Dobrou správou je, že po prijatí európskeho zjednodušujúceho balíka (tzv. Digital Omnibus) došlo k zmierneniu administratívnej záťaže a posunu termínov. V HAVEL & PARTNERS a v ASAI často vidíme dva extrémy: časť trhu, ktorá pred novými pravidlami strká hlavu do piesku, a tú druhú, ktorá prepadá panike a radšej AI projekty brzdí. V sérii článkov sa pozrieme na to, ako z nových pravidiel vyťažiť a získať výhodu do tendrov či preukázať, že ste bezpečný partner.
Provider vs. Deployer: Riziko, ktorému sa môžete vystaviť veľmi rýchlo
Základným stavebným kameňom AI Actu je pochopenie vašej právnej roly. Nová legislatíva rozlišuje dve základné postavenia, od ktorých sa odvíja rozsah povinností a výška sankcií:
- Deployer (nasadzujúci subjekt): Fyzická alebo právnická osoba, ktorá používa AI systém v rámci svojej profesionálnej činnosti.
- Provider (poskytovateľ): Ten, kto AI systém vyvíja (alebo si ho dá vyvinúť) a uvádza ho na trh pod vlastným menom či ochrannou známkou.
Rozdiel v regulácii je zásadný. Deployer zodpovedá za bezpečné používanie, no provider preberá plnú právnu zodpovednosť za architektúru, kvalitu dát, technickú dokumentáciu aj celkovú bezpečnosť. Provider je regulovaný výrazne prísnejšie.
V marketingovej praxi ste väčšinou deployerom, napr. vezmete hotovú verziu ChatGPT, Claude či Canva a tvoríte kampane. Vaše povinnosti sú vtedy obmedzené na bezpečnosť, klientske dáta či základné pravidlá transparentnosti.
Riziko však nastáva pri custom vývoji. Ak napr. vezmete API od OpenAI, natrénujete ho na produktových listoch klienta, upravíte správanie na mieru a nasadíte ho na web ako nákupného poradcu pod vaším menom, môžete sa podľa AI Actu ocitnúť v úlohe providera. Byť providerom znamená povinnosť viesť technickú dokumentáciu, registrovať systém v EÚ databáze (ak je vysokorizikový), prejsť posudzovaním zhody a prísnym riadením kvality.
Štvorstupňový systém rizika: Čo v reklame prejde a čo končí?
AI Act uplatňuje prístup založený na miere rizika (risk-based approach). AI Act rozdeľuje riziká do štyroch kategórií:
- Neprijateľné riziko (Zakázané systémy): Sem patria systémy, ktoré sú v EÚ úplne zakázané. Pre marketing je kritický zákaz podprahových a manipulatívnych techník oslabujúcich schopnosť človeka prijať informované rozhodnutie. Príkladom môže byť algoritmus, ktorý cez psychologické profilovanie vyhľadáva ľudí vo finančnej tiesni a podsúva im reklamu na rizikové pôžičky. Zakázané sú aj systémy na odvodzovanie emócií ľudí na pracovisku, napr. sledovanie nálady dizajnérov v office. Na základe najnovších reštrikcií sa zoznam zakázaných praktík v Článku 5 rozšíril o AI systémy generujúce nekonsenzuálny intímny obsah, teda takzvané nudifier aplikácie a deepfake nahotu bez súhlasu.
- Vysoké riziko (High-Risk): Tieto systémy podliehajú certifikácii. Patrí sem AI v HR a nábore (automatizované filtrovanie životopisov, video pohovorov) alebo AI na scoring bonity osôb, čo ovplyvňuje cielenie reklám pre finančné produkty. Aktuálne schválené zmeny však priniesli dôležité zúženie definície bezpečnostného komponentu. AI funkcie, ktoré užívateľom iba asistujú alebo optimalizujú výkon (čo je prípad väčšiny marketingových automatizácií), nespadajú do kategórie vysokého rizika, ak ich prípadné zlyhanie priamo neohrozuje zdravie či bezpečnosť ľudí. To mnohým bežným marketingovým automatizáciám uvoľňuje ruky.
- Špecifické riziko (Povinnosť transparentnosti): Sem patrí jadro generatívneho marketingu. ChatGPT, Midjourney či deepfake generátory nie sú zakázané, no podliehajú transparentnosti. Spotrebiteľ musí vedieť, že komunikuje s AI (napr. pri chatbote) alebo že vizuálny obsah vytvorila či zásadne upravila umelá inteligencia.
- Minimálne riziko: Sem patrí bežné zázemie digitálneho marketingu, napr. spamové filtre, staršie odporúčacie algoritmy na e-shopoch bez pokročilého profilovania či AI funkcie vo videohrách. Fungujú bez legislatívnych obmedzení.
Časový harmonogram: Kedy čo musíte splniť?
AI Act priamo dopĺňa a upravuje doterajšie európske predpisy pre bezpečnosť produktov či ochranu spotrebiteľov. Vzhľadom na čerstvo schválené zjednodušujúce opatrenia (Digital Omnibus on AI) vyzerá fixný kalendár povinností pre marketingový trh nasledovne:
- Dnešný stav (jún 2026): Základné kapitoly nariadenia platia už od februára 2025, čo znamená, že povinnosť podporovať rozvoj AI gramotnosti vašich zamestnancov je aktuálna už dnes alebo, že systémy s neprijateľným rizikom sú už v EÚ zakázané. Nový balík úľav schválil Európsky parlament a čaká sa na jeho formálne potvrdenie Radou.
- Od 2. augusta 2026 (Generálny štart): Nadobúda účinnosť drvivá väčšina ustanovení AI Actu. Pre marketing to znamená najvyšší stupeň pohotovosti: každý nový generatívny AI systém nasadený od tohto dňa musí spĺňať prísnu povinnosť transparentnosti a strojovo čitateľného označovania (watermarking) výstupov.
- Od 2. decembra 2026: Končí sa štvormesačná „milosť“ pre staršie generatívne systémy nasadené pred augustom 2026. Od tohto dňa musia aj tie povinne označovať AI obsah. Zároveň vtedy nadobúda účinnosť absolútny zákaz tzv. „nudifier“ aplikácií a generovania deepfake nahoty bez explicitného súhlasu.
- Od 2. decembra 2027 (High-Risk pre procesy): Začínajú platiť prísne pravidlá pre samostatné vysoko rizikové systémy. V agentúrnej a korporátnej praxi sem spadá najmä využívanie AI v HR na automatizované preosievanie životopisov alebo pokročilé algoritmy na scoring bonity zákazníkov pri cielení finančných produktov.
- Od 2. augusta 2028 (High-Risk pre produkty): Na záver sa pravidlá dotknú AI systémov integrovaných ako bezpečnostné zložky priamo v priemyselných produktoch, strojoch či automotive, čo už bežný marketing neovplyvní.
Čo ak povinnosti včas nesplníte?
Aktuálne, prvé pravidlá už platia. Posun termínov je zásadnou správou pre strategické plánovanie agentúr. Ak však klientsky projekt postavíte na nástroji, ktorý negarantuje transparentnosť môžete na to doplatiť. Všeobecné stropy pokút v AI Acte sú nastavené vysoko: až 35 miliónov eur alebo 7 % globálneho obratu. Pre marketingové agentúry je však kľúčové, že AI Act obsahuje ochrannú poistku pre malé a stredné podniky (SME). Kým veľkým korporáciám sa ukladá vyššia z dvoch súm, pre SME sa naopak vždy uplatňuje nižšia z nich. V praxi to znamená, že agentúra s obratom 2 milióny eur riskuje za porušenie zákazov maximálne cca 140.000 eur (7 % obratu) a za porušenie high-risk pravidiel maximálne cca 60.000 eur (3 % obratu) a nie desiatky miliónov.
Ako začať? Odporúčame nasledujúce prvé 4 kroky pre šéfov agentúr a marketérov
- AI Shadow Audit: Identifikujte nástroje, ktoré ľudia reálne používajú. Zamedzíte tým vkladaniu citlivých dát do bezplatných modelov a úniku know-how.
- Analýza rolí: Pri klientskych projektoch určite, či ste používateľ (deployer) alebo dodávate custom riešenie, kde riskujete rolu poskytovateľa (provider).
- Preosiatie automatizácií: Preverte svoje marketingové nástroje. Ak využívate biometrické dáta, softvéry na nábor či scoring zákazníkov, preverte ich súlad s pravidlami pre high-risk systémy. Ak vaše AI nástroje iba asistujú používateľom alebo optimalizujú výkon kampaní, mali by ste byť mimo zvýšeného rizika.
- Čistite dáta legálne: Nová úprava prináša obrovský benefit – zavádza jasnú možnosť spracovávať osobné údaje za účelom detekcie a opravy zaujatosti (biasu) v algoritmoch. Svoje analytické a marketingové modely tak môžete legálne čistiť a optimalizovať s patričnými bezpečnostnými zárukami.
Inovatívny prístup k AI nie je o tom, ako obísť zákony, ale ako s ním bezpečne rásť. V budúcom diele sa pozrieme na tému autorstva: Komu vlastne patrí vizuál z Midjourney a text z ChatGPT? Rozoberieme si právne vákuum okolo AI diel a nastavenie licenčných zmlúv s klientmi a freelancermi.