AI Act & Digital Omnibus или что бизнесу необходимо сделать к августу 2026 года?

Legal services for your business in Poland

6.07.2026

Автор: Екатерина Ульянова - cоветник ALG Legal,

Руководитель практики защиты персональных данных, GDPR (RODO), DPO

В рамках инициативы Digital Omnibus государства-члены ЕС полностью официально одобрили поправки к AI Act (подробности по ссылке).
Главная новость для бизнеса заключается в том, что требования к большинству систем искусственного интеллекта высокого риска получили дополнительную отсрочку. Однако это не означает, что подготовку к комплаенсу с требованиями AI Act можно отложить до 2027 года.

Уже с 2 августа 2026 года вступают в силу ключевые требования по прозрачности, которые затронут практически любую организацию, использующую чат-ботов, виртуальных помощников, генеративный ИИ или публикующую контент, созданный с помощью ИИ.
Одновременно начинают полноценно применяться надзорные механизмы национальных регуляторов и AI Office.
✓ Получить консультацию юриста

1
1. Что перенесли?
Digital Omnibus предусматривает перенос сроков:
  • на 2 декабря 2027 года для соблюдения требований для систем ИИ из Приложения III и на 2 августа 2028 года для систем ИИ из Приложения I.
  • на 2 декабря 2026 года для отдельных генеративных систем ИИ, уже находившихся на рынке до августа 2026 года, по выполнению требований к машиночитаемой маркировке контента (watermarking, metadata, provenance tagging).

2
2. Что смягчили?
A. Обязанность регистрировать в публичной базе данных ЕС ИИ-системы, которые формально относятся к высокому риску, но были «освобождены» от этого статуса по результатам внутренней оценки (статья 6(3) AI Act), сохраняется. Однако регулятор пошел навстречу разработчикам и теперь для таких систем потребуется предоставлять значительно меньший объем информации, что снижает бюрократическую нагрузку на бизнес.

B. Раньше обрабатывать чувствительные персональные данные (биометрию, спецкатегории) для выявления и исправления предвзятостей ИИ позволялось исключительно разработчикам высокорисковых систем. Новые правила расширяют это право на поставщиков и развертыавтелей других ИИ-систем и моделей, а также на тех, кто внедряет высокорисковый ИИ, при условии, что это строго необходимо и соблюдаются меры безопасности.

С. Для предприятий средней рыночной капитализации (SMC) вводятся ограничения на штрафы, аналогичные правилам для малого и среднего бизнеса (SMEs). Теперь при нарушениях малый бизнес и компании SMC будут платить меньшую сумму из двух возможных (процент от глобального оборота или фиксированный штраф), в то время как крупные корпорации по-прежнему будут наказываться по верхней шкале (выбирается большая сумма).

D. Чтобы избежать путаницы и дублирования функций между EuropeanAIOfficeи национальными регуляторами стран-членов ЕС, он получает «исключительную компетенцию» над ИИ-системами на базе моделей общего назначения (GPAI), созданных одним поставщиком, а также системами из Приложения I и ключевые сферы Приложения III (например, критическая инфраструктура и правопорядок).

3
3. Что НЕ перенесли?
Со 2 августа 2026 года вступают в силу положения ст. 50 AI Act по прозрачности.
Если пользователь взаимодействует с ИИ, он должен быть проинформирован об этом.
Если организация использует дипфейки или публикует определенные виды контента, созданного либо существенно измененного с помощью ИИ, факт использования ИИ должен быть раскрыт.

Требования распространяются не только на разработчиков ИИ-систем, но и на организации, которые внедряют такие системы в свои продукты, сервисы и бизнес-процессы.

Напоминаем, что некоторые части регламента уже действуют:

  • запрет на неприемлемые практики ИИ, предусмотренные ст. 5 AI Act.
Кроме того, Digital Omnibus вводит новую категорию запрещенных практик «nudificationapplications». Речь идет о системах ИИ, предназначенных для создания или изменения изображений, видео или аудио таким образом, чтобы показать реального человека в обнаженном, интимном или сексуализированном виде без его согласия. Под запрет также подпадает создание с помощью ИИ материалов сексуального насилия над детьми.

  • обязанность по обеспечению ИИ-грамотности (AIliteracy).
Компании должны принимать меры для того, чтобы сотрудники и иные лица, использующие ИИ от имени организации, обладали знаниями и навыками, достаточными для безопасного и надлежащего использования таких систем. Первоначальное требование жестко обязывало компании «обеспечить достаточный уровень» знаний ИИ у персонала. Поправки смягчают эту норму. Теперь фокус смещается на развитие, т.е. от поставщиков и развертывателей требуется «поддерживать развитие ИИ-грамотности своих сотрудников», что снижает риски прямых штрафов за недостаточную квалификацию команды.



4
4. Требования к прозрачности
  • Требования ст. 50 AIAct затрагивают значительно больше компаний, чем принято считать.
    Они могут применяться к организациям, использующим ИИ в следующих сферах:
    • клиентская поддержка и чат-боты;
    • маркетинг и электронная коммерция;
    • HR-процессы и подбор персонала;
    • корпоративные базы знаний;
    • создание текстового, визуального и аудиоконтента;
    • медиа и коммуникации;
    • системы предотвращения мошенничества;
    • цифровые продукты и пользовательские интерфейсы.
    Часто требования ст. 50 AIAct воспринимаются как обязанность добавить текстовое уведомление «Создано с помощью ИИ». Подход Европейской комиссии существенно шире. От компаний ожидается внедрение технических и организационных механизмов, позволяющих сохранять информацию о происхождении контента на протяжении всего его жизненного цикла, а также обеспечивать понятное раскрытие такой информации для конечных пользователей.
    Для части поставщиков генеративного ИИ предусмотрен дополнительный переходный период до 2 декабря 2026 года для внедрения технических механизмов маркировки ИИ-контента, включая водяные знаки, метаданные и иные средства подтверждения его происхождения.
    Нарушения обязательств по обеспечению прозрачности могут повлечь за собой штрафы в размере до 15 миллионов евро или трех процентов от годового глобального оборота.

5
5.Маркировка контента
Европейская комиссия уже опубликовала добровольный Кодекс практики по маркировке и раскрытию информации о контенте, созданном с использованием ИИ (CodeofPracticeonTransparencyofAI-GeneratedContent). Формально присоединение к Кодексу не является обязательным. Поставщики генеративных систем ИИ могут выбрать собственные способы выполнения требований статьи 50 AI Act.

Однако на практике Кодекс имеет существенное значение, поскольку именно он показывает, каким образом Европейская комиссия и национальные органы надзора ожидают исполнения обязанностей по прозрачности. Компании, которые решат использовать альтернативные механизмы маркировки, должны будут доказать, что такие решения обеспечивают уровень прозрачности, сопоставимый с предусмотренным Кодексом.

Кодекс предусматривает многоуровневый подход к маркировке контента, созданного с использованием ИИ.
В частности, рекомендуется использовать одновременно:
  • машиночитаемые метаданные с механизмами проверки происхождения контента;
  • цифровые подписи и средства подтверждения подлинности;
  • встроенные водяные знаки (watermarks);
  • визуальные обозначения для пользователей.
По мнению разработчиков Кодекса, использование только одного способа маркировки не обеспечивает достаточной устойчивости к удалению или обходу таких отметок.
Особое внимание уделяется сохранению маркировки после дальнейшей обработки контента, включая:
  • изменение формата файла;
  • сжатие изображения или видео;
  • создание скриншотов;
  • перевод текста;
  • перефразирование;
  • повторную публикацию контента на других платформах.

Одновременно Европейская комиссия представила набор стандартных визуальных обозначений (EUIconsforAI-GeneratedContent), которые могут использоваться для информирования пользователей о том, что контент был создан или существенно изменен с помощью ИИ.
Для значков предусмотрены единые требования к:
  • контрастности;
  • минимальному размеру;
  • размещению в интерфейсе;
  • доступности для пользователей с ограниченными возможностями;
  • отображению на светлом и темном фоне.
Регуляторы ожидают, что такие обозначения будут заметны пользователю уже при первом знакомстве с контентом и не будут скрываться в пользовательских соглашениях, настройках или иных второстепенных элементах интерфейса.

6
6.План действий или с чего начать

Чтобы подготовиться к августу 2026 года и не получить штрафы, которые могут оказаться болезненнее, чем по GDPR необходимо:

  • Составить реестр всех используемых ИИ-инструментов и сценариев их применения.
Проведите инвентаризацию всех инструментов. Определите, где ИИ взаимодействует с физическими лицами, где генерирует текст, изображения, аудио и видео.

  • Классифицировать роли компании
Для каждого ИИ-решения необходимо установить, выступает ли организация в качестве: поставщика (provider), развертывающего лица (deployer), дистрибьютора или просто получателя контента. От выбранной роли напрямую зависит объем правовых обязанностей.

  • Пересмотреть клиентские интерфейсы
Уведомления об использовании ИИ должны быть встроены в пользовательский путь. Скрытые положения в Terms & Conditions или PrivacyPolicy не будут считаться достаточным выполнением требований прозрачности.
Особое внимание следует уделить:
  • чат-ботам;
  • голосовым помощникам;
  • системам автоматической поддержки клиентов;
  • генерации контента для пользователей.
Проверьте все точки контакта с клиентами. Уведомление должно быть четким, заметным и предоставляться пользователю не позднее момента первого взаимодействия или показа контента. Например, если на сайте работает текстовый или голосовой ИИ-помощник, то должны быть UX-дисклеймеры «Вы общаетесь с виртуальным ассистентом».

  • Настроить процессы маркировки контента
Следует разработать внутренние процедуры маркировки:
  • ИИ-сгенерированного контента;
  • дипфейков;
  • контента, существенно измененного с использованием ИИ;
  • материалов, распространяемых по вопросам общественного интереса.

  • Проверить взаимосвязь с другими нормативными актами
Требования AI Act необходимо рассматривать совместно с другими нормативными актами, например, с GDPR, Digital Services Act (DSA), законодательством о защите прав потребителей и отраслевыми нормативными требованиями.

AI Act предусматривает одну из самых строгих систем административных штрафов в европейском цифровом регулировании.
В зависимости от характера нарушения размер штрафа может достигать:
  • до 35 млн евро или 7 % мирового годового оборота компании — за использование запрещенных практик ИИ;
  • до 15 млн евро или 3 % мирового годового оборота — за нарушение большинства иных требований AIAct;
  • до 7,5 млн евро или 1 % мирового годового оборота — за предоставление недостоверной, неполной или вводящей в заблуждение информации регуляторам.
Для малых и средних предприятий, а также стартапов предусмотрены специальные правила расчета санкций, однако риск значительных штрафов сохраняется.

Несмотря на перенос части сроков применения AI Act, август 2026 года остается ключевой датой для большинства организаций, использующих искусственный интеллект.
✓ Получить консультацию юриста
Чем мы можем Вам помочь?
К этому моменту компании должны понимать, где именно ИИ используется внутри бизнеса, какие обязанности возникают в связи с его применением и каким образом будут выполняться требования прозрачности.
ALG Legal помогает организациям провести аудит использования ИИ, определить роли участников цепочки поставок, подготовить необходимую документацию и внедрить процессы, соответствующие требованиям AI Act, GDPR и иных регуляторных актов ЕС.

Если у Вас есть кейс для рассмотрения – вы можете связаться с нами посредством telegram или оставив заявку на сайте. Мы изучим Вашу ситуацию и поможем найти лучший вариант решения.
+48 572 444 202
info@algl.legal
Написать юристу:
Ekaterina Ulianova
Advisor ALG Legal
Подписывайтесь на наш канал в Telegram!
Здесь вы найдете полезную информацию о юридических и бухгалтерских аспектах ведения бизнеса в Польше