EU AI Act i pristanak na kolačiće 2026.: kako profiliranje, sustavi preporuka i ciljano oglašavanje stoje u novom regulatornom okviru
EU AI Act (Uredba 2024/1689) stupio je na snagu u kolovozu 2024., s odredbama koje se uvode u višegodišnjoj fazi. Pravila zabranjenih praksi stupila su na snagu u veljači 2025., obveze AI opće namjene u kolovozu 2025., a većina obveza sustava visokog rizika stupa na snagu tijekom 2026. i u 2027. Početkom 2026. AI Act više nije briga za budućnost — to je operativna uredba koja se naslanja na GDPR za svaki sustav koji koristi AI za profiliranje, bodovanje ili rangiranje korisnika EU. Za izdavače koji upravljaju sustavima preporuka, oglašivače koji upravljaju motorima personalizacije i dobavljače ad-tech tehnologije koji provode automatsko bodovanje publike, AI Act dodaje novu dimenziju usklađenosti koju GDPR sam nikada nije pokrivao: ne samo je li korisnik pristao na obradu podataka, nego ispunjava li i sam AI sustav zahtjeve dizajna, transparentnosti, nadzora i odgovornosti Akta. Ovaj vodič prolazi kroz strukturu AI Act-a, kako se preklapa s pravilima pristanka na kolačiće i GDPR pravilima profiliranja, što obveze 2026. zapravo zahtijevaju te kako izdavači i oglašivači trebaju razmišljati o kombiniranoj GDPR-plus-AI-akt površini usklađenosti.
Struktura AI Act-a u 2026.
AI Act je prva sveobuhvatna horizontalna regulacija umjetne inteligencije na svijetu. Njegova arhitektura temeljena na razinama rizika ključ je razumijevanja koje se obveze primjenjuju na koje sustave.
Razine rizika
Akt svrstava AI sustave u četiri razine prema riziku koji predstavljaju:
- Zabranjeni sustavi — prakse koje su izravno zabranjene, uključujući manipulativne subliminalne tehnike, iskorištavanje ranjivosti, društveno bodovanje od strane javnih tijela i određene oblike biometričke kategorizacije i prepoznavanja emocija
- Sustavi visokog rizika — sustavi koji se koriste u određenim kontekstima visokog uloga, podložni većini materijalnih obveza Akta, uključujući upravljanje rizicima, upravljanje podacima, transparentnost, ljudski nadzor i zahtjeve točnosti
- Sustavi ograničenog rizika — sustavi s posebnim obvezama transparentnosti, uključujući većinu AI-pohánjanih preporučitelja sadržaja i chatbotova koji izravno komuniciraju s korisnicima
- Sustavi minimalnog rizika — sve ostalo, podložno samo općim dobrovoljnim kodeksima ponašanja
Gdje se nalaze oglašavanje i sustavi preporuka
Većina AI-a usmjerenog na oglašavanje — bodovanje publike, optimizacija programatskog licitiranja, preporučitelji sadržaja, motori personalizacije — nalazi se na razini ograničenog rizika, a ne na razini visokog rizika. Ovo zvuči kao olakšanje, ali razina ograničenog rizika još uvijek nosi smislene obveze transparentnosti, a nekoliko rubnih slučajeva gura određene sustave na više razine. Kritično, pravila zabranjenih praksi mogu doseći sustave oglašavanja ako prijeđu u teritorij manipulacije ili iskorištavanja, a EDPB je signalizirao spremnost da te odredbe tumači široko.
Faza uvođenja
Kalendar 2026. je važan: obveze visokog rizika za nove sustave stupaju na snagu u kolovozu 2026., obveze visokog rizika za sustave koji su već na tržištu stupaju na snagu 2027., a obveze pružatelja AI opće namjene već su na snazi. Izdavači i oglašivači trebaju mapirati svoj AI inventar s ovim kalendarom kako bi znali koje se obveze primjenjuju kada.
Kako se AI Act naslanja na GDPR
AI Act ne zamjenjuje GDPR. On se nalazi iznad njega. Sustav koji obrađuje osobne podatke za proizvodnju AI-temeljenih rezultata mora zadovoljiti oba režima, a obveze su aditivne, a ne alternativne.
GDPR sloj
GDPR nastavlja upravljati zakonitošću obrade osobnih podataka. Pristanak za profiliranje u oglašavanju, zakonita osnova za mjerenje, skup prava ispitanika, obveze prekograničnog prijenosa — sve to nastavlja se primjenjivati bez promjena.
Sloj AI Act-a
Iznad GDPR-a, AI Act dodaje obveze koje se odnose posebno na sam AI sustav: kako je treniran, koji su podaci ušli u obuku, kako su dokumentirani njegovi rezultati, koji mehanizmi nadzora postoje, kakvu transparentnost korisnik prima. Te obveze vežu se uz AI sustav bez obzira na to temelji li se osnovna obrada podataka na pristanku, ugovoru ili nekoj drugoj zakonitoj osnovi.
Praktična implikacija
Izdavač koji pokreće preporučitelja sadržaja na osobnim podacima treba i valjanu zakonitu osnovu GDPR-a za obradu podataka i usklađeno otkrivanje transparentnosti prema AI Act-u. Ni jedno ni drugo samo za sebe nije dovoljno. Površina usklađenosti sada je istinski dvodimenzionalna, a lanac dokumentacije mora pokriti oba osi.
Zabranjene prakse i oglašavanje
Popis zabranjenih praksi Akta je kratak, ali konsekvencijalan, a nekoliko unosa ima implikacije za dizajn oglašavanja.
Manipulativne tehnike
Akt zabranjuje AI sustave koji primjenjuju subliminalne tehnike, manipulativne prakse ili iskorištavaju ranjivosti određenih skupina na načine koji mogu uzrokovati značajnu štetu. Većina dizajna oglašavanja ne pristupa ovoj liniji — ali oglašavanje koje ciljanjem identificiranih ranjivosti (financijska nevolja, stanja mentalnog zdravlja, obrasci ovisnosti) koristi AI-temeljeno profiliranje moglo bi je prijeći. EDPB je ovo istaknuo u ranim smjernicama.
Biometrička kategorizacija
Akt zabranjuje biometričku kategorizaciju koja zaključuje osjetljive atribute kao što su rasa, političko mišljenje, članstvo u sindikatu, vjersko uvjerenje, seksualni život ili seksualna orijentacija. Segmenti publike izgrađeni iz biometričkih podataka koji zaključuju te atribute sada su na zabranjenom teritoriju.
Prepoznavanje emocija u određenim kontekstima
Prepoznavanje emocija zabranjeno je na radnom mjestu i u obrazovnim kontekstima. Slučajevi upotrebe prepoznavanja emocija u oglašavanju izvan tih konteksta mogu još uvijek biti dopušteni, ali suočavaju se s pojačanim nadzorom.
Obveze transparentnosti ograničenog rizika
Ovdje se nalazi većina rada na usklađenosti s AI Act-om izdavača i oglašivača u 2026.
Otkrivanje sustava preporuka
Preporučitelji sadržaja koji personaliziraju ono što korisnici vide — bilo na početnoj stranici izdavača, u fedu unutar aplikacije ili u programatskom plasmanu oglasa — spadaju u razinu ograničenog rizika. Korisnici moraju biti obaviješteni da komuniciraju s AI sustavom, a sustav mora biti dizajniran tako da je AI priroda interakcije jasna.
Otkrivanje chatbota
Svaki AI sustav koji izravno komunicira s korisnicima u razgovornom obliku mora otkriti svoju AI prirodu. Izdavači i oglašivači koji pokreću AI chat sučelja — za korisničku podršku, otkrivanje sadržaja ili bilo koju drugu svrhu — moraju zadovoljiti ovu osnovicu.
Otkrivanje sintetičkog sadržaja
AI-generirane slike, audio, video i tekstualni sadržaj moraju biti označeni kao takvi. Izdavači koji koriste AI-generirane vizuale ili tekst u uredničkom sadržaju, kreativnim oglasima ili slikama proizvoda trebaju primijeniti obveze označavanja. Implementacijske smjernice za 2026. pojasnile su tehničke specifikacije za označavanje, uključujući standarde vodenog žiga za vizualni sadržaj.
Kombinirana površina pristanka u 2026.
CMP i obavijest o privatnosti sada moraju raditi za oba režima. CMP izdavača za 2026. znatno je razrađeniji od svog prethodnika iz 2024.
Granularne svrhe pristanka
CMP otkriva svrhe pristanka koje razlikuju opće oglašavanje, profiliranje za oglašavanje, automatizirano donošenje odluka i personalizaciju preporuka. Svaka se mapira na specifičnu granicu AI Act-a i GDPR-a, a svaka zahtijeva vlastiti afirmativni pristanak.
Otkrivanja AI sustava
Obavijest o privatnosti ili prateći AI dokument otkrivanja opisuje AI sustave u upotrebi, njihove svrhe, kategorije ulaznih podataka, široku logiku rezultata i mehanizme ljudskog nadzora koji su na snazi. Ovo je više od automatiziranog otkrivanja odluke iz Članka 22 GDPR-a — to je cjelovitija priča o transparentnosti AI-ja.
Pravo prigovora
GDPR-ovo pravo prigovora na profiliranje nastavlja se primjenjivati, a AI Act dodaje daljnja korisnička prava oko AI-temeljene personalizacije preporuka. Korisnici mogu odustati od personalizacije preporuka bez gubitka pristupa temeljnoj usluzi, a odustajanje mora biti barem jednako lako kao i pristanak.
Operativni obrasci koji funkcioniraju u 2026.
Izdavači i oglašivači koji vode zrele programe za 2026. konvergiraju prema nekoliko operativnih obrazaca.
AI inventar
Održavajte živući inventar svakog AI sustava koji se koristi u stogu izdavača ili oglašivača: sustav, njegova razina rizika prema Aktu, osobni podaci koje obrađuje, zakonita osnova prema GDPR-u, otkrivanja transparentnosti koja se na njega primjenjuju i ljudski nadzor koji je na snazi. Ovo je temeljni artefakt usklađenosti i ono što će regulatori prvo tražiti da vide.
Kombinirana obavijest o privatnosti
Jedna kombinirana obavijest o privatnosti i transparentnosti AI-ja — na portugalskom, njemačkom, francuskom ili na jeziku koji je primjeren publici — koja se bavi i GDPR-om i obvezama AI Act-a u koherentnoj naraciji. Pokušaj održavanja dva odvojena otkrivanja poziva na proturječnosti i zbunjenost čitatelja.
Revizija AI dobavljača
Za svakog dobavljača oglašavanja ili analitike koji obrađuje AI-temeljene rezultate u ime izdavača, ugovor mora adresirati alokaciju obveza prema AI Act-u, pristup tehničkoj dokumentaciji i obavijest o incidentima. Standardni ugovori o obradi podataka iz 2023. ne adresiraju AI Act i trebaju biti osvježeni.
Kazne i stavovi prema provedbi
AI Act uvodi stupnjevan režim kazni s administrativnim novčanim kaznama koje mogu premašiti maksimume GDPR-a.
Razine kazni
- Do EUR 35 milijuna ili 7 posto globalnog godišnjeg prihoda za povrede zabranjenih praksi
- Do EUR 15 milijuna ili 3 posto za većinu ostalih materijalnih povreda
- Do EUR 7,5 milijuna ili 1 posto za dostavljanje netočnih informacija
Arhitektura provedbe
Svaka država članica imenuje nacionalna nadležna tijela za provedbu AI Act-a, a Europski ured za AI koordinira nadzor modela AI opće namjene. Provedba protiv izdavača i oglašivača primarno će se odvijati putem nacionalnih tijela, često u bliskoj koordinaciji s postojećim tijelima za zaštitu podataka. Prve značajne akcije provedbe AI Act-a očekuju se u 2026. kako obveze visokog rizika u potpunosti stupe na snagu.
Revizijska lista za AI-temeljeno oglašavanje u 2026.
- Živući inventar svakog AI sustava u stogu s klasifikacijom razine rizika
- Zakonita osnova GDPR-a dokumentirana za svaki AI sustav koji obrađuje osobne podatke
- Otkrivanja transparentnosti AI Act-a primijenjena na svaki sustav ograničenog rizika, uključujući personalizaciju preporuka i chatbotove
- Označavanje sintetičkog sadržaja primijenjeno na AI-generiranu kreativu, slike, audio i video
- Kombinirana obavijest o privatnosti i transparentnosti AI-ja na odgovarajućem lokalnom jeziku
- CMP otkriva profiliranje, automatizirano donošenje odluka i personalizaciju preporuka kao zasebno suglasive svrhe
- Segmenti publike pregledani u odnosu na zabranjenu listu biometričke kategorizacije
- Ugovori s dobavljačima ažurirani za adresiranje alokacije obveza AI Act-a
- Mehanizmi ljudskog nadzora dokumentirani za svaki sustav koji se približava granici visokog rizika
- Tijek rada prava ispitanika i korisnika prema AI Act-u može odgovoriti na zahtjeve za odustajanje, objašnjenje i pregled od strane ljudi unutar primjenjivih vremenskih prozora za odgovor
Izgled za 2026.
AI Act ne zamjenjuje GDPR — on se naslanja na njega, a kombinirana površina znatno je razrađenija od bilo kojeg režima zasebno. Za izdavače i oglašivače koji pokreću AI-temeljenu personalizaciju, profiliranje, sustave preporuka ili generativni sadržaj, 2026. je godina u kojoj arhitektura usklađenosti mora sazrjeti izvan čisto GDPR stavova. Oni koji tretiraju AI Act kao brigu za budućnost otkriti će da budućnost dolazi brže nego što se očekivalo, s nacionalnim tijelima koja izdaju prve akcije provedbe u 2026. i u 2027. Oni koji grade kombiniranu usklađenost od početka otkriti će da se arhitektura isplati: obveze transparentnosti AI Act-a, dobro implementirane, jačaju i GDPR priču o pristanku i povjerenju, a operativna disciplina održavanja živućeg AI inventara pokazuje se korisnom daleko izvan regulatorne usklađenosti.