EU AI Act és GDPR megfelelés · Lecke 01

Miért érinti a céged a GDPR és az EU AI Act

Ez a lecke bemutatja, mi az a két jogszabály, ami ma minden AI-t használó vagy adatot kezelő céget érint, és miért kell a kettőt egyszerre, együtt kezelni. Oktatási anyag, nem jogi tanácsadás.

Vissza a tananyaghoz


Két jogszabály, egy valóság

A GDPR, azaz a Regulation (EU) 2016/679, az Európai Unió általános adatvédelmi rendelete. 2016-ban fogadták el, és 2018 óta kötelezően alkalmazandó minden olyan szervezetre, amely uniós polgárok személyes adatát kezeli. Az EU AI Act, azaz a Regulation (EU) 2024/1689, ennél jóval fiatalabb: ez az első átfogó uniós jogi keret a mesterséges intelligenciára. Célja a megbízható, emberközpontú AI kialakítása, kockázatalapú megközelítéssel, vagyis nem minden AI rendszert kezel egyformán szigorúan, hanem a rendszer által jelentett kockázat mértékéhez igazítja a kötelezettségeket.

A két szabályozás nem versenytárs, hanem egymásra épül. Az AI Act egy újabb réteg azon a jogi alapon, amit a GDPR már 2018 óta épít, és a következő leckék pontosan ezt a két réteget járják körbe.


2016 GDPR elfogadva (Reg. 2016/679) 2018 GDPR alkalmazandó teljes körűen 2024 AI Act hatályba lép (aug. 1., Reg. 2024/1689) 2025 26 szakaszos alkalmazás tiltott gyakorlatok, GPAI 2027 teljes alkalmazás a fő rendelkezésekre A GDPR már évek óta él, az AI Act rétegenként, több lépcsőben lép hatályba A pontos alkalmazási dátumokat a 09. lecke idővonala részletezi.
A GDPR 2018 óta teljes körűen alkalmazandó, az AI Act 2024 és 2027 között lép hatályba szakaszosan.

Miért gyakorlatilag minden cégre vonatkozik

Sok vezető úgy gondolja, hogy az AI szabályozás csak a nagy technológiai cégeket vagy az AI-t fejlesztő szoftvercégeket érinti. Ez tévedés. Ha egy cég bármilyen AI eszközt alkalmaz, akár egy ügyfélszolgálati chatbotot, egy ajánlórendszert a webáruházban, vagy egy AI alapú szűrőt a HR-folyamatban, az a cég egyszerre kerülhet a GDPR és az AI Act hatálya alá. Az AI Act ugyanis nem csak azokra vonatkozik, akik AI rendszert fejlesztenek (provider), hanem azokra is, akik egy kész AI rendszert a saját felügyeletük alatt használnak (deployer). A GDPR pedig egyszerűen minden olyan szervezetre vonatkozik, amely személyes adatot kezel, függetlenül attól, hogy AI-t használ-e hozzá vagy sem.


GDPR személyes adat AI ACT AI-kockázat ügyféllista papír alapú nyilvántartás chatbot HR-szűrő AI ajánlórendszer videojáték AI gépi karbantartás A középső sáv a kettős megfelelés zónája: itt esik egyszerre GDPR és AI Act hatálya alá a rendszer
A GDPR a személyes adatot kezelő rendszerekre, az AI Act az AI-specifikus kockázatra fókuszál, a kettő ott fedi át egymást, ahol egy AI rendszer személyes adatot kezel.

Ügyfélszolgálati chatbotGDPR + AI Act
HR-szűrő AI (toborzás)GDPR + AI Act
Ajánlórendszer webáruházbanGDPR + AI Act
Belső dokumentumkereső AIinkább GDPR

A sávok azt szemléltetik, mennyire tipikusan esik a két szabályozás együttes hatálya alá az adott felhasználási eset, nem konkrét jogi minősítést adnak.


A kettős megfelelés gondolata

Az AI Act egyik legfontosabb szerkezeti pontja, hogy a GDPR sérelme nélkül alkalmazandó. Ez azt jelenti, hogy az AI Act nem váltja ki, nem helyettesíti és nem lazítja a GDPR-t. Ha egy AI rendszer személyes adatot kezel, márpedig a legtöbb valós vállalati AI alkalmazás ezt teszi, akkor a GDPR minden kötelezettsége, az adatkezelés jogalapjától az érintetti jogokig, továbbra is teljes körűen érvényes marad, az AI Act előírásaihoz képest is. A két jogszabály tehát nem választható szét, hanem egymás mellett, egyszerre kell nekik megfelelni.


2 törvény

Kettős megfelelés. Az AI Act a GDPR sérelme nélkül alkalmazandó, ezért egy személyes adatot kezelő AI rendszernél a GDPR és az AI Act egyszerre, teljes körűen érvényes.


GDPR: adatvédelem

  • Személyes adatok kezelésének szabályai
  • Jogalap, érintetti jogok, adatkezelői kötelezettségek
  • 2018 óta teljes körűen alkalmazandó

AI Act: AI-specifikus kockázat

  • Az AI rendszer működéséből eredő kockázatok
  • Kockázati kategóriák, átláthatóság, emberi felügyelet
  • 2024 és 2027 között lép hatályba szakaszosan

Ahol egy AI rendszer személyes adatot kezel, ott a két kör átfedi egymást, és mindkét szabályozás egyszerre vonatkozik rá.


Mi jön a következő leckékben

A kurzus innen két nagy szálon halad tovább. Előbb a GDPR alapfogalmait, alapelveit és az érintetti jogokat járjuk körbe, majd rátérünk arra, hogyan kapcsolódik mindez az AI-hoz, az automatizált döntéshozataltól a profilalkotásig. Ezután jön az AI Act kockázatalapú logikája, a kockázati kategóriák, a konkrét kötelezettségek, és végül az idővonal, a szankciók és egy gyakorlati ellenőrzőlista. A hangnem mindvégig gyakorlatias marad, a cél nem az ijesztgetés, hanem hogy lásd, mit jelent ez a napi működésben.


  1. GDPR alapokAlapfogalmak, szereplők, alapelvek és jogalapok, majd az érintettek jogai.
  2. GDPR és az AIAutomatizált döntéshozatal, profilalkotás, adatvédelmi hatásvizsgálat (DPIA).
  3. AI Act logikájaKockázatalapú megközelítés és a négy kockázati kategória.
  4. Kötelezettségek és következményekKonkrét teendők, idővonal, szankciók, záró checklist.

Következő lecke →

Workshop

AI Transformation Day

Egésznapos, vezetőknek szóló program. Feltérképezzük, hol tart a szervezet, mi az első reális lépés, és milyen belső feltételek szükségesek a sikerhez. A nap végén konkrét, prioritizált cselekvési lista.

Érdekel a program →