ES AI Act un sīkdatņu piekrišana 2026. gadā: kā profilēšana, ieteikumu sistēmas un mērķētā reklāma iekļaujas jaunajā regulējuma struktūrā
ES AI Act (Regula 2024/1689) stājās spēkā 2024. gada augustā, un tās noteikumi tiek ieviesti pakāpeniski vairāku gadu laikā. Aizliegto prakšu noteikumi stājās spēkā 2025. gada februārī, vispārējas nozīmes AI pienākumi 2025. gada augustā, un lielākā daļa augsta riska sistēmu pienākumu stājas spēkā 2026. gada laikā un 2027. gadā. Sākoties 2026. gadam, AI Act vairs nav nākotnes problēma — tā ir darbojošās regula, kas papildina GDPR jebkurai sistēmai, kas izmanto AI, lai profilētu, vērtētu vai sakārtotu EU lietotājus. Izdevējiem, kuri izmanto ieteikumu sistēmas, reklāmdevējiem, kuri izmanto personalizācijas dzinējus, un ad-tech pārdevējiem, kuri izmanto automatizētu auditorijas vērtēšanu, AI Act pievieno jaunu atbilstības dimensiju, ko GDPR viens pats nekad neaptvēra: ne tikai vai lietotājs piekrita datu apstrādei, bet vai pati AI sistēma atbilst Akta dizaina, caurspīdīguma, uzraudzības un atbildības prasībām. Šis ceļvedis iziet cauri AI Act struktūrai, tam, kā tā mijiedarbojas ar sīkdatņu piekrišanu un GDPR profilēšanas noteikumiem, ko 2026. gada pienākumi faktiski prasa, un kā izdevējiem un reklāmdevējiem vajadzētu domāt par kombinēto GDPR-plus-AI-Act atbilstības virsmu.
AI Act struktūra 2026. gadā
AI Act ir pasaulē pirmā visaptverošā horizontālā mākslīgā intelekta regula. Tās uz risku balstītā arhitektūra ir atslēga izpratnei par to, kuri pienākumi attiecas uz kurām sistēmām.
Riska līmeņi
Akts sašķiro AI sistēmas četros līmeņos, pamatojoties uz to radīto risku:
- Aizliegtās sistēmas — prakses, kas ir pilnībā aizliegtas, tostarp manipulatīvas zemapziņas tehnikas, neaizsargātības izmantošana, sociāla vērtēšana no publisko iestāžu puses un noteiktas biometriskās kategorizācijas un emociju atpazīšanas formas
- Augsta riska sistēmas — sistēmas, ko izmanto noteiktos augsta riska kontekstos, uz kurām attiecas lielākā daļa Akta būtisko pienākumu, tostarp riska pārvaldība, datu pārvaldība, caurspīdīgums, cilvēka uzraudzība un precizitātes prasības
- Ierobežota riska sistēmas — sistēmas ar īpašām caurspīdīguma saistībām, tostarp lielākā daļa AI vadīto satura ieteicēju un tērzētavu, kas tieši mijiedarbojas ar lietotājiem
- Minimāla riska sistēmas — viss pārējais, uz ko attiecas tikai vispārēji brīvprātīgi rīcības kodeksi
Kur atrodas reklāmas un ieteikumu sistēmas
Lielākā daļa uz reklāmu vērsta AI — auditorijas vērtēšana, programmatiskās solīšanas optimizācija, satura ieteicēji, personalizācijas dzinēji — atrodas ierobežota riska, nevis augsta riska līmenī. Tas izklausās kā atvieglojums, taču ierobežota riska līmenis joprojām ietver nozīmīgas caurspīdīguma saistības, un vairāki robežgadījumi virza konkrētas sistēmas augstākos līmeņos. Kritiski, aizliegto prakšu noteikumi var aptvert reklāmas sistēmas, ja tās pāriet manipulācijas vai izmantošanas teritorijā, un EDPB ir signalizējusi vēlmi plaši interpretēt šos noteikumus.
Fāzēšana
2026. gada kalendārs ir svarīgs: augsta riska pienākumi jaunām sistēmām stājas spēkā 2026. gada augustā, augsta riska pienākumi sistēmām, kas jau ir tirgū, stājas spēkā 2027. gadā, un vispārējas nozīmes AI nodrošinātāju pienākumi jau ir spēkā. Izdevējiem un reklāmdevējiem vajadzētu salīdzināt savu AI inventāru ar šo kalendāru, lai zinātu, kuri pienākumi piemērojami kurā brīdī.
Kā AI Act papildina GDPR
AI Act neaizstāj GDPR. Tas tiek uzlikts virsū. Sistēmai, kas apstrādā personas datus, lai radītu AI vadītus rezultātus, ir jāatbilst abiem režīmiem, un pienākumi ir papildinoši, nevis alternatīvi.
GDPR slānis
GDPR turpina regulēt personas datu apstrādes likumību. Piekrišana reklāmas profilēšanai, likumīgais pamats mērījumiem, datu subjekta tiesību kopums, pārrobežu pārsūtīšanas pienākumi — viss turpina piemēroties bez izmaiņām.
AI Act slānis
Virs GDPR AI Act pievieno pienākumus, kas īpaši attiecas uz pašu AI sistēmu: kā tā tika apmācīta, kādi dati tika izmantoti apmācībai, kā tās rezultāti ir dokumentēti, kādi uzraudzības mehānismi pastāv, kādu caurspīdīgumu saņem lietotājs. Šie pienākumi attiecas uz AI sistēmu neatkarīgi no tā, vai pamatā esošā datu apstrāde balstās uz piekrišanu, līgumu vai kādu citu likumīgu pamatu.
Praktiskā ietekme
Izdevējam, kurš palaiž satura ieteicēju uz personas datiem, ir nepieciešams gan derīgs GDPR likumīgais pamats datu apstrādei, gan atbilstoša caurspīdīguma atklāšana saskaņā ar AI Act. Viens pats nevienam no tiem nav pietiekams. Atbilstības virsma tagad ir patiesi divdimensionāla, un dokumentācijas ķēdei ir jāaptver abas asis.
Aizliegtās prakses un reklāma
Akta aizliegto prakšu saraksts ir īss, bet būtisks, un vairākiem ierakstiem ir ietekme uz reklāmas dizainu.
Manipulatīvas tehnikas
Akts aizliedz AI sistēmas, kas izvērš zemapziņas tehnikas, manipulatīvas prakses vai izmanto īpašu grupu neaizsargātības veidos, kas var izraisīt ievērojamu kaitējumu. Lielākā daļa reklāmas dizaina šai robežai netuvojas — bet reklāma, kas mērķē uz identificētām ievainojamībām (finansiālais stress, garīgās veselības stāvokļi, atkarības paradumi), izmantojot AI vadītu profilēšanu, varētu to šķērsot. EDPB to ir izcēlusi agrīnajās vadlīnijās.
Biometriskā kategorizācija
Akts aizliedz biometrisko kategorizāciju, kas secina jutīgus atribūtus, piemēram, rasi, politisko viedokli, arodbiedrības piederību, reliģisko pārliecību, dzimumdzīvi vai seksuālo orientāciju. Auditorijas segmenti, kas veidoti no biometriskiem datiem, kas secina šos atribūtus, tagad atrodas aizliegtā teritorijā.
Emociju atpazīšana īpašos kontekstos
Emociju atpazīšana ir aizliegta darba vietā un izglītības kontekstos. Reklāmas emociju noteikšanas lietošanas gadījumi ārpus šiem kontekstiem var joprojām būt pieļaujami, taču saskaras ar pastiprinātu pārbaudi.
Ierobežota riska caurspīdīguma pienākumi
Šeit 2026. gadā ir lielākā daļa izdevēja un reklāmdevēja AI Act atbilstības darba.
Ieteikumu sistēmas atklāšana
Satura ieteicēji, kas personalizē to, ko lietotāji redz — vai tas būtu izdevēja sākumlapā, lietotnē iekšējā plūsmā vai programmatiskās reklāmas izvietojumā — ietilpst ierobežota riska līmenī. Lietotāji ir jāinformē, ka viņi mijiedarbojas ar AI sistēmu, un sistēmai jābūt veidotai tā, lai mijiedarbības AI daba būtu skaidra.
Tērzētavas atklāšana
Jebkurai AI sistēmai, kas tieši mijiedarbojas ar lietotājiem sarunas veidā, ir jāatklāj sava AI daba. Izdevējiem un reklāmdevējiem, kuri izmanto AI tērzēšanas saskarnes — klientu atbalstam, satura atklāšanai vai jebkuram citam mērķim — ir jāizpilda šī pamatprasība.
Sintētiskā satura atklāšana
AI ģenerētiem attēliem, audio, video un teksta saturam ir jābūt atbilstoši iezīmētiem. Izdevējiem, kuri redakcionālajā saturā, reklāmas radošajā darbā vai produktu attēlos izmanto AI ģenerētus vizuālos vai tekstus, ir jāpiemēro iezīmēšanas pienākumi. 2026. gada īstenošanas vadlīnijas ir precizējušas tehniskās specifikācijas iezīmēšanai, tostarp ūdenszīmju standartus vizuālajam saturam.
Apvienotā piekrišanas virsma 2026. gadā
CMP un privātuma paziņojumam tagad ir jāveic darbs abiem režīmiem. 2026. gada izdevēja CMP izskatās nozīmīgi sarežģītāks nekā tā 2024. gada priekšgājējs.
Detalizēti piekrišanas mērķi
CMP atklāj piekrišanas mērķus, kas nošķir vispārējo reklāmu, profilēšanu reklāmai, automatizētu lēmumu pieņemšanu un ieteikumu personalizāciju. Katrs no tiem saskaņojas ar konkrētu AI Act un GDPR robežu, un katrs prasa savu apstiprinošu piekrišanu.
AI sistēmas atklāšana
Privātuma paziņojumā vai pavaddokumenta AI atklāšanas dokumentā ir aprakstītas izmantotās AI sistēmas, to mērķi, ievades datu kategorijas, rezultātu plašā loģika un pastāvošie cilvēka uzraudzības mehānismi. Tas ir vairāk nekā GDPR 22. panta automatizētā lēmuma atklāšana — tas ir pilnīgāks AI caurspīdīguma stāsts.
Tiesības iebilst
GDPR tiesības iebilst pret profilēšanu turpina piemēroties, un AI Act pievieno papildu lietotāja tiesības attiecībā uz AI vadītu ieteikumu personalizāciju. Lietotāji var atteikties no ieteikumu personalizācijas, nezaudējot piekļuvi pamatpakalpojumam, un atteikšanās procesam jābūt vismaz tikpat vienkāršam kā piekrišanas procesam.
Operatīvie modeļi, kas darbojas 2026. gadā
Izdevēji un reklāmdevēji, kuri vada nobriedušas 2026. gada programmas, saplūst dažos operatīvos modeļos.
AI inventārs
Uzturiet dzīvu inventāru par katru AI sistēmu, ko izmanto izdevēja vai reklāmdevēja stack: sistēma, tās riska līmenis saskaņā ar Aktu, tās apstrādātie personas dati, tās likumīgais pamats saskaņā ar GDPR, tai piemērotās caurspīdīguma atklāšanas un esošā cilvēka uzraudzība. Tas ir pamatatbilstības artefakts, un regulatori prasīs to redzēt vispirms.
Apvienotais privātuma paziņojums
Vienots apvienots privātuma un AI caurspīdīguma paziņojums — portugāļu, vācu, franču vai neatkarīgi no tā, kura valoda ir piemērota auditorijai — kas saskaņotā stāstījumā aptver gan GDPR, gan AI Act pienākumus. Mēģinājums uzturēt divus atsevišķus paziņojumus izraisa pretrunas un lasītāja apjukumu.
Pārdevēja AI audits
Katram reklāmas vai analītikas pārdevējam, kurš apstrādā AI vadītus rezultātus izdevēja vārdā, līgumā jāaplūko AI Act pienākumu sadale, piekļuve tehniskajai dokumentācijai un incidentu paziņošana. Standarta datu apstrādes līgumi no 2023. gada neaplūko AI Act un ir jāatjaunina.
Sodi un izpildes stāja
AI Act ievieš pakāpenisku sodu režīmu ar administratīviem naudas sodiem, kas var pārsniegt GDPR maksimumus.
Sodu līmeņi
- Līdz EUR 35 miljoni vai 7 procenti no globālā gada apgrozījuma par aizliegto prakšu pārkāpumiem
- Līdz EUR 15 miljoniem vai 3 procentiem par lielāko daļu citu būtisku pārkāpumu
- Līdz EUR 7,5 miljoniem vai 1 procentam par nepareizas informācijas sniegšanu
Izpildes arhitektūra
Katra dalībvalsts nozīmē nacionālās kompetentās iestādes AI Act izpildei, un Eiropas AI birojs koordinē vispārējas nozīmes AI modeļu uzraudzību. Izpilde pret izdevējiem un reklāmdevējiem galvenokārt notiks caur nacionālajām iestādēm, bieži ciešā sadarbībā ar esošajām datu aizsardzības iestādēm. Pirmās nozīmīgās AI Act izpildes darbības tiek gaidītas 2026. gada laikā, kad augsta riska pienākumi pilnīgi stāsies spēkā.
Audita kontrolsaraksts AI vadītai reklāmai 2026. gadā
- Dzīvs inventārs par katru AI sistēmu stack ar riska līmeņa klasifikāciju
- GDPR likumīgais pamats dokumentēts katrai AI sistēmai, kas apstrādā personas datus
- AI Act caurspīdīguma atklāšana piemērota katrai ierobežota riska sistēmai, tostarp ieteikumu personalizācijai un tērzētavām
- Sintētiskā satura iezīmēšana piemērota AI ģenerētam radošajam darbam, attēliem, audio un video
- Apvienotais privātuma un AI caurspīdīguma paziņojums attiecīgajā vietējā valodā
- CMP atklāj profilēšanu, automatizētu lēmumu pieņemšanu un ieteikumu personalizāciju kā atsevišķi piekrītamus mērķus
- Auditorijas segmenti tiek pārskatīti attiecībā pret aizliegto biometrisko kategorizāciju sarakstu
- Pārdevēju līgumi atjaunināti, lai aplūkotu AI Act pienākumu sadali
- Cilvēka uzraudzības mehānismi dokumentēti jebkurai sistēmai, kas tuvojas augsta riska robežai
- Datu subjekta un AI-Act lietotāja tiesību darbplūsma var reaģēt uz atteikšanās, skaidrojuma un cilvēka pārskatīšanas pieprasījumiem piemērojamos atbildes logos
2026. gada perspektīva
AI Act neaizstāj GDPR — tas tiek uzlikts virsū, un apvienotā virsma ir nozīmīgi sarežģītāka nekā jebkurš no režīmiem atsevišķi. Izdevējiem un reklāmdevējiem, kuri vada AI vadītu personalizāciju, profilēšanu, ieteikumu sistēmas vai ģeneratīvu saturu, 2026. gads ir gads, kad atbilstības arhitektūrai ir jānobriest ārpus tīras GDPR stājas. Tie, kas AI Act uzskata par nākotnes problēmu, atradīs, ka nākotne pienāk ātrāk, nekā gaidīts, un nacionālās iestādes izdos savas pirmās izpildes darbības 2026. gada laikā un līdz 2027. gadam. Tie, kas no paša sākuma veido apvienotu atbilstību, atradīs, ka arhitektūra atmaksājas: AI Act caurspīdīguma pienākumi, labi ieviesti, arī stiprina GDPR piekrišanas un uzticības stāstu, un operatīvā disciplīna uzturēt dzīvu AI inventāru izrādās noderīga tālu ārpus regulējuma atbilstības.