Alapok & hatály
Rendelet (EU) 2024/1689
Az EU AI Act a világ első átfogó jogi keretszabályozása a mesterséges intelligenciáról. Az Európai Parlament és a Tanács 2024. június 13-án fogadta el, 2024. augusztus 1-jén lépett hatályba.
Az EU AI Act a világ első átfogó jogi keretszabályozása a mesterséges intelligenciáról. Az Európai Parlament és a Tanács 2024. június 13-án fogadta el, 2024. augusztus 1-jén lépett hatályba.
A rendelet kockázatalapú megközelítést alkalmaz: minél nagyobb kockázatot jelent egy AI rendszer az alapvető jogokra, egészségre vagy biztonságra, annál szigorúbb szabályok vonatkoznak rá.
Négy kockázati szintet különböztet meg: tiltott (elfogadhatatlan kockázat), magas kockázatú, korlátozott kockázatú (átláthatósági kötelezettségek) és minimális kockázatú (nincs extra szabály).
Fontos különbség a GDPR-hoz képest: az AI Act rendelet, nem irányelv – közvetlenül alkalmazandó minden tagállamban, nem kell átültetni a nemzeti jogba.
3. cikk – Fogalommeghatározások
A rendelet az AI értéklánc minden szereplőjét szabályozza:
A rendelet az AI értéklánc minden szereplőjét szabályozza:
- Szolgáltató (Provider): Aki AI rendszert fejleszt és forgalomba hoz. Rá hárul a legtöbb kötelezettség: minőségirányítás, dokumentáció, kockázatkezelés, CE jelölés.
- Alkalmazó (Deployer): Aki az AI rendszert használja – pl. egy munkáltató, aki CV-szűrő szoftvert alkalmaz. Kötelezettségei: használati utasítás követése, emberi felügyelet, munkavállalók tájékoztatása.
- Importőr: Biztosítja, hogy az EU-n kívülről importált AI megfelel.
- Forgalmazó: Ellenőrzi a CE jelölést és a dokumentációt.
Ha egy forgalmazó vagy alkalmazó lényegesen módosít egy AI rendszert, vagy a saját neve/védjegye alatt teszi forgalomba, automatikusan szolgáltatóvá válik – és az összes szolgáltatói kötelezettség rá hárul (25. cikk).
2. cikk – Területi hatály
Igen. Az AI Act extraterritoriális hatályú – hasonlóan a GDPR-hoz. Vonatkozik:
Igen. Az AI Act extraterritoriális hatályú – hasonlóan a GDPR-hoz. Vonatkozik:
- Minden EU-ban letelepedett szolgáltatóra és alkalmazóra
- EU-n kívüli szolgáltatókra, ha az AI rendszerüket az EU piacán forgalomba hozzák
- EU-n kívüli alkalmazókra, ha az AI rendszer kimenetét az EU-ban használják
Ha tehát egy amerikai cég CV-szűrő szoftvert fejleszt, amit európai munkáltatók használnak, az AI Act szabályai vonatkoznak rá.
3. cikk (1) bekezdés
AI rendszer: gépi alapú rendszer, amelyet úgy terveztek, hogy változó szintű autonómiával működjön, és amely a kapott bemenet alapján olyan kimeneteket generálhat – előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket –, amelyek fizikai vagy virtuális környezetet befolyásolhatnak.
AI rendszer: gépi alapú rendszer, amelyet úgy terveztek, hogy változó szintű autonómiával működjön, és amely a kapott bemenet alapján olyan kimeneteket generálhat – előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket –, amelyek fizikai vagy virtuális környezetet befolyásolhatnak.
Ez széles definíció: a chatbotoktól a CV-szűrőkön át a prediktív karbantartási rendszerekig szinte mindent lefed, ami gépi tanulást vagy szabályalapú döntéshozatalt használ.
Egyszerű, hagyományos szoftverek (pl. Excel makrók, szabályalapú szűrők) általában nem minősülnek AI rendszernek – de a határvonal nem mindig egyértelmű. Ha kétséges, érdemes szakértőt bevonni.
5., 6., 50. cikk
Négy szint:
Négy szint:
- Tiltott (elfogadhatatlan kockázat): Teljes tilalom – pl. társadalmi pontozás, munkahelyi érzelemfelismerés (5. cikk). 2025. február 2-tól érvényes.
- Magas kockázatú: Szigorú követelmények – dokumentáció, kockázatkezelés, emberi felügyelet, CE jelölés (6. cikk, III. melléklet). 2026. augusztus 2-tól.
- Korlátozott kockázatú: Átláthatósági kötelezettségek – chatbotok, deepfake-ek, generatív AI (50. cikk). 2026. augusztus 2-tól.
- Minimális kockázatú: Nincs külön kötelezettség (pl. spamszűrők, videojáték AI). Csak az AI műveltségi követelmény vonatkozik rájuk (4. cikk).
A besorolás nem önkényes – a rendelet pontosan meghatározza, mely felhasználási esetek tartoznak a magas kockázatú kategóriába (III. melléklet). Ha kétséges a besorolás, a 6. cikk (3) bekezdése ad iránymutatást.
Tiltott AI gyakorlatok
5. cikk – 2025. február 2-tól
Az alábbi AI gyakorlatok teljes tilalom alá esnek:
Az alábbi AI gyakorlatok teljes tilalom alá esnek:
- Szubliminális manipuláció: Tudatosságon kívüli technikák vagy szándékos manipuláció, ami a viselkedés lényeges torzításához és jelentős kárhoz vezet
- Sebezhetőségek kihasználása: Kor, fogyatékosság vagy társadalmi helyzet miatti sebezhetőség kihasználása
- Társadalmi pontozás (social scoring): Személyek értékelése viselkedésük alapján, ha az más kontextusban hátrányos bánásmódot eredményez
- Egyéni bűncselekmény-kockázatbecslés: Kizárólag profilalkotás alapján (kivéve ha ember által végzett értékelést támogat)
- Célzatlan arcfelismerő adatbázis-építés: Arcképek törvényszerűtlen gyűjtése az internetről vagy CCTV-ből
- Munkahelyi és oktatási érzelemfelismerés: AI-val érzelmek következtetése munkahelyen vagy iskolában (kivéve orvosi/biztonsági célú)
- Biometrikus kategorizálás érzékeny jellemzők alapján: Faj, politikai nézet, vallás, szexuális orientáció következtetése biometrikus adatokból
- Valós idejű távoli biometrikus azonosítás: Nyilvános tereken bűnüldözési célú arcfelismerés (szűk kivételekkel)
Ezek a tilalmak már 2025. február 2-tól érvényesek! A megsértésük bírsága a legsúlyosabb: max. 35 millió EUR vagy az éves forgalom 7%-a.
5. cikk (1)(f)
Tilos olyan AI rendszert használni, amely munkahelyen vagy oktatási intézményben az érintett személy érzelmeit próbálja következtetni – akár arckifejezésből, hanglejtésből, testbeszédből vagy egyéb biometrikus jelekből.
Tilos olyan AI rendszert használni, amely munkahelyen vagy oktatási intézményben az érintett személy érzelmeit próbálja következtetni – akár arckifejezésből, hanglejtésből, testbeszédből vagy egyéb biometrikus jelekből.
Gyakorlati példák, amelyek tilosak:
- Videóhívás-elemző szoftver, ami a dolgozó „elkötelezettségét" méri arckifejezés alapján
- Callcenter hangulatérzékelő, ami az operátor stressz-szintjét figyeli
- Videóinterjú-platform, ami a jelölt érzelmeit pontozza
Kivétel: orvosi és biztonsági célú érzelemfelismerés megengedett – pl. fáradtságérzékelő pilóták vagy gépkezelők számára. De ez szűk kivétel, és az alkalmazás célja a döntő.
5. cikk (1)(c)
Természetes személyek értékelése vagy osztályozása társadalmi viselkedésük vagy személyes jellemzőik alapján, ha az hátrányos bánásmódot eredményez más kontextusban, vagy aránytalanul hátrányos helyzetet teremt.
Természetes személyek értékelése vagy osztályozása társadalmi viselkedésük vagy személyes jellemzőik alapján, ha az hátrányos bánásmódot eredményez más kontextusban, vagy aránytalanul hátrányos helyzetet teremt.
Példa: egy munkáltató AI rendszere, amely a dolgozó közösségi médiás aktivitása, vásárlási szokásai vagy közlekedési szokásai alapján „pontszámot" ad, és ez alapján dönt az előléptetésről – ez tilos.
A kínai típusú „állami social scoring" az egyértelmű eset, de a tilalom ennél tágabb: bármilyen kontextusban tilos, ha más összefüggésben szerzett viselkedési adatokat használ egy személy hátrányára.
5. cikk (1)(f) – értelmezés
Az anonim munkavállalói elégedettségi felmérés, amelyet a dolgozók önként, tudatosan töltenek ki (pl. „mennyire elégedett vagy?" skálán), nem esik a tilalom alá – mert nem biometrikus jelekből „következtet" érzelmeket, hanem az érintett saját maga nyilatkozik.
Az anonim munkavállalói elégedettségi felmérés, amelyet a dolgozók önként, tudatosan töltenek ki (pl. „mennyire elégedett vagy?" skálán), nem esik a tilalom alá – mert nem biometrikus jelekből „következtet" érzelmeket, hanem az érintett saját maga nyilatkozik.
A tilalom a rejtett, biometrikus alapú érzelemfelismerésre vonatkozik: arckifejezés, hanglejtés, testbeszéd elemzése. Nem az önkéntes véleménynyilvánításra.
De óvatosan: ha az „anonim" kérdőív mögött olyan AI elemzés van, ami a válaszadási mintázatokból megpróbálja azonosítani az egyéni kitöltőt, az már problémás területre lép.
Magas kockázatú AI rendszerek
6. cikk, III. melléklet
A III. melléklet 8 kategóriát sorol fel:
A III. melléklet 8 kategóriát sorol fel:
- 1. Biometria: Távoli biometrikus azonosítás, biometrikus kategorizálás, érzelemfelismerés
- 2. Kritikus infrastruktúra: Víz-, gáz-, villamosenergia-ellátás, közlekedés irányítása
- 3. Oktatás: Felvételi döntések, vizsgaértékelés, tanulóteljesítmény mérése, csalásérzékelés
- 4. Foglalkoztatás és HR: Toborzás, CV-szűrés, teljesítményértékelés, felmondási döntések
- 5. Alapvető szolgáltatások: Hitelképesség-értékelés, biztosítási kockázatbecslés, szociális segélyjogosultság
- 6. Bűnüldözés: Kockázatbecslés, profilalkotás, bizonyítékértékelés
- 7. Migráció: Belépési kockázatok, menedékjogi kérelmek támogatása
- 8. Igazságszolgáltatás: Jogi értelmezés támogatása, választási befolyásolás
A 4. pont (foglalkoztatás/HR) a legtöbb magyar vállalatot érinti: ha AI-t használtok toborzásra, teljesítményértékelésre vagy munkaszervezésre, magas kockázatú rendszert alkalmaztok.
9–17. cikk
A szolgáltatóknak (fejlesztőknek) biztosítaniuk kell:
A szolgáltatóknak (fejlesztőknek) biztosítaniuk kell:
- Kockázatkezelési rendszer (9. cikk) – folyamatos, iteratív kockázatelemzés az AI teljes életciklusa során
- Adatkormányzás (10. cikk) – betanítási adatok relevancia, reprezentativitás, hibamentesség biztosítása
- Műszaki dokumentáció (11. cikk) – részletes leírás a forgalomba helyezés előtt
- Automatikus naplózás (12. cikk) – eseménynapló a működés során
- Átláthatóság (13. cikk) – az alkalmazók megérthessék a kimenetet
- Emberi felügyelet (14. cikk) – természetes személyek hatékonyan felügyelhessék
- Pontosság és robusztusság (15. cikk) – megfelelő szintű teljesítmény és kiberbiztonság
- Minőségirányítási rendszer (17. cikk) – dokumentált QMS, arányos a szervezet méretével
Az alkalmazóknak (akik használják a rendszert) kevesebb, de fontos kötelezettségeik vannak: használati utasítás követése, emberi felügyelet biztosítása, munkavállalók tájékoztatása, adatvédelmi hatásvizsgálat (26. cikk).
48., 43., 47. cikk
A CE jelölés igazolja, hogy a magas kockázatú AI rendszer átesett a megfelelőségi értékelésen és megfelel a rendelet követelményeinek. Digitális AI rendszereknél digitális CE jelölés szükséges az interfészen.
A CE jelölés igazolja, hogy a magas kockázatú AI rendszer átesett a megfelelőségi értékelésen és megfelel a rendelet követelményeinek. Digitális AI rendszereknél digitális CE jelölés szükséges az interfészen.
A megfelelőségi értékelés (43. cikk) a III. melléklet 2–8. pontjai szerinti rendszereknél általában belső kontroll eljárás – nem kell külső szervezetet (notified body) bevonni.
Az EU Megfelelőségi Nyilatkozatot (47. cikk) 10 évig meg kell őrizni.
A forgalomba helyezés előtt a szolgáltató köteles regisztrálni magát és a rendszert az EU adatbázisban (49. cikk, 71. cikk). Regisztráció nélkül nem használható.
6. cikk (3) bekezdés
Igen, van kivétel. Egy III. mellékletben felsorolt rendszer nem minősül magas kockázatúnak, ha:
Igen, van kivétel. Egy III. mellékletben felsorolt rendszer nem minősül magas kockázatúnak, ha:
- Nem jelent szignifikáns kockázatot az egészségre, biztonságra vagy alapvető jogokra, ÉS
- Nem befolyásolja érdemben a döntéshozatal eredményét
DE van egy fontos korlát: ha a rendszer profilalkotást végez természetes személyek vonatkozásában, az MINDIG magas kockázatúnak minősül – a kivétel nem alkalmazható.
Ez azt jelenti, hogy egy egyszerű keresőszűrő az álláshirdetésekhez talán nem magas kockázatú, de ha a rendszer profiloz – pl. a jelöltek viselkedési mintáit elemzi –, akkor automatikusan az.
HR & munkahely
III. melléklet 4. pont
A rendelet a foglalkoztatással kapcsolatos AI rendszereket magas kockázatúnak minősíti. Konkrétan:
A rendelet a foglalkoztatással kapcsolatos AI rendszereket magas kockázatúnak minősíti. Konkrétan:
- (a) Toborzás/kiválasztás: Célzott álláshirdetés-elhelyezés, állásjelentkezések elemzése és szűrése, jelöltek értékelése
- (b) Munkaviszony-döntések: Előléptetés, felmondás, feladatkiosztás, valamint teljesítmény és viselkedés monitorozása és értékelése
Gyakorlati példák magas kockázatú HR AI-ra:
- CV-szűrő és rangsoroló eszközök
- Videóinterjú-platformok, amelyek mimika vagy beszéd alapján pontoznak
- Műszakelosztó eszközök produktivitási metrikák alapján
- Munkavállalói monitoring szoftver, ami teljesítményt értékel
Az AI Act nem tiltja ezeket a rendszereket – de szigorú feltételekhez köti a használatukat. Emberi felügyelet, dokumentáció és kockázatkezelés kötelező.
26. cikk (7) bekezdés
Igen, kötelező. A magas kockázatú AI rendszer munkahelyi alkalmazása előtt a munkáltatónak (alkalmazónak) tájékoztatnia kell:
Igen, kötelező. A magas kockázatú AI rendszer munkahelyi alkalmazása előtt a munkáltatónak (alkalmazónak) tájékoztatnia kell:
- A munkavállalói képviselőket (üzemi tanács, szakszervezet)
- Az érintett munkavállalókat
A tájékoztatásnak ki kell terjednie arra, hogy magas kockázatú AI rendszer alkalmazása alá fognak kerülni.
Ez nem csak „szép gesztus" – a rendelet kifejezett kötelezettségként írja elő. A tájékoztatás módja az uniós és nemzeti jognak és gyakorlatnak megfelelően történik.
14. cikk – Emberi felügyelet
Nem. A rendelet megköveteli, hogy magas kockázatú AI rendszereknél természetes személyek hatékonyan felügyelhessék a rendszert. Az emberi felügyelőknek képesnek kell lenniük:
Nem. A rendelet megköveteli, hogy magas kockázatú AI rendszereknél természetes személyek hatékonyan felügyelhessék a rendszert. Az emberi felügyelőknek képesnek kell lenniük:
- A rendszer képességeinek és korlátainak megértésére
- A kimenet megfelelő értelmezésére
- A rendszer nem használata vagy leállítása melletti döntésre
- Az automatizációs torzítás (overreliance) felismerésére
Ez a gyakorlatban azt jelenti: az AI javasolhat, de nem dönthet egyedül jelentős HR kérdésekben. Képzett ember felülvizsgálata és jóváhagyása szükséges. A GDPR 22. cikke (teljesen automatizált döntéshozatal) is ezt erősíti.
4. cikk – 2025. február 2-tól
Már hatályos! Minden szolgáltató és alkalmazó köteles biztosítani, hogy az AI rendszerekkel kapcsolatba kerülő személyzet elegendő szintű AI műveltséggel rendelkezzen.
Már hatályos! Minden szolgáltató és alkalmazó köteles biztosítani, hogy az AI rendszerekkel kapcsolatba kerülő személyzet elegendő szintű AI műveltséggel rendelkezzen.
Ez azt jelenti: ha a HR-csapat AI-t használ a toborzásban, a cég köteles gondoskodni arról, hogy megértsék:
- Hogyan működik a rendszer
- Milyen korlátai vannak
- Mikor kell felülbírálni a rendszer javaslatát
- Milyen torzítások (bias) lehetségesek
Ez nem kockázati szinttől függ – minden AI rendszerre vonatkozik, legyen az magas, korlátozott vagy minimális kockázatú. A 4. cikk a rendelet legszélesebb hatályú követelménye.
Preambulum (57), 10. cikk
Igen – és pontosan ezért minősíti a rendelet a HR AI-t magas kockázatúnak. A Preambulum (57) kifejezetten megemlíti, hogy az AI rendszerek fenntarthatják a történelmi diszkriminációs mintákat a toborzásban.
Igen – és pontosan ezért minősíti a rendelet a HR AI-t magas kockázatúnak. A Preambulum (57) kifejezetten megemlíti, hogy az AI rendszerek fenntarthatják a történelmi diszkriminációs mintákat a toborzásban.
Ha az AI betanítási adatai a múltbeli felvételi döntéseket tükrözik – és azokban szisztematikus elfogultság volt (pl. nemi, etnikai) –, a rendszer ezt a mintát újratermeli és skálázza.
A 10. cikk (adatkormányzás) ezért követeli meg, hogy a betanítási adatok relevánsak, reprezentatívak és lehetőleg hibamentesek legyenek. A rendelet kifejezetten engedélyezi érzékeny személyes adatok feldolgozását is (10. cikk (5)), ha az szigorúan szükséges a torzítás észleléséhez és korrekciójához.
Gyakorlati tanács: rendszeresen auditáljátok az AI toborzóeszköz kimeneteit – nemek, etnicitás, életkor szerint. Ha szisztematikus eltéréseket láttok, az a rendszer torzítására utalhat.
Átláthatóság & generatív AI
50. cikk (1) bekezdés
Igen. Az AI rendszerek szolgáltatóinak biztosítaniuk kell, hogy a felhasználók tájékoztatást kapjanak arról, hogy AI rendszerrel állnak kölcsönhatásban, nem emberrel.
Igen. Az AI rendszerek szolgáltatóinak biztosítaniuk kell, hogy a felhasználók tájékoztatást kapjanak arról, hogy AI rendszerrel állnak kölcsönhatásban, nem emberrel.
Nem szükséges, ha ez nyilvánvaló egy ésszerűen informált, figyelmes személy számára – de a legtöbb chatbot esetében igenis kötelező a jelzés.
Ha a céges ügyfélszolgálatotokon chatbot válaszol, jelezni kell: „AI asszisztens vagyok" – vagy hasonló egyértelmű megjelölés.
50. cikk (2)–(4) bekezdés
Minden AI rendszer – beleértve a generatív AI-t –, amely szintetikus tartalmat generál (szöveg, kép, hang, videó), köteles biztosítani, hogy:
Minden AI rendszer – beleértve a generatív AI-t –, amely szintetikus tartalmat generál (szöveg, kép, hang, videó), köteles biztosítani, hogy:
- A kimenet géppel olvasható formátumban legyen megjelölve mint mesterségesen generált
- Deepfake-eknél (valós személyekhez hasonlító AI tartalom) nyilvánosságra kell hozni, hogy mesterségesen generált vagy manipulált
Kivétel: művészeti, kreatív, szatirikus vagy fiktív munkáknál az átláthatósági kötelezettség a létezés közzétételére korlátozódik, a mű megjelenítését nem akadályozhatja.
3. cikk (63), 51–56. cikk – 2025. augusztus 2-tól
GPAI modell: nagy mennyiségű adattal, önfelügyelt tanulással betanított AI modell, amely sokféle feladatra képes. Ide tartoznak pl. a GPT, Claude, Gemini, Llama típusú modellek.
GPAI modell: nagy mennyiségű adattal, önfelügyelt tanulással betanított AI modell, amely sokféle feladatra képes. Ide tartoznak pl. a GPT, Claude, Gemini, Llama típusú modellek.
Minden GPAI szolgáltatóra vonatkozik (53. cikk):
- Műszaki dokumentáció készítése
- Információ biztosítása a downstream integrálók számára
- Szerzői jogi megfelelés
- Betanítási tartalom összefoglalójának közzététele
Rendszerkockázatú GPAI modellekre (55. cikk) – amelyek betanítási kapacitása meghaladja a 10²⁵ FLOP-ot – további kötelezettségek vonatkoznak: modellértékelés, rendszerkockázat-felmérés, incidens-bejelentés, kiberbiztonság.
Nyílt forráskódú kivétel: a nyílt forráskódú GPAI modellekre enyhébb szabályok vonatkoznak – DE a rendszerkockázatú modellekre ez a kivétel NEM alkalmazandó.
3., 26., 27. cikk
Az AI Act és a GDPR egymást kiegészítik, nem helyettesítik:
Az AI Act és a GDPR egymást kiegészítik, nem helyettesítik:
- Fogalmi összhang: A személyes adat fogalma azonos a GDPR-ral (3. cikk (50))
- DPIA: Az alkalmazók az AI Act szerinti információkat felhasználják a GDPR 35. cikk szerinti adatvédelmi hatásvizsgálathoz (26. cikk (8))
- Alapjogi hatásvizsgálat (FRIA): Közjogi szervek és bizonyos magánszektorbeli alkalmazók kötelesek FRIA-t végezni (27. cikk)
- Automatizált döntéshozatal: Az AI Act emberi felügyeleti követelménye segíti a GDPR 22. cikkének (teljesen automatizált döntéshozatal) betartását is
A gyakorlatban ez kettős megfelelési kötelezettséget jelent: ha AI rendszert használtok személyes adatokkal, az AI Act és a GDPR egyaránt vonatkozik. A kettő együtt szigorúbb, mint külön-külön.
4., 26., 50. cikk
Ha általános célú AI eszközöket használtok a mindennapi munkában (pl. ChatGPT, Claude, Copilot), a következőkre figyeljetek:
Ha általános célú AI eszközöket használtok a mindennapi munkában (pl. ChatGPT, Claude, Copilot), a következőkre figyeljetek:
- AI műveltség (4. cikk): Biztosítsátok, hogy a személyzet érti, hogyan működik és milyen korlátai vannak – már 2025. február 2-tól kötelező
- Átláthatóság (50. cikk): Ha az AI kimenetet ügyfeleknek, jelölteknek vagy munkavállalóknak kommunikáljátok, jelezzétek, hogy AI által generált
- GDPR: Ne osszatok meg bizalmas személyes adatokat (pl. munkavállalói adatokat) publikus AI chatbotokkal
- Belső szabályzat: Készítsetek AI használati irányelvet – mit szabad, mit nem, milyen jóváhagyás kell
Ha viszont magas kockázatú felhasználási célra használjátok (pl. ChatGPT API-val automatizált CV-szűrés), a magas kockázatú rendszerek teljes követelményrendszere vonatkozik.
A kulcs: nem az eszköz (ChatGPT, Claude stb.) határozza meg a kockázati szintet, hanem a felhasználási cél. Ugyanaz az eszköz alacsony kockázatú (email fogalmazás) és magas kockázatú (felvételi döntés) célra is használható.
Megfelelés & szankciók
99., 101. cikk
Háromszintű bírságrendszer:
Háromszintű bírságrendszer:
- Tiltott AI gyakorlatok (5. cikk) megsértése: max. 35 millió EUR vagy a világméretű éves forgalom 7%-a – amelyik magasabb
- Egyéb rendelkezések megsértése: max. 15 millió EUR vagy a forgalom 3%-a
- Helytelen/félrevezető információ: max. 7,5 millió EUR vagy a forgalom 1%-a
GPAI szolgáltatókra (101. cikk): max. 15 millió EUR vagy a forgalom 3%-a.
A számok brutálisak: egy 500 millió EUR forgalmú vállalatnál a tiltott AI bírsága akár 35 millió EUR is lehet. Ez GDPR-szintű visszatartó erő.
57., 62., 99. cikk
Igen, több szinten is:
Igen, több szinten is:
- Alacsonyabb bírságok (99. cikk (6)): KKV-knál a fix összeg vagy a forgalom-arányos százalék közül az alacsonyabbik a bírság (nagyvállalatoknál a magasabbik)
- Szabályozási sandbox (57. cikk): 2026. augusztus 2-ig minden tagállamnak legalább egy AI sandboxot kell létrehoznia – elsőbbségi hozzáféréssel KKV-k számára, ingyenesen
- Csökkentett díjak (62. cikk): Megfelelőségi értékelési díjak arányosan csökkentettek
- Arányos QMS (17. cikk): A minőségirányítási rendszer arányos a szervezet méretével
- Célzott képzési programok és egyszerűsített eljárások
KKV-definíciók: Közép: <250 fő, <50M EUR; Kis: <50 fő, <10M EUR; Mikro: <10 fő, <2M EUR forgalom.
2025. évi LXXV. törvény
Magyarországon a 2025. évi LXXV. törvény hozza létre a hazai intézményi keretrendszert:
Magyarországon a 2025. évi LXXV. törvény hozza létre a hazai intézményi keretrendszert:
- MI Bejelentő Hatóság: A Nemzeti Akkreditáló Hatóság (NAH) – megfelelőség-értékelő szervezetek kijelölése és felügyelete
- MI Piacfelügyeleti Hatóság: Kapcsolattartó pont, post-market felügyelet, szabályozási sandbox működtetése
- Magyar Mesterséges Intelligencia Tanács: Tanácsadó testület – tagjai közt az MNB, GVH, MTA, Magyar Kereskedelmi és Iparkamara
- Szektorális hatáskör: Pénzügyi szolgáltatásoknál az MNB tartja meg a felügyeletet
A bírság mértéke a rendelet szerint meghatározott tartományban mozog – nagyságrendileg 285 millió HUF-tól 13,3 milliárd HUF-ig.
Gyakorlati útmutató
Javasolt lépések:
Javasolt lépések:
- 1. AI leltár: Térképezzétek fel, milyen AI rendszereket használtok (beleértve a beszállítói eszközöket is)
- 2. Kockázati besorolás: Minden rendszert soroljatok be: tiltott, magas kockázatú, korlátozott vagy minimális
- 3. Tiltott rendszerek azonosítása: Ha bármi tiltott kategóriába esik, azonnal le kell állítani (2025. február 2-tól!)
- 4. AI műveltség: Szervezzetek képzést a személyzetnek – ez már most kötelező
- 5. Magas kockázatú rendszerek: Kezdjétek el a dokumentáció, kockázatkezelés, emberi felügyeleti folyamatok kialakítását
- 6. Beszállítói audit: Kérdezzétek meg AI beszállítóitokat a CE jelölésről és a megfelelőségi dokumentációról
- 7. Belső AI szabályzat: Készítsetek vállalati AI irányelvet
A leggyakoribb hiba: „ez csak ChatGPT, nem vonatkozik ránk". De ha ChatGPT API-val automatizáltatok HR döntéseket, az már magas kockázatú rendszer – és a teljes követelményrendszer vonatkozik rá.
26. cikk (8), 27. cikk
Igen, kettős kötelezettség is lehet:
Igen, kettős kötelezettség is lehet:
- GDPR DPIA (26. cikk (8)): Az alkalmazó az AI Act szerinti átláthatósági információkat felhasználja a GDPR 35. cikke szerinti hatásvizsgálathoz
- Alapjogi hatásvizsgálat (FRIA) (27. cikk): Közjogi szervek és bizonyos magánszektorbeli alkalmazók (hitelképesség, biztosítás) kötelesek alapjogi hatásvizsgálatot végezni
Ha a GDPR DPIA már megtörtént és átfedi az AI Act FRIA követelményeit, a FRIA kiegészíti azt (27. cikk (4)) – nem kell mindent nulláról.
Határidők & hatálybalépés
113. cikk
Lépcsőzetes hatálybalépés:
Lépcsőzetes hatálybalépés:
- 2024. augusztus 1.: A rendelet hatályba lépése
- 2025. február 2.: ✅ MÁR ÉRVÉNYES! Tiltott AI gyakorlatok (5. cikk) + AI műveltség (4. cikk)
- 2025. augusztus 2.: GPAI modellek kötelezettségei (51–56. cikk)
- 2026. augusztus 2.: A legtöbb rendelkezés – magas kockázatú AI (III. melléklet), alkalmazói kötelezettségek (26. cikk), átláthatóság (50. cikk), szankciók teljes érvényesítése
- 2027. augusztus 2.: I. melléklet szerinti termékbiztonsági AI; 2025 aug. előtt forgalomba hozott GPAI modellek megfelelése
A két legfontosabb, most azonnal releváns kötelezettség: (1) ha tiltott AI gyakorlatot folytattok, az már jogellenes, és (2) az AI műveltségi képzés már kötelező.
113. cikk – módosítási javaslat
Lehetséges. Az Európai Bizottság 2025 novemberében javaslatot tett a magas kockázatú szabályok alkalmazási határidejének legfeljebb 16 hónappal való kitolására.
Lehetséges. Az Európai Bizottság 2025 novemberében javaslatot tett a magas kockázatú szabályok alkalmazási határidejének legfeljebb 16 hónappal való kitolására.
Ha ez elfogadásra kerül, a 2026. augusztus 2-i határidő 2027 végére–2028 elejére csúszhat. De: a tiltott AI gyakorlatok és az AI műveltségi kötelezettség már most is érvényes – ezek nem csúsznak.
Ne számítsatok a halasztásra a felkészülés során. A GDPR-nál is voltak, akik „majd ha tényleg jön" hozzáállással vártak – és megbánták.
4. cikk, 50. cikk
Igen, legalább két kötelezettség biztosan vonatkozik:
Igen, legalább két kötelezettség biztosan vonatkozik:
- AI műveltség (4. cikk): Ha a személyzet AI-t használ, biztosítanotok kell, hogy értik, mit csinálnak – már 2025. február 2-tól
- Átláthatóság (50. cikk): Ha AI által generált tartalmat kommunikáltok ügyfeleknek, jelezni kell
Ha viszont magas kockázatú célra használjátok (toborzás, teljesítményértékelés, hiteldöntés), a magas kockázatú rendszerek követelményei is vonatkoznak – mérettől függetlenül.
Jó hír: KKV-ként alacsonyabb bírságokkal, arányos QMS-sel és ingyenes sandbox-hozzáféréssel számíthattok (62. cikk). De a kötelezettség megvan.
Összehasonlítás
Fontos különbségek:
Fontos különbségek:
- Rendelet vs. irányelv: Az AI Act rendelet – közvetlenül alkalmazandó, nem kell nemzeti jogba átültetni. A GDPR szintén rendelet volt, de sok irányelv (pl. bértranszparencia) nemzeti átültetést igényel.
- Lépcsőzetes hatálybalépés: A GDPR 2 éves átmeneti időt adott; az AI Act 3 éves lépcsőzetes rendszert alkalmaz (2024–2027)
- Kockázatalapú: A GDPR minden személyes adatkezelésre vonatkozik; az AI Act csak a kockázatos felhasználásokra ír elő szigorú szabályokat
- Bírságok: Hasonló nagyságrend – az AI Act csúcsbírsága (forgalom 7%-a) magasabb, mint a GDPR-é (4%)
57. cikk – 2026. augusztus 2-ig
Minden tagállamnak legalább egy nemzeti szintű AI szabályozási sandboxot kell létrehoznia. A sandbox lényege:
Minden tagállamnak legalább egy nemzeti szintű AI szabályozási sandboxot kell létrehoznia. A sandbox lényege:
- Kontrollált környezet, ahol innovatív AI rendszereket fejleszthetnek és tesztelhetnek a hatóság felügyelete mellett
- KKV-k és startupok elsőbbségi hozzáféréssel és ingyenesen vehetnek részt
- A hatóság segít a megfelelőségi követelmények megértésében
- A sandboxban szerzett tapasztalat megkönnyíti a piacra jutást
Magyarország a 2025. évi LXXV. törvénnyel megteremtette a sandbox jogi keretét. Ha innovatív AI megoldást fejlesztetek, érdemes figyelni a sandbox-lehetőséget.
Nem találtunk eredményt
Próbálj más kulcsszóval keresni, vagy válassz másik kategóriát.