Két jogszabály, egy valóság
A GDPR, azaz a Regulation (EU) 2016/679, az Európai Unió általános adatvédelmi rendelete. 2016-ban fogadták el, és 2018 óta kötelezően alkalmazandó minden olyan szervezetre, amely uniós polgárok személyes adatát kezeli. Az EU AI Act, azaz a Regulation (EU) 2024/1689, ennél jóval fiatalabb: ez az első átfogó uniós jogi keret a mesterséges intelligenciára. Célja a megbízható, emberközpontú AI kialakítása, kockázatalapú megközelítéssel, vagyis nem minden AI rendszert kezel egyformán szigorúan, hanem a rendszer által jelentett kockázat mértékéhez igazítja a kötelezettségeket.
A két szabályozás nem versenytárs, hanem egymásra épül. Az AI Act egy újabb réteg azon a jogi alapon, amit a GDPR már 2018 óta épít, és a következő leckék pontosan ezt a két réteget járják körbe.
Miért gyakorlatilag minden cégre vonatkozik
Sok vezető úgy gondolja, hogy az AI szabályozás csak a nagy technológiai cégeket vagy az AI-t fejlesztő szoftvercégeket érinti. Ez tévedés. Ha egy cég bármilyen AI eszközt alkalmaz, akár egy ügyfélszolgálati chatbotot, egy ajánlórendszert a webáruházban, vagy egy AI alapú szűrőt a HR-folyamatban, az a cég egyszerre kerülhet a GDPR és az AI Act hatálya alá. Az AI Act ugyanis nem csak azokra vonatkozik, akik AI rendszert fejlesztenek (provider), hanem azokra is, akik egy kész AI rendszert a saját felügyeletük alatt használnak (deployer). A GDPR pedig egyszerűen minden olyan szervezetre vonatkozik, amely személyes adatot kezel, függetlenül attól, hogy AI-t használ-e hozzá vagy sem.
A sávok azt szemléltetik, mennyire tipikusan esik a két szabályozás együttes hatálya alá az adott felhasználási eset, nem konkrét jogi minősítést adnak.
A kettős megfelelés gondolata
Az AI Act egyik legfontosabb szerkezeti pontja, hogy a GDPR sérelme nélkül alkalmazandó. Ez azt jelenti, hogy az AI Act nem váltja ki, nem helyettesíti és nem lazítja a GDPR-t. Ha egy AI rendszer személyes adatot kezel, márpedig a legtöbb valós vállalati AI alkalmazás ezt teszi, akkor a GDPR minden kötelezettsége, az adatkezelés jogalapjától az érintetti jogokig, továbbra is teljes körűen érvényes marad, az AI Act előírásaihoz képest is. A két jogszabály tehát nem választható szét, hanem egymás mellett, egyszerre kell nekik megfelelni.
Kettős megfelelés. Az AI Act a GDPR sérelme nélkül alkalmazandó, ezért egy személyes adatot kezelő AI rendszernél a GDPR és az AI Act egyszerre, teljes körűen érvényes.
GDPR: adatvédelem
- Személyes adatok kezelésének szabályai
- Jogalap, érintetti jogok, adatkezelői kötelezettségek
- 2018 óta teljes körűen alkalmazandó
AI Act: AI-specifikus kockázat
- Az AI rendszer működéséből eredő kockázatok
- Kockázati kategóriák, átláthatóság, emberi felügyelet
- 2024 és 2027 között lép hatályba szakaszosan
Ahol egy AI rendszer személyes adatot kezel, ott a két kör átfedi egymást, és mindkét szabályozás egyszerre vonatkozik rá.
Mi jön a következő leckékben
A kurzus innen két nagy szálon halad tovább. Előbb a GDPR alapfogalmait, alapelveit és az érintetti jogokat járjuk körbe, majd rátérünk arra, hogyan kapcsolódik mindez az AI-hoz, az automatizált döntéshozataltól a profilalkotásig. Ezután jön az AI Act kockázatalapú logikája, a kockázati kategóriák, a konkrét kötelezettségek, és végül az idővonal, a szankciók és egy gyakorlati ellenőrzőlista. A hangnem mindvégig gyakorlatias marad, a cél nem az ijesztgetés, hanem hogy lásd, mit jelent ez a napi működésben.
- GDPR alapokAlapfogalmak, szereplők, alapelvek és jogalapok, majd az érintettek jogai.
- GDPR és az AIAutomatizált döntéshozatal, profilalkotás, adatvédelmi hatásvizsgálat (DPIA).
- AI Act logikájaKockázatalapú megközelítés és a négy kockázati kategória.
- Kötelezettségek és következményekKonkrét teendők, idővonal, szankciók, záró checklist.
Workshop
AI Transformation Day
Egésznapos, vezetőknek szóló program. Feltérképezzük, hol tart a szervezet, mi az első reális lépés, és milyen belső feltételek szükségesek a sikerhez. A nap végén konkrét, prioritizált cselekvési lista.
Érdekel a program →