AI Act והסכמה לעוגיות ב-2026: כיצד פרופיילינג, מערכות המלצות ופרסום ממוקד נמצאים במסגרת הרגולטורית החדשה
AI Act (Regulation 2024/1689) נכנס לתוקף באוגוסט 2024, כאשר הוראותיו מיושמות בהדרגה על פני פריסה רב-שנתית. כללי הנהגים האסורים נכנסו לתוקף בפברואר 2025, התחייבויות הבינה המלאכותית למטרות כלליות באוגוסט 2025, ועיקר התחייבויות מערכת בסיכון גבוה נכנסות לתוקף במהלך 2026 ועד 2027. עם פתיחת 2026, AI Act אינו עוד דאגה עתידית - הוא תקנה מבצעית המתרחבת מעל ל-GDPR לכל מערכת המשתמשת בבינה מלאכותית לצורך פרופיילינג, ניקוד או דירוג משתמשי האיחוד האירופי. עבור מפרסמים המפעילים מערכות המלצות, מפרסמים המפעילים מנועי פרסונליזציה וספקי טכנולוגיית פרסום המבצעים ניקוד אוטומטי של קהלים, AI Act מוסיף ממד ציות חדש שה-GDPR לבדו מעולם לא כיסה: לא רק אם המשתמש הסכים לעיבוד הנתונים, אלא האם מערכת הבינה המלאכותית עצמה עומדת בדרישות העיצוב, השקיפות, הפיקוח והאחריות של החוק. מדריך זה עובר על מבנה AI Act, כיצד הוא מצטלב עם כללי הסכמת עוגיות ופרופיילינג של GDPR, מה ההתחייבויות של 2026 דורשות בפועל, וכיצד מפרסמים ומפרסמות צריכים לחשוב על פני השטח המשולבת של ציות GDPR-פלוס-AI Act.
מבנה AI Act ב-2026
AI Act הוא הרגולציה האופקית המקיפה הראשונה בעולם לבינה מלאכותית. האדריכלות מדורגת הסיכון שלו היא המפתח להבנה אילו חובות חלות על אילו מערכות.
רמות הסיכון
החוק ממיין מערכות בינה מלאכותית לארבע רמות בהתאם לסיכון שהן מהוות:
- מערכות אסורות - נהגים האסורים לחלוטין, כולל טכניקות תת-מודעות מניפולטיביות, ניצול פגיעויות, ניקוד חברתי על-ידי רשויות ציבוריות וצורות מסוימות של סיווג ביומטרי וזיהוי רגשות
- מערכות בסיכון גבוה - מערכות המשמשות בהקשרים מוגדרים בעלי סיכון גבוה, הכפופות לרוב התחייבויות המהותיות של החוק, כולל ניהול סיכונים, ממשל נתונים, שקיפות, פיקוח אנושי ודרישות דיוק
- מערכות בסיכון מוגבל - מערכות עם התחייבויות שקיפות ספציפיות, כולל רוב ממליצי התוכן מבוססי הבינה המלאכותית וצ'אטבוטים המתקשרים ישירות עם משתמשים
- מערכות בסיכון מינימלי - כל השאר, הכפוף רק לקודים וולונטריים כלליים של התנהגות
היכן יושבים הפרסום ומערכות ההמלצות
רוב הבינה המלאכותית הפונה לפרסום - ניקוד קהלים, אופטימיזציה של הצעות מחיר פרוגרמטיות, ממליצי תוכן, מנועי פרסונליזציה - יושב ברמת הסיכון המוגבל ולא ברמת הסיכון הגבוה. זה נשמע כהקלה, אך רמת הסיכון המוגבל עדיין נושאת התחייבויות שקיפות משמעותיות, ומספר מקרי קצה דוחפים מערכות ספציפיות לרמות גבוהות יותר. באופן קריטי, כללי הנהגים האסורים יכולים להגיע למערכות פרסום אם הן חוצות לשטח של מניפולציה או ניצול, ו-EDPB איתת על נכונות לפרש הוראות אלה באופן רחב.
ההדרגה
לוח הזמנים של 2026 חשוב: ההתחייבויות בסיכון גבוה למערכות חדשות נכנסות לתוקף באוגוסט 2026, ההתחייבויות בסיכון גבוה למערכות שכבר בשוק נכנסות לתוקף ב-2027, והתחייבויות ספקי הבינה המלאכותית למטרות כלליות כבר בתוקף. מפרסמים ומפרסמות צריכים למפות את מלאי הבינה המלאכותית שלהם מול לוח הזמנים הזה כדי לדעת אילו התחייבויות חלות מתי.
כיצד AI Act מתרחב מעל ל-GDPR
AI Act אינו מחליף את ה-GDPR. הוא יושב מעליו. מערכת המעבדת נתונים אישיים לייצור פלטים מבוססי בינה מלאכותית חייבת לספק את שני המשטרים, וההתחייבויות הן מצטברות ולא חלופיות.
שכבת ה-GDPR
ה-GDPR ממשיך לשלוט בחוקיות עיבוד הנתונים האישיים. הסכמה לפרופיילינג פרסומי, בסיס חוקי למדידה, אשכול זכויות נושאי הנתונים, התחייבויות העברה חוצת גבולות - כל אלה ממשיכים לחול ללא שינוי.
שכבת AI Act
מעל ל-GDPR, AI Act מוסיף התחייבויות באופן ספציפי על מערכת הבינה המלאכותית עצמה: כיצד אומנה, אילו נתונים נכנסו לאימון, כיצד הפלטים שלה מתועדים, אילו מנגנוני פיקוח קיימים, איזו שקיפות המשתמש מקבל. התחייבויות אלה מתחברות למערכת הבינה המלאכותית ללא קשר לשאלה אם עיבוד הנתונים הבסיסי מבוסס הסכמה, מבוסס חוזה או בסיס חוקי אחר כלשהו.
ההשלכה המעשית
מפרסם המפעיל ממליץ תוכן על נתונים אישיים זקוק הן לבסיס חוקי GDPR תקף לעיבוד הנתונים והן לגילוי שקיפות תואם תחת AI Act. אחד לבדו אינו מספיק. פני השטח של הציות הם כיום דו-ממדיים באמת, ושרשרת התיעוד חייבת לכסות את שני הצירים.
נהגים אסורים ופרסום
רשימת הנהגים האסורים של החוק קצרה אך בעלת השלכות, ומספר ערכים יש להם השלכות על עיצוב הפרסום.
טכניקות מניפולטיביות
החוק אוסר על מערכות בינה מלאכותית הפורסות טכניקות תת-מודעות, נהגים מניפולטיביים, או מנצלות פגיעויות של קבוצות ספציפיות בדרכים שעלולות לגרום נזק משמעותי. רוב עיצובי הפרסום אינם מתקרבים לקו זה - אך פרסום המכוון לפגיעויות מזוהות (מצוקה כלכלית, מצבי בריאות נפשית, דפוסי התמכרות) באמצעות פרופיילינג מבוסס בינה מלאכותית עלול לחצות אותו. EDPB סימן זאת בהנחיות מוקדמות.
סיווג ביומטרי
החוק אוסר על סיווג ביומטרי המסיק תכונות רגישות כגון גזע, דעה פוליטית, חברות באיגוד, אמונה דתית, חיים מיניים או נטייה מינית. פלחי קהל שנבנו מנתונים ביומטריים המסיקים תכונות אלה נמצאים כיום בשטח האסור.
זיהוי רגשות בהקשרים ספציפיים
זיהוי רגשות אסור בהקשרים של מקום עבודה וחינוך. מקרי שימוש בזיהוי רגשות פרסומי מחוץ להקשרים אלה עשויים עדיין להיות מותרים אך עומדים בפני בדיקה מוגברת.
התחייבויות שקיפות בסיכון מוגבל
כאן יושב עיקר עבודת הציות לAI Act של מפרסמים ומפרסמות ב-2026.
גילוי מערכת ההמלצות
ממליצי תוכן המתאימים אישית מה שמשתמשים רואים - בין אם בדף הבית של מפרסם, בפיד בתוך אפליקציה, או במיקום מודעה פרוגרמטי - נכנסים תחת רמת הסיכון המוגבל. יש ליידע משתמשים שהם מקיימים אינטראקציה עם מערכת בינה מלאכותית, והמערכת חייבת להיות מעוצבת כך שטבע הבינה המלאכותית של האינטראקציה ברור.
גילוי הצ'אטבוט
כל מערכת בינה מלאכותית המתקשרת ישירות עם משתמשים בצורה שיחתית חייבת לגלות את טבעה כבינה מלאכותית. מפרסמים ומפרסמות המפעילים ממשקי צ'אט בינה מלאכותית - לתמיכת לקוחות, גילוי תוכן, או כל מטרה אחרת - צריכים לעמוד בקו הבסיס הזה.
גילוי תוכן סינתטי
תמונות, שמע, וידאו ותוכן טקסט שנוצרו על-ידי בינה מלאכותית חייבים להיות מסומנים ככאלה. מפרסמים המשתמשים בוויזואליים או טקסט שנוצרו על-ידי בינה מלאכותית בתוכן עיתוני, יצירה פרסומית, או תמונות מוצרים צריכים להחיל את חובות הסימון. הנחיות היישום של 2026 הבהירו את המפרטים הטכניים לסימון, כולל תקני סימון מים לתוכן חזותי.
פני השטח המשולבת של ההסכמה ב-2026
CMP ומודעת הפרטיות צריכים כעת לעבוד עבור שני המשטרים. ה-CMP של מפרסם 2026 מפורטת באופן משמעותי יותר מקודמתה של 2024.
מטרות הסכמה גרנולריות
ה-CMP חושפת מטרות הסכמה המבחינות בין פרסום כללי, פרופיילינג לפרסום, קבלת החלטות אוטומטית ופרסונליזציה של ממליצים. כל אחד ממפה לגבול ספציפי של AI Act ו-GDPR, וכל אחד דורש הסכמה חיובית משלו.
גילויי מערכת הבינה המלאכותית
מודעת הפרטיות או מסמך גילוי בינה מלאכותית מלווה מתארים את מערכות הבינה המלאכותית בשימוש, מטרותיהן, קטגוריות נתוני הקלט, ההיגיון הרחב של הפלטים, ומנגנוני הפיקוח האנושי הקיימים. זה יותר מגילוי ההחלטה האוטומטית של סעיף 22 ב-GDPR - זוהי סיפור שקיפות בינה מלאכותית מלא יותר.
הזכות להתנגד
זכות ה-GDPR להתנגד לפרופיילינג ממשיכה לחול, וAI Act מוסיף זכויות משתמש נוספות סביב פרסונליזציה של ממליצים מבוססי בינה מלאכותית. משתמשים יכולים לבטל את הסכמתם לפרסונליזציה של ממליצים מבלי לאבד גישה לשירות הבסיסי, וביטול ההסכמה חייב להיות לפחות קל כמו ההסכמה.
דפוסים תפעוליים שעובדים ב-2026
מפרסמים ומפרסמות המפעילים תוכניות בשלות ב-2026 מתכנסים לכמה דפוסים תפעוליים.
מלאי הבינה המלאכותית
שמרו על מלאי חי של כל מערכת בינה מלאכותית בשימוש בכל ערימת המפרסם: המערכת, רמת הסיכון שלה תחת החוק, הנתונים האישיים שהיא מעבדת, הבסיס החוקי שלה תחת ה-GDPR, גילויי השקיפות המוחלים עליה, והפיקוח האנושי הקיים. זהו ארטיפקט הציות הבסיסי וזה מה שהרגולטורים יבקשו לראות ראשון.
מודעת הפרטיות המשולבת
מודעת פרטיות ושקיפות בינה מלאכותית משולבת אחת - פורטוגזית, גרמנית, צרפתית, או כל שפה שמתאימה לקהל - המתייחסת הן לחובות ה-GDPR והן לAI Act בנרטיב קוהרנטי. ניסיון לשמור שני גילויים נפרדים מזמין סתירות ובלבול של קוראים.
ביקורת הבינה המלאכותית של הספק
עבור כל ספק פרסום או אנליטיקה המעבד פלטים מבוססי בינה מלאכותית בשם המפרסם, החוזה חייב לטפל בהקצאת חובות AI Act, גישה לתיעוד טכני, ודיווח על אירועים. הסכמות עיבוד הנתונים הסטנדרטיות מ-2023 אינן מטפלות בAI Act וצריכות להתעדכן.
קנסות ועמדת אכיפה
AI Act מציג משטר עונשין מדורג עם קנסות מנהליים שיכולים לעלות על המקסימום של ה-GDPR.
רמות העונשין
- עד EUR 35 מיליון או 7 אחוזים מהמחזור השנתי הגלובלי עבור הפרות של נהגים אסורים
- עד EUR 15 מיליון או 3 אחוזים עבור רוב ההפרות המהותיות האחרות
- עד EUR 7.5 מיליון או 1 אחוז עבור אספקת מידע שגוי
ארכיטקטורת האכיפה
כל מדינה חברה מייעדת רשויות לאומיות מוסמכות לאכיפת AI Act, ומשרד הבינה המלאכותית האירופי מתאם פיקוח על מודלי בינה מלאכותית למטרות כלליות. האכיפה נגד מפרסמים ומפרסמות תפעל בעיקר דרך הרשויות הלאומיות, לעתים קרובות בתיאום הדוק עם רשויות הגנת הנתונים הקיימות. פעולות האכיפה המשמעותיות הראשונות של AI Act צפויות לאורך 2026 ככל שההתחייבויות בסיכון גבוה נכנסות לתוקף מלא.
רשימת בדיקת ביקורת לפרסום מבוסס בינה מלאכותית ב-2026
- מלאי חי של כל מערכת בינה מלאכותית בערימה עם סיווג רמת סיכון
- בסיס חוקי GDPR מתועד לכל מערכת בינה מלאכותית המעבדת נתונים אישיים
- גילויי שקיפות AI Act מוחלים על כל מערכת בסיכון מוגבל, כולל פרסונליזציה של ממליצים וצ'אטבוטים
- סימון תוכן סינתטי מוחל על יצירות, תמונות, שמע וסרטוני וידאו שנוצרו על-ידי בינה מלאכותית
- מודעת פרטיות ושקיפות בינה מלאכותית משולבת בשפה המקומית הרלוונטית
- ה-CMP חושפת פרופיילינג, קבלת החלטות אוטומטית ופרסונליזציה של ממליצים כמטרות הניתנות להסכמה בנפרד
- פלחי הקהל נבדקים מול רשימת הסיווג הביומטרי האסורה
- חוזי ספקים עודכנו לטיפול בהקצאת חובות AI Act
- מנגנוני פיקוח אנושי מתועדים לכל מערכת המתקרבת לגבול הסיכון הגבוה
- זרימת העבודה של זכויות נושאי הנתונים ומשתמשי AI Act יכולה להגיב לבקשות ביטול הסכמה, הסבר ובדיקה אנושית בתוך חלונות התגובה החלים
תחזית 2026
AI Act אינו מחליף את ה-GDPR - הוא מצטבר מעליו, ופני השטח המשולבת מפורטת באופן משמעותי יותר מכל אחד מהמשטרים לבדו. עבור מפרסמים ומפרסמות המפעילים פרסונליזציה, פרופיילינג, מערכות המלצות או תוכן גנרטיבי מבוססי בינה מלאכותית, 2026 היא השנה שבה ארכיטקטורת הציות חייבת להבשיל מעבר לעמדה GDPR טהורה. אלה שמתייחסים לAI Act כדאגה עתידית יגלו שהעתיד מגיע מהר יותר מהמצופה, עם רשויות לאומיות המנפיקות את פעולות האכיפה הראשונות שלהן לאורך 2026 ועד 2027. אלה הבונים ציות משולב מההתחלה יגלו שהארכיטקטורה משתלמת: התחייבויות השקיפות של AI Act, כאשר מיושמות היטב, גם מחזקות את סיפור ההסכמה והאמון של ה-GDPR, והמשמעת התפעולית של שמירת מלאי בינה מלאכותית חי מוצאת לשימושי הרבה מעבר לציות הרגולטורי.