EU AI Act és GDPR megfelelés · Lecke 09

Idővonal, szankciók és megfelelési checklist

Ebben az utolsó leckében összerakjuk, mikor lép hatályba az AI Act egyes részei, mekkora bírságokkal számolhat egy cég mindkét jogszabály alapján, és egy gyakorlatias checklistát adunk, amivel végigmehetsz a saját szervezeted megfelelésén.

Vissza a tananyaghoz


Oktatási anyag, nem jogi tanácsadás. Ez a lecke a nyilvánosan elérhető jogszabályszöveg és hivatalos uniós források alapján mutatja be az AI Act és a GDPR legfontosabb dátumait és szankcióit, oktatási céllal. Konkrét megfelelési döntés előtt mindig kérj jogi szakértőt.


Öt dátum, amit érdemes fejben tartani

Az AI Act nem egyetlen napon lép teljes egészében életbe, hanem szakaszosan válik alkalmazandóvá. A 113. cikk szerinti idővonal öt kulcsdátumot határoz meg, ezek jelölik ki, mikortól kell egy adott kötelezettségnek megfelelni.


2024.08.01 Hatálybalépés 2025.02.02 Tiltott gyakorlatok (5. cikk) + AI-jártasság 2025.08.02 Kormányzási szabályok + GPAI kötelezettségek 2026.08.02 Teljes körű alkalmazás a legtöbb Annex III rendszerre 2028.08.02 Szabályozott termékbe épített rendszerek átmenete zárul A meghosszabbított átmeneti időszak (Annex I szerinti termékbe épített, magas kockázatú rendszerek) 2028-ban zárul, nem 2027-ben
Az AI Act öt kulcsdátuma a 113. cikk szerint. A legtávolabbi határidő 2028. augusztus 2., a szabályozott termékekbe biztonsági alkotóelemként beépített magas kockázatú rendszerekre vonatkozó, meghosszabbított átmeneti időszak zárása.

  1. 2024. augusztus 1.Az AI Act (Regulation (EU) 2024/1689) hatályba lép.
  2. 2025. február 2.Alkalmazandóvá válnak a tiltott gyakorlatok (5. cikk) és az AI-jártassági kötelezettségek.
  3. 2025. augusztus 2.Alkalmazandóvá válnak a kormányzási szabályok és a GPAI modellekre vonatkozó kötelezettségek.
  4. 2026. augusztus 2.Teljes körű alkalmazás a legtöbb rendelkezésre, beleértve a legtöbb Annex III szerinti magas kockázatú rendszert.
  5. 2028. augusztus 2.Lezárul a szabályozott termékekbe, biztonsági alkotóelemként beépített magas kockázatú rendszerekre vonatkozó, meghosszabbított átmeneti időszak.

Az AI Act szankciói (99. és 101. cikk)

Az AI Act három bírságsávot különböztet meg a jogsértés súlyossága szerint. A tiltott gyakorlatok (5. cikk) megsértése a legszigorúbban büntetett, mert ez érinti a legalapvetőbb jogokat. Az egyéb kötelezettségek (például a provider vagy deployer kötelezettségeinek) megsértése enyhébb sávba esik, a hatóságoknak adott hibás információ pedig a legalacsonyabb sávba. KKV-k és startupok esetén mindig az alacsonyabb összeg az irányadó.


Tiltott gyakorlatok (5. cikk)35M € / 7%
Egyéb kötelezettségek15M € / 3%
Hibás/félrevezető információ7,5M € / 1%
GPAI szolgáltatók (101. cikk)15M € / 3%

A százalék mindig az előző pénzügyi évi teljes globális éves árbevételre vonatkozik, a két érték közül a magasabb az irányadó (KKV-nál az alacsonyabb).


A GDPR szankciói (83. cikk) mellette futnak

Az AI Act a GDPR sérelme nélkül alkalmazandó, tehát amint egy AI rendszer személyes adatot kezel, a GDPR bírságai is teljes egészében élnek, az AI Act szankcióitól függetlenül. A GDPR 83. cikke két sávot különböztet meg. Az alacsonyabb sáv a 83. cikk (4) bekezdése szerint a kevésbé súlyos kötelezettségszegésekre (például az adatkezelői és adatfeldolgozói kötelezettségek megsértésére) vonatkozik. A magasabb sáv a 83. cikk (5) bekezdése szerint az alapelvek, a jogalapok, az érintetti jogok és az adattovábbítás megsértésénél alkalmazandó.


AI Act (99., 101. cikk)

  • Tiltott gyakorlat: max 35M € / 7%
  • Egyéb kötelezettség: max 15M € / 3%
  • Hibás információ: max 7,5M € / 1%
  • GPAI szolgáltató: max 15M € / 3%

GDPR (83. cikk)

  • Alacsonyabb sáv (4. bek.): max 10M € / 2%
  • Magasabb sáv (5. bek.): max 20M € / 4%
  • Alapelvek, jogalapok, érintetti jogok
  • Adattovábbítás megsértése

35M€

Ez a legmagasabb lehetséges bírság az AI Act alapján, vagy a vállalkozás előző pénzügyi évi teljes globális éves árbevételének 7%-a, amelyik magasabb. Ez a tiltott gyakorlatok (5. cikk) megsértésére vonatkozik.


Megfelelési checklist

A kurzus egészében végigment fogalmakon, szereplőkön, kockázati kategóriákon, érintetti jogokon és kötelezettségeken. Az alábbi lista ezekre épít, gyakorlatias sorrendben, hogy honnan érdemes elindulni a saját szervezet megfelelésének átgondolásakor.


  1. Tisztázd a szerepkörtA céged provider vagy deployer egy adott AI rendszernél. A kettő eltérő kötelezettségeket jelent.
  2. Azonosítsd a kockázatotVan-e a szervezetben tiltott gyakorlatnak minősülő vagy Annex III szerinti magas kockázatú AI-használat.
  3. Ellenőrizd a GDPR jogalapotMinden AI-alapú adatkezelésnél legyen érvényes jogalap a 6. cikk szerint.
  4. Nézd meg, kell-e DPIA vagy FRIAMagas kockázatú adatkezelésnél GDPR hatásvizsgálat, magas kockázatú AI rendszernél alapjogi hatásvizsgálat (27. cikk) is szükséges lehet.
  5. Ellenőrizd az átláthatósági jelöléstAz 50. cikk szerinti tájékoztatási és megjelölési kötelezettségek teljesülnek-e AI-interakciónál és szintetikus tartalomnál.
  6. Tudd, kihez fordulj panasszalMagyarországon a NAIH a felügyeleti hatóság, hozzá lehet fordulni adatvédelmi panasszal.

Szerepkör provider / deployer Kockázat tiltott / magas / átlátható GDPR jogalap 6. cikk + DPIA/FRIA OK A megfelelés nem egyszeri feladat, hanem ismétlődő ellenőrzési lánc minden új AI-bevezetésnél
A checklist logikai sorrendje. A szerepkör tisztázásától a GDPR jogalapon át az átláthatósági kötelezettségekig, minden új AI-rendszernél újra végig kell menni rajta.

Forrás

Az EU AI Act és a GDPR hivatalos szövege, valamint az Európai Bizottság, az EDPB és a NAIH anyagai alapján, magyar feldolgozásban.


Ezzel a leckével véget ér a kurzus. A cél nem az volt, hogy mindenre kész választ adjon, hanem hogy legyen egy térkép a kezedben, amivel felismered, mikor van szükség mélyebb, eseti jogi vagy szakértői véleményre. Az AI Act idővonala a következő években még több kötelezettséget hoz életbe, érdemes visszatérni ide, amikor új dátum közeledik.


← Előző lecke Záróteszt kitöltése →

Workshop

AI Transformation Day

Egésznapos, vezetőknek szóló program. Feltérképezzük, hol tart a szervezet, mi az első reális lépés, és milyen belső feltételek szükségesek a sikerhez. A nap végén konkrét, prioritizált cselekvési lista.

Érdekel a program →