EL AI Act ja küpsiste nõusolek 2026. aastal: kuidas profileerimine, soovitussüsteemid ja sihitud reklaam mahuvad uude regulatiivkogumisse
EL AI Act (Regulation 2024/1689) jõustus 2024. aasta augustis, kusjuures sätted rakendatakse mitmeaastase juurutuse jooksul järk-järgult. Keelatud tavade reeglid jõustusid 2025. aasta veebruaris, üldotstarbelise AI kohustused 2025. aasta augustis ning suurem osa kõrge riskiga süsteemi kohustusest jõustub 2026. aastal ja 2027. aastasse. 2026. aasta alguseks ei ole AI Act enam tulevikuküsimus — see on toimiv määrus, mis asetseb GDPR-i peale iga süsteemi jaoks, mis kasutab AI-d EL kasutajate profileerimiseks, hindamiseks või järjestamiseks. Soovitussüsteeme käitavatele kirjastajatele, personaliseerimismootoreid käitavatele reklaamijatele ja automatiseeritud publiku hindamist tegevatele reklaamtehnoloogia tarnijatele lisab AI Act uue vastavusmõõtme, mida GDPR üksi pole kunagi käsitlenud: mitte ainult seda, kas kasutaja nõustus andmetöötlusega, vaid kas AI süsteem ise vastab seaduse kujundus-, läbipaistvus-, järelevalve- ja vastutuse nõuetele. See juhend läbib AI Act struktuuri, kuidas see ristub küpsiste nõusoleku ja GDPR-i profileerimiseeskirjadega, mida 2026. aasta kohustused tegelikult nõuavad ning kuidas kirjastajad ja reklaamijad peaksid mõtlema kombineeritud GDPR-pluss-AI-määruse vastavuspinnale.
AI Act struktuur 2026. aastal
AI Act on maailma esimene kõikehõlmav horisontaalne tehisintellekti regulatsioon. Selle riskikihtidel põhinev arhitektuur on võtmeks mõistmiseks, millised kohustused millisele süsteemile kehtivad.
Riskitasemed
Seadus jagab AI süsteemid nelja tasemesse nende kujutatava riski alusel:
- Keelatud süsteemid — tavad, mis on täielikult keelustatud, sealhulgas manipulatiivsed alateadlikud tehnikad, haavatavuste ärakasutamine, ühiskondlik hindamine avalike asutuste poolt ja teatud biomeetrilise kategoriseerimise ja emotsioonide tuvastamise vormid
- Kõrge riskiga süsteemid — süsteemid, mida kasutatakse kindlaksmääratud suure panusega kontekstides, alludes suuremale osale seaduse sisulistest kohustustest, sealhulgas riskijuhtimine, andmehaldus, läbipaistvus, inimlik järelevalve ja täpsuse nõuded
- Piiratud riskiga süsteemid — süsteemid, millel on konkreetsed läbipaistvuskohustused, sealhulgas enamik AI-põhiseid sisusoovitajaid ja vestlusroboteid, mis suhtlevad otse kasutajatega
- Minimaalse riskiga süsteemid — kõik muu, mille suhtes kehtivad ainult üldised vabatahtlikud tegevusjuhendid
Kus asuvad reklaam ja soovitussüsteemid
Enamik reklaami suunatud AI-d — publiku hindamine, programmaatilise pakkumise optimeerimine, sisususovitajad, personaliseerimismootored — kuulub piiratud riskitasemesse, mitte kõrge riskitasemesse. See kõlab leevendusena, kuid piiratud riskitase kannab siiski olulisi läbipaistvuskohustusi ja mitmed piirijuhud lükkavad konkreetsed süsteemid kõrgematesse tasemetesse. Kriitiliselt võivad keelatud tavade reeglid ulatuda reklaamisüsteemideni, kui need lähevad manipulatsiooni või ärakasutamise territooriumile, ja EDPB on andnud signaali valmisolekust tõlgendada neid sätteid laialt.
Ajakava
2026. aasta kalender on oluline: uute süsteemide kõrge riskiga kohustused jõustuvad 2026. aasta augustis, turul juba olevate süsteemide kõrge riskiga kohustused jõustuvad 2027. aastal ning üldotstarbelise AI teenusepakkujate kohustused on juba jõus. Kirjastajad ja reklaamijad peaksid kaardistama oma AI inventuuri selle kalendri suhtes, et teada, millised kohustused millal kehtivad.
Kuidas AI Act asetseb GDPR-i peale
AI Act ei asenda GDPR-i. See asub selle peal. Süsteem, mis töötleb isikuandmeid AI-põhiste väljundite tootmiseks, peab rahuldama mõlemat režiimi ning kohustused on lisanduvad, mitte alternatiivsed.
GDPR-i kiht
GDPR jätkab isikuandmete töötlemise seaduslikkuse reguleerimist. Nõusolek reklaami profileerimiseks, mõõtmise seaduslik alus, andmesubjekti õiguste klaster, piiriülese edastamise kohustused — kõik need kehtivad muutusteta edasi.
AI Act kiht
GDPR-i peale lisab AI Act kohustusi, mis käsitlevad konkreetselt AI süsteemi ennast: kuidas seda treeniti, millised andmed laksid treenimisse, kuidas selle väljundid on dokumenteeritud, millised järelevalvemehhanismid on olemas, millist läbipaistvust kasutaja saab. Need kohustused lisanduvad AI süsteemile sõltumata sellest, kas alusandmete töötlemine on nõusolekupõhine, lepingupõhine või mõnel muul seaduslikul alusel.
Praktiline mõju
Kirjastaja, kes käitab sisusoovitajat isikuandmetel, vajab nii kehtivat GDPR-i seaduslikku alust andmetöötluseks kui ka vastavat läbipaistvuse avalikustamist AI Act alusel. Kumbki eraldi on ebapiisav. Vastavuspind on nüüd tõeliselt kahemõõtmeline ning dokumentatsiooniahel peab katma mõlemad teljed.
Keelatud tavad ja reklaam
Seaduse keelatud tavade nimekiri on lühike, kuid oluline ning mitmel kirjel on mõju reklaamiplaneerimisele.
Manipulatiivsed tehnikad
Seadus keelab AI süsteemid, mis kasutavad alateadlikke tehnikaid, manipulatiivseid tavasid või kasutavad ära konkreetsete rühmade haavatavusi viisil, mis tõenäoliselt põhjustab olulist kahju. Enamik reklaamiplaneerimist ei lähene sellele piirile — kuid reklaam, mis AI-põhise profileerimise abil sihib tuvastatud haavatavusi (finantsraskused, vaimse tervise seisundid, sõltuvusmustrid), võib selle ületada. EDPB on seda varastes juhendites märkinud.
Biomeetriline kategoriseerimine
Seadus keelab biomeetrilise kategoriseerimise, mis järeldab tundlikke atribuute nagu rass, poliitiline arvamus, ametiühingu liikmelisus, usulised veendumused, seksuaalelu või seksuaalne orientatsioon. Biomeetrilistest andmetest ehitatud publikusegmendid, mis järeldavad neid atribuute, on nüüd keelatud territooriumil.
Emotsioonide tuvastamine konkreetsetes kontekstides
Emotsioonide tuvastamine on töökoha- ja hariduskontekstides keelatud. Reklaami emotsioonide tuvastamise kasutusjuhud väljaspool neid kontekste võivad olla lubatavad, kuid silmitsi suurenenud kontrollimisega.
Piiratud riskiga läbipaistvuskohustused
Siin asub 2026. aastal suurem osa kirjastaja ja reklaamija AI Act vastavustööst.
Soovitussüsteemi avalikustamine
Sisu soovitajad, mis personaliseerivad kasutajate nähtavat — olgu see kirjastaja avalehel, rakendusesiseses voos või programmeeritud reklaamikohas — kuuluvad piiratud riskitaseme alla. Kasutajaid tuleb teavitada, et nad suhtlevad AI süsteemiga, ning süsteem tuleb kujundada nii, et suhtluse AI olemus on selge.
Vestlusroboti avalikustamine
Iga AI süsteem, mis suhtleb otse kasutajatega vestluslikus vormis, peab avalikustama oma AI olemuse. Kirjastajad ja reklaamijad, kes käitavad AI vestlusliideseid — klienditeeninduseks, sisu avastamiseks või muuks eesmärgiks — peavad selle algstandardi täitma.
Sünteetilise sisu avalikustamine
AI loodud pilte, heli, videot ja tekstisisu tuleb sellisena märgistada. Kirjastajad, kes kasutavad AI loodud visuaale või teksti toimetuslikku sisus, reklaamiloomingus või tootefotodes, peavad rakendama märgistusnõudeid. 2026. aasta rakendamisjuhend on täpsustanud märgistuse tehnilisi spetsifikatsioone, sealhulgas veemärgistuste standardeid visuaalse sisu jaoks.
Kombineeritud nõusolekupind 2026. aastal
CMP ja privaatsusteatid peavad nüüd töötama mõlema režiimi jaoks. 2026. aasta kirjastaja CMP on märkimisväärselt keerukam kui selle 2024. aasta eelkäija.
Granuleeritud nõusoleku eesmärgid
CMP avab nõusolekueesmärgid, mis eristavad üldreklaami, reklaami profileerimist, automatiseeritud otsuste tegemist ja soovituspersonaliseerimist. Kõik kaardistuvad konkreetsele AI Act ja GDPR-i piirile ning igaüks nõuab oma jaatavat nõusolekut.
AI süsteemi avalikustamised
Privaatsusteatis või kaasnev AI avalikustamisdokument kirjeldab kasutatavaid AI süsteeme, nende eesmärke, sisenddandmete kategooriaid, väljundite laia loogikat ja kehtivaid inimlikke järelevalvemehhanisme. See on rohkem kui GDPR-i artikli 22 automatiseeritud otsuse avalikustamine — see on täiemahulisem AI läbipaistvuslugu.
Vastuväite esitamise õigus
GDPR-i õigus esitada vastuväiteid profileerimisele kehtib edasi ning AI Act lisab täiendavaid kasutajaõigusi seoses AI-põhise soovituspersonaliseerimisega. Kasutajad saavad soovituspersonaliseerimisest loobuda ilma allapoole teenusele juurdepääsu kaotamata ning loobumise võimalus peab olema vähemalt sama lihtne kui nõusolek.
Töötavad tegevusmustrid 2026. aastal
Küpsete 2026. aasta programmidega kirjastajad ja reklaamijad koonduvad mõnele tegevusmustrite ümber.
AI inventuur
Säilitage iga kirjastaja või reklaamija pinnas kasutuses oleva AI süsteemi elusalt ajakohastatud inventuur: süsteem, selle riskitase seaduse alusel, töödeldavad isikuandmed, seaduslik alus GDPR-i alusel, rakendatud läbipaistvuse avalikustamised ja kehtiv inimlik järelevalve. See on põhiline vastavusartefakt ja seda küsivad regulaatorid esimesena näha.
Kombineeritud privaatsusteatis
Üksik kombineeritud privaatsus- ja AI läbipaistvusteatis — portugali, saksa, prantsuse või mis iganes keeles, mis on publikule sobiv — mis käsitleb nii GDPR-i kui ka AI Act kohustusi sidusas narratiivis. Kahe eraldi avalikustamise pidamine kutsub esile vasturääkivusi ja lugeja segadust.
Tarnija AI audit
Iga reklaamimise või analüüsi tarnija puhul, kes töötleb AI-põhiseid väljundeid kirjastaja nimel, peab leping käsitlema AI Act kohustuste jaotust, tehnilistele dokumentidele juurdepääsu ja intsidentidest teavitamist. 2023. aasta standardsed andmetöötluslepingud ei käsitle AI Act ning need tuleb uuendada.
Sanktsioonid ja jõustamishoiak
AI Act kehtestab astmelise sanktsioonirežiimi koos haldusrahavõimalustega, mis võivad ületada GDPR-i maksimume.
Sanktsioonitasemed
- Kuni EUR 35 miljonit või 7 protsenti globaalsest aastakäibest keelatud tavade rikkumiste eest
- Kuni EUR 15 miljonit või 3 protsenti enamiku muude sisuliste rikkumiste eest
- Kuni EUR 7,5 miljonit või 1 protsent vale teabe esitamise eest
Jõustamisarhitektuur
Iga liikmesriik määrab AI Act jõustamiseks riiklikud pädevad asutused ning Euroopa AI amet koordineerib üldotstarbeliste AI mudelite järelevalvet. Jõustamine kirjastajate ja reklaamijate vastu toimub peamiselt riiklike asutuste kaudu, sageli tihedas koostöös olemasolevate andmekaitseasutustega. Esimesed olulised AI Act jõustamistoimingud on oodata 2026. aastal, kui kõrge riskiga kohustused täielikult jõustuvad.
AI-põhise reklaami auditi kontrollnimekiri 2026. aastal
- Iga AI süsteemi elusalt ajakohastatud inventuur pinnas koos riskitaseme klassifikatsiooniga
- Iga isikuandmeid töötleva AI süsteemi GDPR-i seaduslik alus dokumenteeritud
- AI Act läbipaistvuse avalikustamised rakendatud igale piiratud riskiga süsteemile, sealhulgas soovituspersonaliseerimine ja vestlusrobotid
- Sünteetilise sisu märgistamine rakendatud AI loodud loomingule, piltidele, helile ja videole
- Kombineeritud privaatsus- ja AI läbipaistvusteatis asjakohases kohalikus keeles
- CMP avab profileerimise, automatiseeritud otsuste tegemise ja soovituspersonaliseerimise eraldi nõusoleku eesmärkidena
- Publikusegmendid vaadatakse üle keelatud biomeetrilise kategoriseerimise nimekirja suhtes
- Tarnijalepingud uuendatud AI Act kohustuste jaotuse käsitlemiseks
- Inimlikud järelevalvemehhanismid dokumenteeritud iga süsteemi jaoks, mis läheneb kõrge riskiga piirile
- Andmesubjekti ja AI Act kasutajaõiguste töövoog suudab vastata loobumise, selgituse ja inimlikku kontrolli nõudvatele taotlustele kohaldatavates vastamisaegades
2026. aasta väljavaade
AI Act ei asenda GDPR-i — see asetseb selle peale ning kombineeritud pind on märkimisväärselt keerukam kui kumbki režiim eraldi. Kirjastajate ja reklaamijate jaoks, kes käitavad AI-põhist personaliseerimist, profileerimist, soovitussüsteeme või generatiivset sisu, on 2026. aasta see, mil vastavusarhitektuur peab küpsema puhtast GDPR-i hoiakust kaugemale. Need, kes käsitlevad AI Act tulevikuküsimusena, leiavad, et tulevik saabub kiiremini kui oodatakse, riiklike asutuste esimeste jõustamistoimingutega 2026. aastal ja 2027. aastasse. Need, kes ehitavad kombineeritud vastavust algusest peale, leiavad, et arhitektuur tasub ära: AI Act läbipaistvuskohustused, hästi rakendatuna, tugevdavad ka GDPR-i nõusoleku ja usalduse lugu ning AI inventuuri elusat pidamise operatiivne distsipliin osutub kasulikuks kaugelt üle regulatiivse vastavuse.