Struktura AI Act v letu 2026

AI Act je prva celovita horizontalna uredba o umetni inteligenci na svetu. Njena arhitektura, stopnjevana glede na tveganje, je ključ za razumevanje, katere obveznosti veljajo za katere sisteme.

Stopnje tveganja

Uredba sisteme AI razvršča v štiri stopnje glede na tveganje, ki ga predstavljajo:

• Prepovedani sistemi — prakse, ki so popolnoma prepovedane, vključno z manipulativnimi podpražnimi tehnikami, izkoriščanjem ranljivosti, družbenim ocenjevanjem s strani javnih organov ter nekaterimi oblikami biometrične kategorizacije in prepoznavanja čustev
• Visoko tvegani sistemi — sistemi, ki se uporabljajo v določenih kontekstih z visokimi tveganji, za katere velja večina vsebinskih obveznosti Uredbe, vključno z upravljanjem tveganj, upravljanjem podatkov, preglednostjo, človeškim nadzorom in zahtevami glede natančnosti
• Sistemi z omejenim tveganjem — sistemi s posebnimi obveznostmi preglednosti, vključno z večino priporočilnikov vsebin, ki jih poganja AI, in klepetalnih botov, ki neposredno komunicirajo z uporabniki
• Sistemi z minimalnim tveganjem — vse ostalo, za kar veljajo le splošni prostovoljni kodeksi ravnanja

Kje se nahajajo oglaševalski in priporočilni sistemi

Večina AI, ki je namenjena oglaševanju — ocenjevanje občinstva, optimizacija programskega oddajanja ponudb, priporočilniki vsebin, personalizacijski mehanizmi — spada v kategorijo omejenega tveganja in ne v kategorijo visokega tveganja. To zveni kot olajšanje, vendar kategorija omejenega tveganja še vedno nosi pomembne obveznosti glede preglednosti, več robnih primerov pa določene sisteme potiska v višje kategorije. Ključno je, da lahko pravila o prepovedanih praksah zajamejo oglaševalske sisteme, če zaidejo v območje manipulacije ali izkoriščanja, EDPB pa je nakazal pripravljenost, da te določbe razlaga široko.

Faziranje

Koledar za leto 2026 je pomemben: obveznosti za visoko tvegane nove sisteme začnejo veljati avgusta 2026, obveznosti za visoko tvegane sisteme, ki so že na trgu, začnejo veljati leta 2027, obveznosti ponudnikov splošnonamenske AI pa so že v veljavi. Založniki in oglaševalci bi morali svoj inventar AI preslikati glede na ta koledar, da bodo vedeli, katere obveznosti veljajo kdaj.

Kako se AI Act nalaga na vrh GDPR

AI Act ne nadomešča GDPR. Nalaga se na njegov vrh. Sistem, ki obdeluje osebne podatke za pridobivanje rezultatov, ki jih poganja AI, mora izpolnjevati oba režima, obveznosti pa so kumulativne in ne alternativne.

Raven GDPR

GDPR še naprej ureja zakonitost obdelave osebnih podatkov. Privolitev za oglaševalsko profiliranje, zakonita podlaga za merjenje, sklop pravic posameznika, na katerega se nanašajo osebni podatki, obveznosti čezmejnih prenosov — vse to se še naprej uporablja nespremenjeno.

Raven AI Act

Na vrhu GDPR AI Act dodaja obveznosti, ki se posebej nanašajo na sam sistem AI: kako je bil usposobljen, kateri podatki so bili uporabljeni pri usposabljanju, kako so dokumentirani njegovi rezultati, kakšni mehanizmi nadzora obstajajo, kakšno preglednost prejme uporabnik. Te obveznosti se nanašajo na sistem AI ne glede na to, ali temelji osnovna obdelava podatkov na privolitvi, pogodbi ali kakšni drugi zakoniti podlagi.

Praktična posledica

Založnik, ki uporablja priporočilnik vsebin na osebnih podatkih, potrebuje tako veljavno zakonito podlago po GDPR za obdelavo podatkov kot skladno razkritje preglednosti po AI Act. Niti eno niti drugo samo po sebi ni zadostno. Površina skladnosti je zdaj resnično dvodimenzionalna, dokumentacijska veriga pa mora zajemati obe osi.

Prepovedane prakse in oglaševanje

Seznam prepovedanih praks v Uredbi je kratek, a pomemben, več vnosov pa ima posledice za oblikovanje oglaševanja.

Manipulativne tehnike

Uredba prepoveduje sisteme AI, ki uporabljajo podpražne tehnike, manipulativne prakse ali izkoriščajo ranljivosti določenih skupin na načine, ki verjetno povzročajo znatno škodo. Večina oblikovanja oglaševanja se tej meji ne približa — vendar pa lahko oglaševanje, ki cilja na opredeljene ranljivosti (finančna stiska, duševno zdravstveno stanje, vzorci odvisnosti), z uporabo profiliranja, ki ga poganja AI, prestopi to mejo. EDPB je na to opozoril v zgodnjih smernicah.

Biometrična kategorizacija

Uredba prepoveduje biometrično kategorizacijo, ki sklepa o občutljivih lastnostih, kot so rasa, politično mnenje, članstvo v sindikatu, verska prepričanja, spolno življenje ali spolna usmerjenost. Segmenti občinstva, zgrajeni iz biometričnih podatkov, ki sklepajo o teh lastnostih, so zdaj v prepovedanem območju.

Prepoznavanje čustev v določenih kontekstih

Prepoznavanje čustev je prepovedano na delovnem mestu in v izobraževalnih kontekstih. Uporaba primerov zaznavanja čustev v oglaševanju zunaj teh kontekstov je morda še vedno dopustna, vendar se sooča s povečanim nadzorom.

Obveznosti preglednosti za sisteme z omejenim tveganjem

Tu je večina dela pri skladnosti z AI Act za založnike in oglaševalce v letu 2026.

Razkritje priporočilnega sistema

Priporočilniki vsebin, ki personalizirajo, kar vidijo uporabniki — naj bo to na založnikovi domači strani, v viru znotraj aplikacije ali v programski postavitvi oglasov — spadajo v kategorijo omejenega tveganja. Uporabnike je treba obvestiti, da komunicirajo s sistemom AI, sistem pa mora biti zasnovan tako, da je narava interakcije AI jasna.

Razkritje klepetalnega bota

Vsak sistem AI, ki neposredno komunicira z uporabniki v pogovorni obliki, mora razkriti svojo naravo AI. Založniki in oglaševalci, ki uporabljajo vmesnike za klepet AI — za podporo strankam, odkrivanje vsebin ali kateri koli drug namen — morajo izpolnjevati to temeljno zahtevo.

Razkritje sintetične vsebineSlike, zvok, video in besedilne vsebine, ki jih ustvari AI, morajo biti označene kot take. Založniki, ki uporabljajo vizualne elemente ali besedila, ustvarjena z AI, v uredniški vsebini, oglaševalskem ustvarjalnem materialu ali slikah izdelkov, morajo upoštevati obveznosti označevanja. Smernice za izvajanje v letu 2026 so razjasnile tehnične specifikacije za označevanje, vključno s standardi vodnega žigosanja za vizualne vsebine.

Skupna površina privolitve v letu 2026

CMP in obvestilo o zasebnosti morata zdaj opravljati delo za oba režima. CMP založnika v letu 2026 izgleda bistveno bolj dodelan kot njegov predhodnik iz leta 2024.

Granularni nameni privolitve

CMP izpostavlja namene privolitve, ki razlikujejo med splošnim oglaševanjem, profiliranjem za oglaševanje, avtomatiziranim odločanjem in personalizacijo priporočilnika. Vsak je preslikan na specifično mejo AI Act in GDPR, vsak pa zahteva svojo pritrdilno privolitev.

Razkritja sistema AI

Obvestilo o zasebnosti ali spremljevalni dokument o razkritju AI opisuje sisteme AI v uporabi, njihove namene, kategorije vhodnih podatkov, širšo logiko rezultatov in obstoječe mehanizme človeškega nadzora. To je več kot razkritje avtomatiziranega odločanja iz 22. člena GDPR — je popolnejša zgodba o preglednosti AI.

Pravica do ugovora

Pravica do ugovora proti profiliranju po GDPR se še naprej uporablja, AI Act pa dodaja nadaljnje pravice uporabnikov v zvezi s personalizacijo priporočilnika, ki jo poganja AI. Uporabniki lahko zavrnejo personalizacijo priporočilnika, ne da bi izgubili dostop do osnovne storitve, zavrnitev pa mora biti vsaj tako enostavna kot privolitev.

Operativni vzorci, ki delujejo v letu 2026

Založniki in oglaševalci, ki izvajajo zrele programe v letu 2026, se zbližujejo okoli nekaj operativnih vzorcev.

Inventar AI

Vzdržujte živ inventar vsakega sistema AI v uporabi po celotnem skladu založnika ali oglaševalca: sistem, njegova stopnja tveganja po Uredbi, osebni podatki, ki jih obdeluje, njegova zakonita podlaga po GDPR, razkritja preglednosti, ki se uporabljajo zanj, in obstoječi človeški nadzor. To je temeljni artefakt skladnosti in prvo, kar bodo regulatorji zahtevali v pregled.

Skupno obvestilo o zasebnosti

Eno samo skupno obvestilo o zasebnosti in preglednosti AI — v portugalščini, nemščini, francoščini ali kateremkoli jeziku, ki je primeren za občinstvo — ki v koherentni pripovedi obravnava obveznosti GDPR in AI Act. Poskus vzdrževanja dveh ločenih razkritij vabi k protislovjem in zmedi bralca.

Revizija AI pri ponudniku

Za vsakega ponudnika oglaševanja ali analitike, ki obdeluje rezultate, ki jih poganja AI, v imenu založnika, mora pogodba obravnavati razporeditev obveznosti po AI Act, dostop do tehnične dokumentacije in obveščanje o incidentih. Standardni sporazumi o obdelavi podatkov iz leta 2023 ne obravnavajo AI Act in jih je treba posodobiti.

Kazni in izvrševanje

AI Act uvaja stopnjevan sistem kazni z upravnimi globami, ki lahko presegajo maksimume GDPR.

Stopnje kazni

• Do 35 milijonov EUR ali 7 odstotkov svetovnega letnega prometa za kršitve prepovedanih praks
• Do 15 milijonov EUR ali 3 odstotkov za večino drugih vsebinskih kršitev
• Do 7,5 milijona EUR ali 1 odstotka za posredovanje netočnih informacij

Arhitektura izvrševanja

Vsaka država članica določi nacionalne pristojne organe za izvrševanje AI Act, Evropski urad za AI pa usklajuje nadzor nad modeli splošnonamenske AI. Izvrševanje proti založnikom in oglaševalcem bo predvsem potekalo prek nacionalnih organov, pogosto v tesnem sodelovanju z obstoječimi organi za varstvo podatkov. Prvi pomembni ukrepi izvrševanja AI Act se pričakujejo do leta 2026, ko bodo obveznosti za visoko tvegane sisteme v celoti začele veljati.

Revizijski kontrolni seznam za oglaševanje, ki ga poganja AI, v letu 2026

• Živ inventar vsakega sistema AI v skladu z razvrstitvijo po stopnji tveganja
• Zakonita podlaga po GDPR dokumentirana za vsak sistem AI, ki obdeluje osebne podatke
• Razkritja preglednosti po AI Act, uporabljena za vsak sistem z omejenim tveganjem, vključno s personalizacijo priporočilnika in klepetalnimi boti
• Označevanje sintetične vsebine, uporabljeno za ustvarjalne materiale, slike, zvok in video, ki jih ustvari AI
• Skupno obvestilo o zasebnosti in preglednosti AI v ustreznem lokalnem jeziku
• CMP izpostavlja profiliranje, avtomatizirano odločanje in personalizacijo priporočilnika kot ločeno soglasne namene
• Segmenti občinstva so pregledani glede na seznam prepovedane biometrične kategorizacije
• Pogodbe s ponudniki posodobljene za obravnavo razporeditve obveznosti po AI Act
• Mehanizmi človeškega nadzora dokumentirani za vsak sistem, ki se približuje meji visokega tveganja
• Potek dela za pravice posameznikov, na katere se nanašajo osebni podatki, in uporabnikov po AI Act se lahko odzove na zahteve za zavrnitev, razlago in pregled s strani človeka v okviru veljavnih rokov za odgovor

Pogled na leto 2026

AI Act ne nadomešča GDPR — se nalaga na njegov vrh, skupna površina pa je bistveno bolj dodelana kot vsak režim posebej. Za založnike in oglaševalce, ki izvajajo personalizacijo, profiliranje, priporočilne sisteme ali generativne vsebine, ki jih poganja AI, je leto 2026 leto, v katerem mora arhitektura skladnosti dozoreti onkraj zgolj drže po GDPR. Tisti, ki AI Act obravnavajo kot vprašanje prihodnosti, bodo ugotovili, da prihodnost prihaja hitreje, kot so pričakovali, saj bodo nacionalni organi izdajali svoje prve ukrepe izvrševanja do leta 2026 in v leto 2027. Tisti, ki bodo skupno skladnost gradili od začetka, bodo ugotovili, da se arhitektura povrne: dobro uvedene obveznosti preglednosti AI Act krepijo tudi zgodbo o privolitvi in zaupanju po GDPR, operativna disciplina vzdrževanja živega inventarja AI pa se izkaže za koristno tudi zunaj regulativne skladnosti.