být alespoň stejně snadné jako přihlášení.
Provozní vzory fungující v roce 2026
Vydavatelé a inzerenti provozující vyspělé programy roku 2026 konvergují k několika provozním vzorům.
Inventář AI
Udržujte živý inventář každého systému AI používaného v zásobníku vydavatele nebo inzerenta: systém, jeho úroveň rizika podle Zákona, osobní data, která zpracovává, jeho zákonný základ podle GDPR, zveřejnění transparentnosti na něj uplatňovaná a existující lidský dohled. Toto je základní artefakt souladu a je to to, co regulátoři budou chtít vidět jako první.
Kombinované oznámení o ochraně soukromí
Jedno kombinované oznámení o ochraně soukromí a transparentnosti AI — v portugalštině, němčině, francouzštině nebo v jakémkoli jazyce, který je pro publikum vhodný — které se zabývá povinnostmi GDPR i AI Act v soudržném příběhu. Pokus o udržování dvou samostatných zveřejnění vede k rozporům a zmatení čtenářů.
Audit AI dodavatele
Pro každého dodavatele reklamy nebo analytiky zpracovávajícího výstupy řízené AI jménem vydavatele musí smlouva řešit přidělení povinností AI Act, přístup k technické dokumentaci a oznámení o incidentu. Standardní smlouvy o zpracování dat z roku 2023 AI Act neřeší a je třeba je obnovit.
Sankce a postoj k prosazování
AI Act zavádí stupňovitý sankční režim se správními pokutami, které mohou přesáhnout maxima GDPR.
Úrovně pokut
- Až EUR 35 milionů nebo 7 procent celosvětového ročního obratu za porušení zakázaných postupů
- Až EUR 15 milionů nebo 3 procenta za většinu ostatních věcných porušení
- Až EUR 7,5 milionu nebo 1 procento za poskytování nesprávných informací
Architektura prosazování
Každý členský stát určuje národní příslušné orgány pro prosazování AI Act a Evropský úřad pro AI koordinuje dohled nad modely AI obecného účelu. Prosazování vůči vydavatelům a inzerentům bude probíhat především prostřednictvím národních orgánů, často v úzké koordinaci se stávajícími orgány pro ochranu dat. První významné akce prosazování AI Act se očekávají v průběhu roku 2026, kdy vysoce rizikové povinnosti plně vstoupí v platnost.
Kontrolní seznam auditu pro reklamu řízenou AI v roce 2026
- Živý inventář každého systému AI v zásobníku s klasifikací úrovně rizika
- Zdokumentovaný zákonný základ GDPR pro každý systém AI zpracovávající osobní data
- Zveřejnění transparentnosti AI Act uplatňovaná na každý systém s omezeným rizikem, včetně personalizace doporučení a chatbotů
- Označování syntetického obsahu uplatňované na kreativy, obrázky, zvuk a video generované AI
- Kombinované oznámení o ochraně soukromí a transparentnosti AI v příslušném místním jazyce
- CMP zveřejňuje profilování, automatizované rozhodování a personalizaci doporučení jako samostatně souhlasnitelné účely
- Segmenty publika jsou přezkoumány oproti seznamu zakázané biometrické kategorizace
- Smlouvy s dodavateli aktualizovány tak, aby řešily přidělení povinností AI Act
- Zdokumentované mechanismy lidského dohledu pro jakýkoli systém, který se blíží hranici vysokého rizika
- Pracovní postup práv subjektů údajů a uživatelů AI Act může reagovat na žádosti o odhlášení, vysvětlení a přezkoumání člověkem v rámci příslušných okenních lhůt pro odpověď
Výhled na rok 2026
AI Act nenahrazuje GDPR — vrství se nad něj a kombinovaný povrch je smysluplně propracovanější než kterýkoli z režimů samotných. Pro vydavatele a inzerenty provozující personalizaci řízenou AI, profilování, doporučovací systémy nebo generativní obsah je rok 2026 rokem, kdy architektura souladu musí dozrát nad rámec čistého postoje GDPR. Ti, kteří AI Act považují za budoucí starost, zjistí, že budoucnost přichází rychleji, než se očekávalo, přičemž národní orgány vydávají své první akce prosazování v průběhu roku 2026 a do roku 2027. Ti, kteří budují kombinovaný soulad od začátku, zjistí, že architektura se vyplácí: povinnosti transparentnosti AI Act, dobře implementované, také posilují příběh souhlasu a důvěry GDPR a provozní disciplína udržování živého inventáře AI se ukazuje jako užitečná daleko za regulačním souladem.