Štruktúra Aktu o AI v roku 2026

Akt o AI je prvá komplexná horizontálna regulácia umelej inteligencie na svete. Jeho architektúra založená na úrovniach rizika je kľúčom k pochopeniu, ktoré povinnosti sa vzťahujú na ktoré systémy.

Úrovne rizika

Akt triedi systémy AI do štyroch úrovní podľa rizika, ktoré predstavujú:

• Zakázané systémy — praktiky, ktoré sú úplne zakázané, vrátane manipulatívnych podprahových techník, zneužívania zraniteľnosti, sociálneho hodnotenia verejnými orgánmi a určitých foriem biometrickej kategorizácie a rozpoznávania emócií
• Vysokorizikové systémy — systémy používané v určených kontextoch s vysokými stávkami, podliehajúce väčšine podstatných povinností Aktu vrátane riadenia rizík, správy údajov, transparentnosti, ľudského dohľadu a požiadaviek na presnosť
• Systémy s obmedzeným rizikom — systémy s konkrétnymi povinnosťami transparentnosti, vrátane väčšiny obsahových odporúčacích systémov riadených AI a chatbotov, ktoré priamo interagujú s používateľmi
• Systémy s minimálnym rizikom — všetko ostatné, podliehajúce iba všeobecným dobrovoľným kódexom správania

Kde zapadajú reklamné a odporúčacie systémy

Väčšina AI zameranej na reklamu — hodnotenie publika, optimalizácia programatického bidovania, obsahové odporúčacie systémy, personalizačné nástroje — patrí do úrovne s obmedzeným rizikom, nie do vysokorizikovej úrovne. Znie to ako úľava, ale úroveň s obmedzeným rizikom stále nesie zmysluplné povinnosti transparentnosti a niekoľko hraničných prípadov posúva konkrétne systémy do vyšších úrovní. Zásadné je, že pravidlá o zakázaných praktikách môžu zasiahnuť reklamné systémy, ak prekročia hranicu manipulácie alebo zneužívania, a EDPB naznačil ochotu interpretovať tieto ustanovenia široko.

Fázovanie

Na kalendári roku 2026 záleží: povinnosti pre nové vysokorizikové systémy nadobúdajú účinnosť v auguste 2026, povinnosti pre vysokorizikové systémy už na trhu nadobúdajú účinnosť v roku 2027 a povinnosti pre poskytovateľov AI všeobecného účelu sú už účinné. Vydavatelia a inzerenti by mali zmapovať svoj inventár AI voči tomuto kalendáru, aby vedeli, ktoré povinnosti sa kedy uplatňujú.

Ako sa Akt o AI vrství na GDPR

Akt o AI nenahrádza GDPR. Sedí na ňom. Systém, ktorý spracúva osobné údaje na vytváranie výstupov riadených AI, musí spĺňať oba režimy a povinnosti sú aditívne, nie alternatívne.

Vrstva GDPR

GDPR naďalej riadi zákonnosť spracovania osobných údajov. Súhlas s reklamným profilovaním, zákonný základ pre meranie, klaster práv dotknutých osôb, povinnosti pri cezhraničných prenosoch — všetko toto sa naďalej uplatňuje nezmenené.

Vrstva Aktu o AI

Nad rámec GDPR pridáva Akt o AI povinnosti špecificky týkajúce sa samotného systému AI: ako bol trénovaný, aké údaje vstúpili do tréningu, ako sú dokumentované jeho výstupy, aké existujú mechanizmy dohľadu, akú transparentnosť používateľ dostáva. Tieto povinnosti sa viažu na systém AI bez ohľadu na to, či je základné spracovanie údajov založené na súhlase, zmluve alebo inom zákonnom základe.

Praktický dôsledok

Vydavateľ prevádzkujúci obsahový odporúčací systém na osobných údajoch potrebuje platný zákonný základ podľa GDPR pre spracovanie údajov aj súlad so zverejnením transparentnosti podľa Aktu o AI. Samostatne ani jedno nestačí. Rozsah súladu je teraz skutočne dvojrozmerný a reťazec dokumentácie musí pokrývať obe osi.

Zakázané praktiky a reklama

Zoznam zakázaných praktík Aktu je krátky, ale významný, a niekoľko položiek má dôsledky pre dizajn reklamy.

Manipulatívne techniky

Akt zakazuje systémy AI, ktoré používajú podprahové techniky, manipulatívne praktiky alebo zneužívajú zraniteľnosti konkrétnych skupín spôsobom, ktorý môže pravdepodobne spôsobiť významnú škodu. Väčšina reklamného dizajnu sa k tejto hranici nepribližuje — ale reklama, ktorá cieli na identifikované zraniteľnosti (finančná tieseň, stavy duševného zdravia, vzorce závislosti) pomocou profilovania riadeného AI, by ju mohla prekročiť. EDPB na to upozornil v skorých usmerneniach.

Biometrická kategorizácia

Akt zakazuje biometrickú kategorizáciu, ktorá odvodzuje citlivé atribúty ako rasa, politický názor, členstvo v odborovom zväze, náboženské presvedčenie, sexuálny život alebo sexuálna orientácia. Segmenty publika vytvorené z biometrických údajov, ktoré odvodzujú tieto atribúty, sú teraz v zakázanom území.

Rozpoznávanie emócií v konkrétnych kontextoch

Rozpoznávanie emócií je zakázané v kontexte pracoviska a vzdelávania. Reklamné prípady použitia detekcie emócií mimo týchto kontextov môžu byť stále prípustné, ale čelia zvýšenej kontrole.

Povinnosti transparentnosti pri obmedzenom riziku

Tu leží väčšina práce vydavateľov a inzerentov na súlade s Aktom o AI v roku 2026.

Zverejnenie odporúčacieho systému

Obsahové odporúčacie systémy, ktoré personalizujú to, čo používatelia vidia — či už na domovskej stránke vydavateľa, v kanáli v aplikácii alebo v programatickom reklamnom umiestnení — patria pod úroveň s obmedzeným rizikom. Používatelia musia byť informovaní, že interagujú so systémom AI, a systém musí byť navrhnutý tak, aby bola AI povaha interakcie jasná.

Zverejnenie chatbota

Každý systém AI, ktorý priamo interaguje s používateľmi v konverzačnej forme, musí zverejniť svoju AI povahu. Vydavatelia a inzerenti prevádzkujúci AI chatovacie rozhrania — pre zákaznícku podporu, objavovanie obsahu alebo akýkoľvek iný účel — musia spĺňať túto základnú požiadavku.

Zverejnenie syntetického obsahu

Obrázky, zvuk, video a textový obsah generované AI musia byť takto označené. Vydavatelia používajúci vizuály alebo text generované AI v redakčnom obsahu, reklamnom kreatíve alebo produktových obrázkoch musia uplatňovať povinnosti označovania. Implementačné usmernenie z roku 2026 objasnilo technické špecifikácie označovania vrátane noriem vodoznakov pre vizuálny obsah.

Kombinovaný rozsah súhlasu v roku 2026

CMP a oznámenie o ochrane osobných údajov teraz musia vykonávať prácu pre oba režimy. CMP vydavateľa v roku 2026 vyzerá výrazne prepracovanejšie ako jeho predchodca z roku 2024.

Granulárne účely súhlasu

CMP vystavuje účely súhlasu, ktoré rozlišujú medzi všeobecnou reklamou, profilovaním pre reklamu, automatizovaným rozhodovaním a personalizáciou odporúčacieho systému. Každý z nich sa mapuje na konkrétnu hranicu Aktu o AI a GDPR a každý vyžaduje vlastný afirmatívny súhlas.

Zverejnenia systému AI

Oznámenie o ochrane osobných údajov alebo sprievodný dokument o zverejnení AI popisuje používané systémy AI, ich účely, kategórie vstupných údajov, širokú logiku výstupov a existujúce mechanizmy ľudského dohľadu. Toto je viac než zverejnenie automatizovaného rozhodovania podľa článku 22 GDPR — je to úplnejší príbeh transparentnosti AI.

Právo namietať

Právo na námietku voči profilovaniu podľa GDPR sa naďalej uplatňuje a Akt o AI pridáva ďalšie práva používateľov okolo personalizácie odporúčacieho systému riadeného AI. Používatelia sa môžu odhlásiť z personalizácie odporúčacieho systému bez straty prístupu k základnej službe a odhlásenie musí byť aspoň tak jednoduché ako prihlásenie.

Operačné vzory, ktoré fungujú v roku 2026

Vydavatelia a inzerenti prevádzkujúci vyspelé programy v roku 2026 konvergujú k niekoľkým operačným vzorom.

Inventár AI

Udržiavajte živý inventár každého systému AI používaného v rámci zásobníka vydavateľa alebo inzerenta: systém, jeho úroveň rizika podľa Aktu, osobné údaje, ktoré spracúva, jeho zákonný základ podľa GDPR, zverejnenia transparentnosti, ktoré sa naň vzťahujú, a existujúci ľudský dohľad. Toto je základný artefakt súladu a to, čo regulačné orgány budú chcieť vidieť ako prvé.

Kombinované oznámenie o ochrane osobných údajov

Jediné kombinované oznámenie o ochrane osobných údajov a transparentnosti AI — portugalské, nemecké, francúzske alebo v akomkoľvek jazyku vhodnom pre publikum — ktoré rieši povinnosti GDPR aj Aktu o AI v koherentnom príbehu. Pokus o udržiavanie dvoch samostatných zverejnení vyvoláva rozpory a zmätok čitateľa.

Audit AI dodávateľov

Pre každého reklamného alebo analytického dodávateľa spracúvajúceho výstupy riadené AI v mene vydavateľa musí zmluva riešiť rozdelenie povinností podľa Aktu o AI, prístup k technickej dokumentácii a oznamovanie incidentov. Štandardné zmluvy o spracovaní údajov z roku 2023 neriešia Akt o AI a je potrebné ich obnoviť.

Sankcie a postoj k presadzovaniu

Akt o AI zavádza stupňovitý sankčný režim so správnymi pokutami, ktoré môžu presiahnuť maximá GDPR.

Úrovne pokút

• Až 35 miliónov EUR alebo 7 percent z globálneho ročného obratu za porušenia zakázaných praktík
• Až 15 miliónov EUR alebo 3 percentá za väčšinu ostatných podstatných porušení
• Až 7,5 milióna EUR alebo 1 percento za poskytovanie nesprávnych informácií

Architektúra presadzovania

Každý členský štát určuje vnútroštátne príslušné orgány pre presadzovanie Aktu o AI a Európsky úrad pre AI koordinuje dohľad nad modelmi AI všeobecného účelu. Presadzovanie voči vydavateľom a inzerentom bude primárne prebiehať cez vnútroštátne orgány, často v úzkej koordinácii s existujúcimi orgánmi na ochranu údajov. Prvé významné opatrenia na presadzovanie Aktu o AI sa očakávajú počas roka 2026, keď vysokorizikové povinnosti plne nadobudnú účinnosť.

Kontrolný zoznam auditu pre reklamu riadenú AI v roku 2026

• Živý inventár každého systému AI v zásobníku s klasifikáciou úrovne rizika
• Zákonný základ GDPR dokumentovaný pre každý systém AI spracúvajúci osobné údaje
• Zverejnenia transparentnosti podľa Aktu o AI uplatnené na každý systém s obmedzeným rizikom vrátane personalizácie odporúčacieho systému a chatbotov
• Označovanie syntetického obsahu uplatnené na kreatívy, obrázky, zvuk a video generované AI
• Kombinované oznámenie o ochrane osobných údajov a transparentnosti AI v príslušnom miestnom jazyku
• CMP vystavuje profilovanie, automatizované rozhodovanie a personalizáciu odporúčacieho systému ako samostatne odsúhlasiteľné účely
• Segmenty publika sú preskúmané voči zoznamu zakázanej biometrickej kategorizácie
• Zmluvy s dodávateľmi aktualizované tak, aby riešili rozdelenie povinností podľa Aktu o AI
• Mechanizmy ľudského dohľadu dokumentované pre každý systém, ktorý sa približuje k hranici vysokého rizika
• Pracovný postup pre práva dotknutých osôb a práva používateľov podľa Aktu o AI dokáže reagovať na požiadavky na odhlásenie, vysvetlenie a ľudské preskúmanie v rámci príslušných lehôt na odpoveď

Výhľad na rok 2026

Akt o AI nenahrádza GDPR — vrství sa na ňom a kombinovaný rozsah je výrazne prepracovanejší než ktorýkoľvek režim samostatne. Pre vydavateľov a inzerentov prevádzkujúcich personalizáciu, profilovanie, odporúčacie systémy alebo generatívny obsah riadený AI je rok 2026 rokom, kedy architektúra súladu musí dozrieť nad rámec čisto GDPR postoja. Tí, ktorí považujú Akt o AI za otázku budúcnosti, zistia, že budúcnosť prichádza rýchlejšie, ako sa očakávalo, pričom vnútroštátne orgány vydajú svoje prvé opatrenia na presadzovanie počas roka 2026 a do roku 2027. Tí, ktorí budujú kombinovaný súlad od začiatku, zistia, že architektúra sa vypláca: dobre implementované povinnosti transparentnosti Aktu o AI tiež posilňujú príbeh súhlasu a dôvery GDPR a prevádzková disciplína udržiavania živého inventára AI sa ukazuje ako užitočná aj ďaleko za rámcom regulačného súladu.