Az AI Act struktúrája 2026-ban

Az AI Act a világ első átfogó horizontális mesterséges intelligencia szabályozása. Kockázatalapú architektúrája a kulcs annak megértéséhez, hogy mely kötelezettségek vonatkoznak mely rendszerekre.

A kockázati szintek

A törvény négy szintbe sorolja az MI-rendszereket az általuk jelentett kockázat alapján:

• Tiltott rendszerek — teljes egészében betiltott gyakorlatok, beleértve a szublimináris manipulációs technikákat, a sebezhetőségek kihasználását, a közhatóságok általi társadalmi pontozást, valamint a biometrikus kategorizálás és érzelemfelismerés bizonyos formáit
• Magas kockázatú rendszerek — meghatározott, nagy tétekkel járó összefüggésekben alkalmazott rendszerek, amelyekre a törvény érdemi kötelezettségeinek zöme vonatkozik, beleértve a kockázatkezelést, az adatirányítást, az átláthatóságot, az emberi felügyeletet és a pontossági követelményeket
• Korlátozott kockázatú rendszerek — specifikus átláthatósági kötelezettségekkel rendelkező rendszerek, beleértve a legtöbb MI-vezérelt tartalomajánlót és a felhasználókkal közvetlenül kommunikáló chatbotokat
• Minimális kockázatú rendszerek — minden egyéb, kizárólag általános önkéntes magatartási kódexeknek alávetett rendszer

Hol helyezkedik el a hirdetés és az ajánlórendszerek

A legtöbb hirdetési célú MI – közönségpontozás, programatikus ajánlattételi optimalizálás, tartalomajánlók, személyre szabó motorok – a korlátozott kockázatú szintbe tartozik, nem a magas kockázatú szintbe. Ez megkönnyebbülésnek tűnik, de a korlátozott kockázatú szint is hordoz érdemi átláthatósági kötelezettségeket, és számos határeset specifikus rendszereket magasabb szintekbe tol. Kritikusan fontos, hogy a tiltott gyakorlatokra vonatkozó szabályok elérhetik a hirdetési rendszereket, ha azok manipuláció vagy kihasználás területére lépnek, és az EDPB jelzett hajlandóságot arra, hogy ezeket a rendelkezéseket tágan értelmezze.

Az ütemezés

A 2026-os naptár fontos: az új rendszerekre vonatkozó magas kockázatú kötelezettségek 2026 augusztusában, a már piacon lévő rendszerekre vonatkozók 2027-ben lépnek hatályba, az általános célú MI-szolgáltatókra vonatkozó kötelezettségek pedig már hatályban vannak. A kiadóknak és hirdetőknek fel kell térképezniük MI-leltárukat e naptárhoz képest, hogy tudják, mikor melyik kötelezettségek vonatkoznak rájuk.

Hogyan rétegződik az AI Act a GDPR fölé

Az AI Act nem váltja fel a GDPR-t. Fölé rétegződik. Egy rendszernek, amely személyes adatokat dolgoz fel MI-vezérelt eredmények előállításához, mindkét rezsimet ki kell elégítenie, és a kötelezettségek additívak, nem alternatívak.

A GDPR-réteg

A GDPR továbbra is szabályozza a személyes adatkezelés jogszerűségét. A hirdetési profilalkotáshoz való hozzájárulás, a mérés jogalapja, az érintetti jogok halmaza, a határokon átnyúló adattovábbítási kötelezettségek – mindezek változatlanul továbbra is alkalmazandók.

Az AI Act-réteg

A GDPR fölé az AI Act olyan kötelezettségeket ad, amelyek kifejezetten magára az MI-rendszerre vonatkoznak: hogyan tanították be, milyen adatok kerültek a tanításba, hogyan dokumentálják a kimeneteit, milyen felügyeleti mechanizmusok léteznek, milyen átláthatóságot kap a felhasználó. Ezek a kötelezettségek az MI-rendszerhez kapcsolódnak, függetlenül attól, hogy az alapul szolgáló adatkezelés hozzájáruláson, szerződésen vagy más jogalapon alapul.

A gyakorlati következmény

Egy személyes adatokon tartalomajánlót üzemeltető kiadónak szüksége van mind érvényes GDPR-jogalapra az adatkezeléshez, mind megfelelő átláthatósági közzétételre az AI Act alapján. Bármelyik önmagában elégtelen. A megfelelési felület valóban kétdimenziós, és a dokumentációs láncnak mindkét tengelyt le kell fednie.

Tiltott gyakorlatok és hirdetés

A törvény tiltott gyakorlatokra vonatkozó listája rövid, de következményes, és számos tétel hatással van a hirdetéstervezésre.

Manipulációs technikák

A törvény megtiltja azokat az MI-rendszereket, amelyek szublimináris technikákat, manipulációs gyakorlatokat alkalmaznak, vagy specifikus csoportok sebezhetőségeit aknázzák ki olyan módon, amely valószínűleg jelentős kárt okoz. A legtöbb hirdetéstervezés nem közelíti meg ezt a határt – de az MI-vezérelt profilalkotást használó, azonosított sebezhetőségeket (pénzügyi nehézség, mentális egészségi állapotok, függőségi minták) célzó hirdetések átléphetik azt. Az EDPB korai iránymutatásaiban jelezte ezt.

Biometrikus kategorizálás

A törvény tiltja a biometrikus kategorizálást, amely érzékeny attribútumokat, mint például faj, politikai vélemény, szakszervezeti tagság, vallási meggyőződés, szexuális élet vagy szexuális irányultság következtet ki. A biometrikus adatokból épített, ezeket az attribútumokat következtető közönségszegmensek mostantól tiltott területen vannak.

Érzelemfelismerés meghatározott összefüggésekben

Az érzelemfelismerés tilos munkahelyi és oktatási összefüggésekben. Az ezeken a területeken kívüli hirdetési érzelemfelismerési alkalmazási esetek még megengedhetők lehetnek, de fokozott ellenőrzéssel szembesülnek.

Korlátozott kockázatú átláthatósági kötelezettségek

Az AI Act megfelelési munkájának zöme 2026-ban a kiadók és hirdetők számára itt összpontosul.

Az ajánlórendszer közzététele

A tartalomajánlók, amelyek személyre szabják, hogy a felhasználók mit látnak – akár egy kiadó főoldalán, egy alkalmazáson belüli hírfolyamban, vagy egy programatikus hirdetéselhelyezésben – a korlátozott kockázatú szintbe tartoznak. A felhasználókat tájékoztatni kell arról, hogy MI-rendszerrel lépnek kapcsolatba, és a rendszert úgy kell megtervezni, hogy az interakció MI-jellege egyértelmű legyen.

A chatbot közzététele

Minden olyan MI-rendszernek, amely közvetlenül, társalgási formában kommunikál a felhasználókkal, közzé kell tennie MI-jellegét. Az AI csevegő felületeket – ügyfélszolgálat, tartalmak felfedezése vagy bármilyen más célra – üzemeltető kiadóknak és hirdetőknek ki kell elégíteniük ezt az alapkövetelményt.

A szintetikus tartalom közzététele

Az MI által generált képeket, hangot, videót és szöveges tartalmat meg kell jelölni ilyenként. A szerkesztői tartalomban, hirdetési kreatívokban vagy termékmegjelenítésben MI által generált vizuális elemeket vagy szöveget használó kiadóknak alkalmazniuk kell a jelölési kötelezettségeket. A 2026-os végrehajtási útmutató tisztázta a jelölés technikai specifikációit, beleértve a vizuális tartalmak vízjelezési szabványait.

A kombinált hozzájárulási felület 2026-ban

A CMP és az adatvédelmi tájékoztató mostantól mindkét rezsimnek munkát kell végeznie. A 2026-os kiadói CMP érdemben kidolgozottabb, mint 2024-es elődje.

Részletes hozzájárulási célok

A CMP olyan hozzájárulási célokat tesz közzé, amelyek különbséget tesznek az általános hirdetés, a hirdetési célú profilalkotás, az automatizált döntéshozatal és az ajánló személyre szabás között. Mindegyik egy specifikus AI Act és GDPR határhoz kapcsolódik, és mindegyik saját kifejezett hozzájárulást igényel.

MI-rendszer közzétételek

Az adatvédelmi tájékoztató vagy egy kísérő MI-közzétételi dokumentum leírja a használatban lévő MI-rendszereket, azok céljait, a bemeneti adatok kategóriáit, a kimenetek széles logikáját és a meglévő emberi felügyeleti mechanizmusokat. Ez több, mint a GDPR 22. cikke szerinti automatizált döntéshozatali közzététel – ez egy teljesebb MI-átláthatósági történet.

A tiltakozás joga

A GDPR profilalkotással szembeni tiltakozáshoz való joga továbbra is alkalmazandó, és az AI Act további felhasználói jogokat ad az MI-vezérelt ajánló személyre szabással kapcsolatban. A felhasználók kérés nélkül leiratkozhatnak az ajánló személyre szabásból az alapul szolgáló szolgáltatáshoz való hozzáférés elvesztése nélkül, és a leiratkozásnak legalább olyan könnyűnek kell lennie, mint a feliratkozásnak.

2026-ban működő üzemeltetési minták

Az érett 2026-os programokat futtató kiadók és hirdetők néhány üzemeltetési mintán convergelnek.

Az MI-leltár

Fenntartandó a kiadói vagy hirdetői veremben használt minden MI-rendszer élő leltára: a rendszer, kockázati szintje a törvény alapján, az általa kezelt személyes adatok, GDPR-jogalapja, az alkalmazott átláthatósági közzétételek és a meglévő emberi felügyelet. Ez az alapvető megfelelési dokumentum, és ezt kérik majd elsőként a szabályozók.

A kombinált adatvédelmi tájékoztató

Egyetlen kombinált adatvédelmi és MI-átláthatósági tájékoztató – portugálul, németül, franciául vagy bármilyen, a célközönség számára megfelelő nyelven –, amely a GDPR és az AI Act kötelezettségeit is koherens elbeszélésben tárgyalja. Két külön közzététel fenntartásának kísérlete ellentmondásokat és olvasói zavart eredményez.

A szállítói MI-audit

Minden olyan hirdetési vagy elemzési szállító esetében, amely a kiadó nevében MI-vezérelt kimeneteket dolgoz fel, a szerződésnek foglalkoznia kell az AI Act kötelezettségek allokációjával, a technikai dokumentációhoz való hozzáféréssel és az incidensértesítéssel. A 2023-as szabványos adatfeldolgozási megállapodások nem foglalkoznak az AI Act-tel, és frissítésre szorulnak.

Szankciók és végrehajtási magatartás

Az AI Act lépcsőzetes szankciórendszert vezet be olyan közigazgatási bírságokkal, amelyek meghaladhatják a GDPR maximumait.

A szankciók szintjei

• Legfeljebb EUR 35 millió vagy a globális éves forgalom 7 százaléka tiltott gyakorlat megsértése esetén
• Legfeljebb EUR 15 millió vagy 3 százalék a legtöbb egyéb érdemi megsértés esetén
• Legfeljebb EUR 7,5 millió vagy 1 százalék helytelen információ szolgáltatása esetén

A végrehajtási architektúra

Minden tagállam kijelöli a nemzeti illetékes hatóságokat az AI Act végrehajtásához, az Európai MI Hivatal pedig koordinálja az általános célú MI-modellek felügyeletét. A kiadókkal és hirdetőkkel szembeni végrehajtás elsősorban a nemzeti hatóságokon keresztül zajlik majd, gyakran szoros koordinációban a meglévő adatvédelmi hatóságokkal. Az első jelentős AI Act végrehajtási intézkedések várhatóan 2026 folyamán születnek, ahogy a magas kockázatú kötelezettségek teljesen hatályba lépnek.

Ellenőrző lista az MI-vezérelt hirdetéshez 2026-ban

• A veremben lévő minden MI-rendszer élő leltára kockázatiszint-besorolással
• GDPR-jogalap dokumentálva minden személyes adatot kezelő MI-rendszer esetében
• AI Act átláthatósági közzétételek alkalmazva minden korlátozott kockázatú rendszerre, beleértve az ajánló személyre szabást és a chatbotokat
• Szintetikus tartalom jelölése alkalmazva az MI által generált kreatívokra, képekre, hangra és videóra
• Kombinált adatvédelmi és MI-átláthatósági tájékoztató a megfelelő helyi nyelven
• A CMP a profilalkotást, az automatizált döntéshozatalt és az ajánló személyre szabást külön hozzájárulható célokként teszi közzé
• A közönségszegmensek felülvizsgálva a tiltott biometrikus kategorizálási lista alapján
• Szállítói szerződések frissítve az AI Act kötelezettségek allokációjának kezelésére
• Az emberi felügyeleti mechanizmusok dokumentálva minden, a magas kockázatú határt megközelítő rendszer esetében
• Az érintetti és AI Act felhasználói jogok munkafolyamata képes leiratkozási, magyarázati és emberi felülvizsgálati kérelmekre válaszolni az alkalmazandó válaszhatárokon belül

A 2026-os kilátások

Az AI Act nem váltja fel a GDPR-t – rárétegződik, és a kombinált felület érdemben kidolgozottabb, mint bármelyik rezsim önmagában. Az MI-vezérelt személyre szabást, profilalkotást, ajánlórendszereket vagy generatív tartalmat futtató kiadók és hirdetők számára 2026 az az év, amikor a megfelelési architektúrának túl kell nőnie a puszta GDPR-posztúrán. Azok, akik az AI Act-et jövőbeli aggodalomként kezelik, azt fogják tapasztalni, hogy a jövő gyorsabban érkezik, mint várták, a nemzeti hatóságok 2026 folyamán és 2027-be nyúlóan adják ki első végrehajtási intézkedéseiket. Azok, akik a kezdetektől kombinált megfelelést építenek, azt tapasztalják, hogy az architektúra megtérül: az AI Act átláthatósági kötelezettségei, jól megvalósítva, a GDPR hozzájárulási és bizalmi történetet is erősítik, és az élő MI-leltár fenntartásának üzemeltetési fegyelme a szabályozási megfelelőségen jóval túl is hasznosnak bizonyul.