Struktura AI Act w 2026 roku

AI Act jest pierwszą na świecie kompleksową regulacją horyzontalną sztucznej inteligencji. Jego architektura oparta na poziomach ryzyka jest kluczem do zrozumienia, które obowiązki mają zastosowanie do których systemów.

Poziomy ryzyka

Akt sortuje systemy AI na cztery poziomy w oparciu o ryzyko, jakie stwarzają:

• Systemy zakazane — praktyki, które są zakazane wprost, w tym manipulacyjne techniki podprogowe, wykorzystywanie podatności, scoringowanie społeczne przez władze publiczne oraz niektóre formy kategoryzacji biometrycznej i rozpoznawania emocji
• Systemy wysokiego ryzyka — systemy używane w określonych kontekstach o wysokiej stawce, podlegające większości istotnych obowiązków Aktu, w tym zarządzaniu ryzykiem, zarządzaniu danymi, przejrzystości, nadzorowi ludzkiemu i wymogom dokładności
• Systemy ograniczonego ryzyka — systemy z konkretnymi obowiązkami przejrzystości, w tym większość rekomenderów treści opartych na AI i chatbotów, które bezpośrednio współdziałają z użytkownikami
• Systemy minimalnego ryzyka — wszystko inne, podlegające jedynie ogólnym dobrowolnym kodeksom postępowania

Gdzie znajdują się systemy reklamowe i rekomendacyjne

Większość AI skierowanej na reklamę — scoringowanie odbiorców, optymalizacja licytacji programmatic, rekomendery treści, silniki personalizacji — znajduje się w poziomie ograniczonego ryzyka, a nie w poziomie wysokiego ryzyka. Brzmi to jak ulga, ale poziom ograniczonego ryzyka nadal niesie ze sobą znaczące obowiązki przejrzystości, a kilka przypadków granicznych wypycha konkretne systemy do wyższych poziomów. Co ważne, przepisy dotyczące praktyk zakazanych mogą dotyczyć systemów reklamowych, jeśli przekraczają granice manipulacji lub wykorzystywania, a EDPB zasygnalizował gotowość do szerokiej interpretacji tych przepisów.

Harmonogram

Kalendarz 2026 ma znaczenie: obowiązki dotyczące wysokiego ryzyka dla nowych systemów wchodzą w życie w sierpniu 2026 roku, obowiązki dotyczące wysokiego ryzyka dla systemów już obecnych na rynku wchodzą w życie w 2027 roku, a obowiązki dostawców AI ogólnego przeznaczenia już obowiązują. Wydawcy i reklamodawcy powinni zmapować swoje zasoby AI względem tego kalendarza, aby wiedzieć, które obowiązki i kiedy mają zastosowanie.

Jak AI Act nakłada się na GDPR

AI Act nie zastępuje GDPR. Znajduje się na nim. System, który przetwarza dane osobowe w celu wytwarzania wyników opartych na AI, musi spełniać oba reżimy, a obowiązki są addytywne, a nie alternatywne.

Warstwa GDPR

GDPR nadal reguluje legalność przetwarzania danych osobowych. Zgoda na profilowanie reklamowe, podstawa prawna dla pomiaru, klaster praw osoby, której dane dotyczą, obowiązki transferu transgranicznego — wszystko to nadal obowiązuje bez zmian.

Warstwa AI Act

Na wierzchu GDPR, AI Act dodaje obowiązki dotyczące konkretnie samego systemu AI: jak został wytrenowany, jakie dane trafiły do treningu, jak udokumentowane są jego wyniki, jakie istnieją mechanizmy nadzoru, jaką przejrzystość otrzymuje użytkownik. Te obowiązki dotyczą systemu AI niezależnie od tego, czy leżące u podstaw przetwarzanie danych opiera się na zgodzie, umowie, czy innej podstawie prawnej.

Praktyczna implikacja

Wydawca prowadzący rekomender treści na danych osobowych potrzebuje zarówno ważnej podstawy prawnej GDPR do przetwarzania danych, jak i zgodnego z AI Act ujawnienia przejrzystości. Żaden z nich osobno nie wystarczy. Powierzchnia zgodności jest teraz naprawdę dwuwymiarowa, a łańcuch dokumentacji musi obejmować obie osie.

Praktyki zakazane a reklama

Lista praktyk zakazanych Aktu jest krótka, ale znacząca, a kilka pozycji ma implikacje dla projektowania reklamy.

Techniki manipulacyjne

Akt zakazuje systemów AI, które wdrażają techniki podprogowe, praktyki manipulacyjne lub wykorzystują podatności określonych grup w sposób, który prawdopodobnie spowoduje znaczącą szkodę. Większość projektowania reklamowego nie zbliża się do tej granicy — ale reklama kierowana do zidentyfikowanych podatności (trudności finansowe, stany zdrowia psychicznego, wzorce uzależnień) z wykorzystaniem profilowania opartego na AI może ją przekroczyć. EDPB oznaczył to we wczesnych wytycznych.

Kategoryzacja biometryczna

Akt zakazuje kategoryzacji biometrycznej, która wnioskuje cechy wrażliwe, takie jak rasa, opinia polityczna, członkostwo w związkach zawodowych, przekonania religijne, życie seksualne lub orientacja seksualna. Segmenty odbiorców budowane z danych biometrycznych, które wnioskują te cechy, znajdują się teraz na terytorium zakazanym.

Rozpoznawanie emocji w określonych kontekstach

Rozpoznawanie emocji jest zakazane w kontekstach miejsc pracy i edukacji. Przypadki użycia rozpoznawania emocji w reklamie poza tymi kontekstami mogą nadal być dopuszczalne, ale stają przed zwiększoną kontrolą.

Obowiązki przejrzystości ograniczonego ryzyka

Tutaj znajduje się większość pracy wydawców i reklamodawców w zakresie zgodności z AI Act w 2026 roku.

Ujawnienie systemu rekomendacyjnego

Rekomendery treści, które personalizują to, co widzą użytkownicy — czy to na stronie głównej wydawcy, w kanale w aplikacji, czy w miejscu docelowym reklamy programmatic — podlegają poziomowi ograniczonego ryzyka. Użytkownicy muszą być informowani, że wchodzą w interakcję z systemem AI, a system musi być zaprojektowany tak, aby charakter AI interakcji był jasny.

Ujawnienie chatbota

Każdy system AI, który wchodzi w bezpośrednią interakcję z użytkownikami w formie konwersacyjnej, musi ujawnić swój charakter AI. Wydawcy i reklamodawcy prowadzący interfejsy czatu AI — do obsługi klienta, odkrywania treści lub dowolnego innego celu — muszą spełnić ten podstawowy wymóg.

Ujawnienie treści syntetycznych

Obrazy, audio, wideo i treści tekstowe wygenerowane przez AI muszą być oznaczone jako takie. Wydawcy wykorzystujący materiały wizualne lub tekstowe wygenerowane przez AI w treści redakcyjnej, kreacji reklamowej lub obrazach produktów muszą stosować obowiązki oznaczania. Wytyczne implementacyjne z 2026 roku wyjaśniły specyfikacje techniczne dotyczące oznaczania, w tym standardy znaków wodnych dla treści wizualnych.

Połączona powierzchnia zgody w 2026 roku

CMP i polityka prywatności muszą teraz wykonywać pracę dla obu reżimów. CMP wydawcy z 2026 roku wygląda znacznie bardziej rozbudowanie niż jego poprzednik z 2024 roku.

Granularne cele zgody

CMP eksponuje cele zgody, które rozróżniają reklamę ogólną, profilowanie dla reklamy, zautomatyzowane podejmowanie decyzji i personalizację rekomendacyjną. Każdy mapuje się na konkretną granicę AI Act i GDPR, a każdy wymaga własnej wyraźnej zgody.

Ujawnienia systemu AI

Polityka prywatności lub towarzyszący dokument ujawnienia AI opisuje używane systemy AI, ich cele, kategorie danych wejściowych, szeroką logikę wyników oraz wdrożone mechanizmy nadzoru ludzkiego. Jest to więcej niż ujawnienie zautomatyzowanej decyzji zgodnie z Artykułem 22 GDPR — to pełniejsza narracja przejrzystości AI.

Prawo do sprzeciwu

Prawo GDPR do sprzeciwu wobec profilowania nadal obowiązuje, a AI Act dodaje dalsze prawa użytkowników wokół personalizacji rekomendacyjnej opartej na AI. Użytkownicy mogą zrezygnować z personalizacji rekomendacyjnej bez utraty dostępu do podstawowej usługi, a rezygnacja musi być co najmniej tak łatwa, jak wyrażenie zgody.

Wzorce operacyjne, które działają w 2026 roku

Wydawcy i reklamodawcy prowadzący dojrzałe programy w 2026 roku zbliżają się do kilku wzorców operacyjnych.

Inwentaryzacja AI

Utrzymuj aktualną inwentaryzację każdego systemu AI w użyciu w stosie wydawcy lub reklamodawcy: system, jego poziom ryzyka zgodnie z Aktem, dane osobowe, które przetwarza, jego podstawę prawną zgodnie z GDPR, zastosowane ujawnienia przejrzystości oraz wdrożony nadzór ludzki. Jest to podstawowy artefakt zgodności i to właśnie regulatorzy poproszą o zobaczenie w pierwszej kolejności.

Połączona polityka prywatności

Jedna połączona polityka prywatności i przejrzystości AI — po portugalsku, niemiecku, francusku lub w jakimkolwiek języku odpowiednim dla odbiorców — która adresuje zarówno obowiązki GDPR, jak i AI Act w spójnej narracji. Próba utrzymywania dwóch oddzielnych ujawnień zaprasza sprzeczności i zamieszanie czytelnika.

Audyt AI dostawcy

Dla każdego dostawcy reklam lub analityki przetwarzającego wyniki oparte na AI w imieniu wydawcy, umowa musi adresować przypisanie obowiązków AI Act, dostęp do dokumentacji technicznej i powiadomienie o incydentach. Standardowe umowy powierzenia przetwarzania danych z 2023 roku nie adresują AI Act i wymagają odświeżenia.

Kary i postawa egzekucyjna

AI Act wprowadza wielopoziomowy reżim karny z administracyjnymi karami finansowymi, które mogą przekraczać maksima GDPR.

Poziomy kar

• Do 35 milionów EUR lub 7 procent rocznego globalnego obrotu za naruszenia praktyk zakazanych
• Do 15 milionów EUR lub 3 procent za większość innych naruszeń substancjalnych
• Do 7,5 miliona EUR lub 1 procent za dostarczanie nieprawidłowych informacji

Architektura egzekucyjna

Każde państwo członkowskie wyznacza krajowe właściwe organy do egzekwowania AI Act, a Europejski Urząd ds. AI koordynuje nadzór nad modelami AI ogólnego przeznaczenia. Egzekwowanie wobec wydawców i reklamodawców będzie przebiegać głównie przez organy krajowe, często w ścisłej koordynacji z istniejącymi organami ochrony danych. Pierwsze znaczące działania egzekucyjne AI Act są oczekiwane w 2026 roku, gdy obowiązki wysokiego ryzyka wejdą w pełni w życie.

Lista kontrolna audytu reklamy opartej na AI w 2026 roku

• Aktualna inwentaryzacja każdego systemu AI w stosie z klasyfikacją poziomu ryzyka
• Podstawa prawna GDPR udokumentowana dla każdego systemu AI przetwarzającego dane osobowe
• Ujawnienia przejrzystości AI Act zastosowane do każdego systemu ograniczonego ryzyka, w tym personalizacji rekomendacyjnej i chatbotów
• Oznaczanie treści syntetycznych zastosowane do kreacji, obrazów, audio i wideo wygenerowanych przez AI
• Połączona polityka prywatności i przejrzystości AI w odpowiednim języku lokalnym
• CMP eksponuje profilowanie, zautomatyzowane podejmowanie decyzji i personalizację rekomendacyjną jako oddzielnie uzgadnialne cele
• Segmenty odbiorców są przeglądane pod kątem listy zakazanej kategoryzacji biometrycznej
• Umowy z dostawcami zaktualizowane, aby adresowały przypisanie obowiązków AI Act
• Mechanizmy nadzoru ludzkiego udokumentowane dla każdego systemu, który zbliża się do granicy wysokiego ryzyka
• Przepływ pracy dotyczący praw osoby, której dane dotyczą, oraz praw użytkownika AI Act może odpowiadać na żądania rezygnacji, wyjaśnienia i przeglądu przez człowieka w ramach obowiązujących okien odpowiedzi

Perspektywa 2026

AI Act nie zastępuje GDPR — nakłada się na niego, a połączona powierzchnia jest znacznie bardziej rozbudowana niż którykolwiek z reżimów osobno. Dla wydawców i reklamodawców prowadzących personalizację, profilowanie, systemy rekomendacyjne lub treści generatywne oparte na AI, 2026 to rok, w którym architektura zgodności musi dojrzeć poza czystą postawę GDPR. Ci, którzy traktują AI Act jako troskę przyszłości, odkryją, że przyszłość nadchodzi szybciej, niż oczekiwano, gdy krajowe organy wydają swoje pierwsze działania egzekucyjne w 2026 roku i w 2027 roku. Ci, którzy budują połączoną zgodność od samego początku, odkryją, że architektura się zwraca: dobrze wdrożone obowiązki przejrzystości AI Act wzmacniają również narrację zgody i zaufania GDPR, a dyscyplina operacyjna utrzymywania aktualnej inwentaryzacji AI okazuje się użyteczna daleko poza zgodnością regulacyjną.