Mi az EU AI Act és miről szól?

Az EU AI Act (2024/1689) a világ első átfogó AI szabályozása. 2024. augusztus 1-jén lépett hatályba, kockázatalapú megközelítéssel négy szintet különböztet meg: tiltott, magas, korlátozott és minimális kockázat.

Kire vonatkozik az AI Act? Ki a szolgáltató és ki az alkalmazó?

Az AI értéklánc minden szereplőjére: szolgáltató (fejlesztő), alkalmazó (felhasználó, pl. munkáltató), importőr és forgalmazó. Ha egy alkalmazó lényegesen módosítja a rendszert, szolgáltatóvá válik.

Vonatkozik-e az AI Act az EU-n kívüli (pl. amerikai) cégekre?

Igen, extraterritoriális hatályú. Vonatkozik EU-n kívüli szolgáltatókra, ha rendszerüket az EU piacán forgalmazzák, és alkalmazókra, ha az AI kimenetét az EU-ban használják.

Mi az AI rendszer definíciója a rendelet szerint?

Gépi alapú rendszer, amely változó szintű autonómiával működik, és bemenet alapján kimeneteket generál (előrejelzések, tartalmak, döntések), amelyek fizikai vagy virtuális környezetet befolyásolhatnak.

Milyen kockázati kategóriákat különböztet meg a rendelet?

Négy szint: tiltott (teljes tilalom, 2025.02.02-től), magas kockázatú (szigorú követelmények, 2026.08.02-tól), korlátozott kockázatú (átláthatóság), minimális kockázatú (nincs külön szabály).

Melyek a teljesen tiltott AI gyakorlatok?

Szubliminális manipuláció, sebezhetőségek kihasználása, társadalmi pontozás, munkahelyi/oktatási biometrikus érzelemfelismerés (kivéve orvosi/biztonsági cél), célzatlan arcfelismerő adatbázis-építés, biometrikus kategorizálás érzékeny jellemzők alapján, egyéni bűncselekmény-kockázatbecslés kizárólag profilalkotás alapján. 2025.02.02-tól érvényes.

Mi számít munkahelyi érzelemfelismerésnek és miért tilos?

Tilos AI-val érzelmeket következtetni munkahelyen biometrikus jelekből (arckifejezés, hanglejtés, testbeszéd). Kivétel: orvosi/biztonsági cél, pl. sofőr fáradtságmonitorozás.

Mi az a társadalmi pontozás (social scoring) és miért tilos?

Személyek értékelése társadalmi viselkedésük alapján, ha az más kontextusban hátrányos bánásmódot eredményez. Bármilyen kontextusban tilos.

Használhatom-e az AI-t a munkavállalók hangulatának mérésére anonim kérdőívvel?

Önkéntes, tudatos kérdőív (pl. elégedettségi skála) nem esik a tilalom alá, mert nem biometrikus jelekből következtet. A tilalom a rejtett, biometrikus alapú érzelemfelismerésre vonatkozik.

Melyek a magas kockázatú AI felhasználási területek?

A III. melléklet 8 kategóriája: biometria, kritikus infrastruktúra, oktatás, foglalkoztatás/HR, alapvető szolgáltatások, bűnüldözés, migráció, igazságszolgáltatás.

Milyen kötelezettségek vonatkoznak a magas kockázatú AI rendszerekre?

Szolgáltatóknak: kockázatkezelés, adatkormányzás, műszaki dokumentáció, naplózás, átláthatóság, emberi felügyelet, pontosság/robusztusság (9–17. cikk). Alkalmazóknak: utasítás követése, felügyelet, tájékoztatás.

Mi az a CE jelölés és mire kell az AI rendszereknél?

A CE jelölés igazolja, hogy a magas kockázatú AI átesett megfelelőségi értékelésen. Digitális CE jelölés szükséges, az EU Megfelelőségi Nyilatkozatot 10 évig meg kell őrizni.

Van-e kivétel, amikor egy III. mellékletben szereplő rendszer mégsem minősül magas kockázatúnak?

Igen, a 6. cikk (3) alapján, ha nem jelent szignifikáns kockázatot. De ha a rendszer profilalkotást végez természetes személyekről, az MINDIG magas kockázatú – nincs kivétel.

Hogyan érinti az AI Act a toborzást és a HR-t?

A foglalkoztatási AI magas kockázatú: CV-szűrők, videóinterjú-platformok, műszakelosztók, teljesítménymonitorozók. Nem tilos, de szigorú feltételekhez kötött: emberi felügyelet, dokumentáció kötelező.

Kell-e tájékoztatni a munkavállalókat, ha AI rendszert alkalmazunk?

Igen, kötelező. Magas kockázatú AI alkalmazása előtt tájékoztatni kell a munkavállalói képviselőket és az érintett munkavállalókat (26. cikk (7) bekezdés).

Mi az AI műveltségi kötelezettség és hogyan érinti a munkáltatókat?

2025.02.02-tól kötelező: minden AI-t használó személyzet számára elegendő AI műveltséget kell biztosítani (4. cikk). Minden kockázati szintre vonatkozik, nincs megkötés a képzés formájára.

Fenntarthatja-e az AI a történelmi diszkriminációt a toborzásban?

Igen, ezért is magas kockázatú a HR AI. A 10. cikk megköveteli a reprezentatív, hibamentes betanítási adatokat a torzítás megelőzésére.

Kell-e jelezni, ha chatbottal beszélek, nem emberrel?

Igen. A szolgáltatónak biztosítania kell, hogy a felhasználók tudják, hogy AI rendszerrel állnak interakcióban (50. cikk, 2026.08.02-tól).

Mit kell tenni a deepfake-ekkel és az AI által generált tartalmakkal?

A szintetikus tartalmat géppel olvasható formátumban meg kell jelölni. Deepfake-eknél nyilvánosságra kell hozni az AI eredetét. Kivétel: művészeti/szatirikus munkák (50. cikk).

Mi a GPAI (általános célú AI) modell és milyen szabályok vonatkoznak rá?

Sokféle feladatra képes nagy modell (pl. GPT, Claude, Gemini). 2025.08.02-tól kötelező: műszaki dokumentáció, downstream információ, szerzői jogi megfelelés.

Hogyan kapcsolódik az AI Act a GDPR-hoz?

Kiegészítik egymást. Személyes adatokat kezelő AI-ra mindkettő vonatkozik. Az AI Act információi felhasználandók a GDPR hatásvizsgálathoz.

Ha ChatGPT-t vagy Claude-ot használunk a cégnél, mit kell tennünk?

AI műveltség biztosítása (már kötelező), átláthatóság jelzése ügyfeleknek, GDPR betartása, belső AI szabályzat. Magas kockázatú célra a teljes követelményrendszer vonatkozik.

Mekkora bírságokra számíthat egy szabályt szegő cég?

Háromszintű, a kettő közül a magasabb a felső határ: tiltott AI megsértése max. 35M EUR vagy forgalom 7%-a; egyéb szabálysértés max. 15M EUR vagy 3%; félrevezető információ max. 7,5M EUR vagy 1%. KKV-knál a kettő közül az alacsonyabb az alkalmazandó maximum.

Vannak-e enyhítések a KKV-k és startupok számára?

Igen: alacsonyabb bírságok, ingyenes szabályozási sandbox elsőbbségi hozzáféréssel, csökkentett díjak, arányos minőségirányítás a szervezet méretéhez igazítva.

Milyen magyar hatóságok felügyelik az AI Act betartását?

A 2025. évi LXXV. törvény alapján: MI Bejelentő Hatóság (NAH), MI Piacfelügyeleti Hatóság, Magyar MI Tanács, pénzügyi szektorban az MNB.

Hogyan kezdjen felkészülni egy magyar vállalkozás?

AI leltár készítése, kockázati besorolás, tiltott rendszerek leállítása, AI műveltségi képzés, magas kockázatú dokumentáció, beszállítói audit, belső AI szabályzat.

Kell-e adatvédelmi hatásvizsgálat (DPIA) az AI rendszerekhez?

Igen, kettős kötelezettség: GDPR DPIA és alapjogi hatásvizsgálat (FRIA, 27. cikk) közjogi szerveknek és a III. melléklet 5–8. pontjai alá eső magánszektorbeli alkalmazóknak (hitelképesség, biztosítás, bűnüldözés, migráció, igazságszolgáltatás).

Mikor mi lép hatályba? Mi a pontos időterv?

2024.08.01: hatálybalépés. 2025.02.02: tiltott AI + AI műveltség. 2025.08.02: GPAI. 2026.08.02: magas kockázat, átláthatóság, szankciók. 2027.08.02: termékbiztonsági AI.

Elhúzódhat-e a magas kockázatú szabályok bevezetése?

Lehetséges. A Bizottság javasolta a határidő max. 16 hónapos kitolását. De a tiltott AI gyakorlatok és AI műveltség már érvényes, ezek nem csúsznak.

Ha kis cég vagyunk és csak ChatGPT-t használunk, vonatkozik-e ránk az AI Act?

Igen, legalább két kötelezettség: AI műveltség (4. cikk, már kötelező) és átláthatóság (50. cikk). Magas kockázatú célra a teljes követelményrendszer vonatkozik, mérettől függetlenül.

Miben különbözik az AI Act a GDPR-tól a hatálybalépés szempontjából?

Mindkettő rendelet. A GDPR 2 éves átmenetet adott, az AI Act 3 éves lépcsőzetes rendszert alkalmaz. Az AI Act csúcsbírsága (7%) magasabb a GDPR-énál (4%).

Mit jelent az AI Act a szabályozási sandbox kapcsán?

Minden tagállamnak legalább egy AI sandboxot kell létrehoznia 2026.08.02-ig. KKV-k elsőbbségi, ingyenes hozzáféréssel vehetnek részt. Magyarország a 2025. évi LXXV. törvénnyel megteremtette a keretét.

EU AI Act 2026 – 33 kérdés és válasz közérthetően

Alapok & hatály

Rendelet (EU) 2024/1689
Az EU AI Act a világ első átfogó jogi keretszabályozása a mesterséges intelligenciáról. Az Európai Parlament és a Tanács 2024. június 13-án fogadta el, 2024. augusztus 1-jén lépett hatályba.

A rendelet kockázatalapú megközelítést alkalmaz: minél nagyobb kockázatot jelent egy AI rendszer az alapvető jogokra, egészségre vagy biztonságra, annál szigorúbb szabályok vonatkoznak rá.

Négy kockázati szintet különböztet meg: tiltott (elfogadhatatlan kockázat), magas kockázatú, korlátozott kockázatú (átláthatósági kötelezettségek) és minimális kockázatú (nincs extra szabály).

A GDPR-hoz hasonlóan az AI Act is rendelet (nem irányelv) – közvetlenül alkalmazandó minden tagállamban, nem kell átültetni a nemzeti jogba. Ez erősebb jogforrás, mint pl. a bértranszparencia-irányelv, amelyet a tagállamoknak külön kell átültetniük.

3. cikk – Fogalommeghatározások
A rendelet az AI értéklánc minden szereplőjét szabályozza:

Szolgáltató (Provider): Aki AI rendszert fejleszt és forgalomba hoz. Rá hárul a legtöbb kötelezettség: minőségirányítás, dokumentáció, kockázatkezelés, CE jelölés.
Alkalmazó (Deployer): Aki az AI rendszert használja – pl. egy munkáltató, aki CV-szűrő szoftvert alkalmaz. Kötelezettségei: használati utasítás követése, emberi felügyelet, munkavállalók tájékoztatása.
Importőr: Biztosítja, hogy az EU-n kívülről importált AI megfelel.
Forgalmazó: Ellenőrzi a CE jelölést, az EU Megfelelőségi Nyilatkozat hivatkozásának meglétét, valamint hogy a szolgáltató regisztrált-e az EU adatbázisban (27. cikk). Szükség esetén korrekciós intézkedést kezdeményez.

Ha egy forgalmazó vagy alkalmazó lényegesen módosít egy AI rendszert, vagy a saját neve/védjegye alatt teszi forgalomba, automatikusan szolgáltatóvá válik – és az összes szolgáltatói kötelezettség rá hárul (25. cikk).

2. cikk – Területi hatály
Igen. Az AI Act extraterritoriális hatályú – hasonlóan a GDPR-hoz. Vonatkozik:

Minden EU-ban letelepedett szolgáltatóra és alkalmazóra
EU-n kívüli szolgáltatókra, ha az AI rendszerüket az EU piacán forgalomba hozzák
EU-n kívüli alkalmazókra, ha az AI rendszer kimenetét az EU-ban használják

Ha tehát egy amerikai cég CV-szűrő szoftvert fejleszt, amit európai munkáltatók használnak, az AI Act szabályai vonatkoznak rá.

3. cikk (1) bekezdés
AI rendszer: gépi alapú rendszer, amelyet úgy terveztek, hogy változó szintű autonómiával működjön, és amely a kapott bemenet alapján olyan kimeneteket generálhat – előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket –, amelyek fizikai vagy virtuális környezetet befolyásolhatnak.

Ez széles definíció: a chatbotoktól a CV-szűrőkön át a prediktív karbantartási rendszerekig szinte mindent lefed, ami gépi tanulást vagy szabályalapú döntéshozatalt használ.

Egyszerű, hagyományos szoftverek (pl. Excel makrók, szabályalapú szűrők) általában nem minősülnek AI rendszernek – de a határvonal nem mindig egyértelmű. Ha kétséges, érdemes szakértőt bevonni.

5., 6., 50. cikk
Négy szint:

Tiltott (elfogadhatatlan kockázat): Teljes tilalom – pl. társadalmi pontozás, munkahelyi érzelemfelismerés (5. cikk). 2025. február 2-tól érvényes.
Magas kockázatú: Szigorú követelmények – dokumentáció, kockázatkezelés, emberi felügyelet, CE jelölés (6. cikk, III. melléklet). 2026. augusztus 2-tól.
Korlátozott kockázatú: Átláthatósági kötelezettségek – chatbotok, deepfake-ek, generatív AI (50. cikk). Főszabály: 2026. augusztus 2-tól; de a GPAI szolgáltatókra vonatkozó szintetikus tartalom jelölési kötelezettség (50. cikk (4)) már 2025. augusztus 2-tól alkalmazandó.
Minimális kockázatú: Nincs külön kötelezettség (pl. spamszűrők, videojáték AI). Csak az AI műveltségi követelmény vonatkozik rájuk (4. cikk).

A besorolás nem önkényes – a rendelet pontosan meghatározza, mely felhasználási esetek tartoznak a magas kockázatú kategóriába (III. melléklet). Ha kétséges a besorolás, a 6. cikk (3) bekezdése ad iránymutatást.

Tiltott AI gyakorlatok

5. cikk – 2025. február 2-tól
Az alábbi AI gyakorlatok teljes tilalom alá esnek:

Szubliminális manipuláció: Tudatosságon kívüli technikák vagy szándékos manipuláció, ami a viselkedés lényeges torzításához és jelentős kárhoz vezet
Sebezhetőségek kihasználása: Kor, fogyatékosság vagy társadalmi helyzet miatti sebezhetőség kihasználása
Társadalmi pontozás (social scoring): Személyek értékelése viselkedésük alapján, ha az más kontextusban hátrányos bánásmódot eredményez
Egyéni bűncselekmény-kockázatbecslés: Kizárólag profilalkotás alapján, természetes személy jövőbeli bűncselekményének becslése. A rendelet nagyon szűken engedi a kivételt: csak akkor nem tiltott, ha kizárólag emberi értékelést támogat, objektív, ellenőrizhető tényeken alapul, és nem eredményez hátrányos intézkedést (5. cikk (1)(d), 26. preambulumbekezdés)
Célzatlan arcfelismerő adatbázis-építés: Arcképek törvényszerűtlen gyűjtése az internetről vagy CCTV-ből
Munkahelyi és oktatási érzelemfelismerés: AI-val érzelmek következtetése biometrikus jelekből munkahelyen vagy iskolában. Az érzelemfelismerés mint technológia nem általánosan tiltott – a tilalom kifejezetten a munkahelyi és oktatási kontextusra vonatkozik (5. cikk (1)(f)). Szűk kivétel: orvosi vagy biztonsági célú alkalmazás (pl. sofőr fáradtságmonitorozás)
Biometrikus kategorizálás érzékeny jellemzők alapján: Faj, politikai nézet, vallás, szexuális orientáció következtetése biometrikus adatokból
Valós idejű távoli biometrikus azonosítás: Nyilvános tereken bűnüldözési célú arcfelismerés (szűk kivételekkel)

Ezek a tilalmak már 2025. február 2-tól érvényesek! A megsértésük bírsága a legsúlyosabb: max. 35 millió EUR vagy az éves forgalom 7%-a – amelyik magasabb (ez a kiszabható felső határ, 99. cikk (3)).

5. cikk (1)(f)
Tilos olyan AI rendszert használni, amely munkahelyen vagy oktatási intézményben az érintett személy érzelmeit próbálja következtetni – akár arckifejezésből, hanglejtésből, testbeszédből vagy egyéb biometrikus jelekből.

Gyakorlati példák, amelyek tilosak:

Videóhívás-elemző szoftver, ami a dolgozó „elkötelezettségét" méri arckifejezés alapján
Callcenter hangulatérzékelő, ami az operátor stressz-szintjét figyeli
Videóinterjú-platform, ami a jelölt érzelmeit pontozza

Kivétel: orvosi és biztonsági célú érzelemfelismerés megengedett – pl. fáradtságérzékelő pilóták vagy gépkezelők számára. De ez szűk kivétel, és az alkalmazás célja a döntő.

5. cikk (1)(c)
Természetes személyek értékelése vagy osztályozása társadalmi viselkedésük vagy személyes jellemzőik alapján, ha az hátrányos bánásmódot eredményez más kontextusban, vagy aránytalanul hátrányos helyzetet teremt.

Példa: egy munkáltató AI rendszere, amely a dolgozó közösségi médiás aktivitása, vásárlási szokásai vagy közlekedési szokásai alapján „pontszámot" ad, és ez alapján dönt az előléptetésről – ez tilos.

A kínai típusú „állami social scoring" az egyértelmű eset, de a tilalom ennél tágabb: bármilyen kontextusban tilos, ha más összefüggésben szerzett viselkedési adatokat használ egy személy hátrányára.

5. cikk (1)(f) – értelmezés
Az anonim munkavállalói elégedettségi felmérés, amelyet a dolgozók önként, tudatosan töltenek ki (pl. „mennyire elégedett vagy?" skálán), nem esik a tilalom alá – mert nem biometrikus jelekből „következtet" érzelmeket, hanem az érintett saját maga nyilatkozik.

A tilalom a rejtett, biometrikus alapú érzelemfelismerésre vonatkozik: arckifejezés, hanglejtés, testbeszéd elemzése. Nem az önkéntes véleménynyilvánításra.

De óvatosan: ha az „anonim" kérdőív mögött olyan AI elemzés van, ami a válaszadási mintázatokból megpróbálja azonosítani az egyéni kitöltőt, az már problémás területre lép.

Magas kockázatú AI rendszerek

6. cikk, III. melléklet
A III. melléklet 8 kategóriát sorol fel:

1. Biometria: Távoli biometrikus azonosítás, biometrikus kategorizálás, érzelemfelismerés
2. Kritikus infrastruktúra: Víz-, gáz-, villamosenergia-ellátás, közlekedés irányítása
3. Oktatás: Felvételi döntések, vizsgaértékelés, tanulóteljesítmény mérése, csalásérzékelés
4. Foglalkoztatás és HR: Toborzás, CV-szűrés, teljesítményértékelés, felmondási döntések
5. Alapvető szolgáltatások: Hitelképesség-értékelés, biztosítási kockázatbecslés, szociális segélyjogosultság
6. Bűnüldözés: Kockázatbecslés, profilalkotás, bizonyítékértékelés
7. Migráció: Belépési kockázatok, menedékjogi kérelmek támogatása
8. Igazságszolgáltatás és demokratikus folyamatok: Jogi értelmezés támogatása, választási eredmények befolyásolására használt AI

A 4. pont (foglalkoztatás/HR) a legtöbb magyar vállalatot érinti: ha AI-t használtok toborzásra, teljesítményértékelésre vagy munkaszervezésre, magas kockázatú rendszert alkalmaztok.

9–17. cikk
A szolgáltatóknak (fejlesztőknek) biztosítaniuk kell:

Kockázatkezelési rendszer (9. cikk) – folyamatos, iteratív kockázatelemzés az AI teljes életciklusa során
Adatkormányzás (10. cikk) – betanítási adatok relevancia, reprezentativitás, hibamentesség biztosítása
Műszaki dokumentáció (11. cikk) – részletes leírás a forgalomba helyezés előtt
Automatikus naplózás (12. cikk) – eseménynapló a működés során
Átláthatóság (13. cikk) – az alkalmazók megérthessék a kimenetet
Emberi felügyelet (14. cikk) – természetes személyek hatékonyan felügyelhessék
Pontosság és robusztusság (15. cikk) – megfelelő szintű teljesítmény és kiberbiztonság
Minőségirányítási rendszer (17. cikk) – dokumentált QMS, arányos a szervezet méretével

Az alkalmazóknak (akik használják a rendszert) kevesebb, de fontos kötelezettségeik vannak: használati utasítás követése, emberi felügyelet biztosítása, munkavállalók tájékoztatása, adatvédelmi hatásvizsgálat (26. cikk).

48., 43., 47. cikk
A CE jelölés igazolja, hogy a magas kockázatú AI rendszer átesett a megfelelőségi értékelésen és megfelel a rendelet követelményeinek. Digitális AI rendszereknél digitális CE jelölés szükséges az interfészen.

A megfelelőségi értékelés (43. cikk) a III. melléklet 2–8. pontjai szerinti rendszereknél általában belső kontroll eljárás – nem kell külső szervezetet (notified body) bevonni. Kivétel: a III. melléklet 1. pontja szerinti biometrikus rendszereknél (különösen valós idejű távoli biometrikus azonosítás) a 43. cikk (1) alapján kötelező a bejelentett szervezet (notified body) bevonása.

Az EU Megfelelőségi Nyilatkozatot (47. cikk) 10 évig meg kell őrizni.

A forgalomba helyezés előtt a szolgáltató köteles regisztrálni magát és a rendszert az EU adatbázisban (49. cikk, 71. cikk). Regisztráció nélkül nem használható.

6. cikk (3) bekezdés
Igen, van kivétel. Egy III. mellékletben felsorolt rendszer nem minősül magas kockázatúnak, ha:

Nem jelent szignifikáns kockázatot az egészségre, biztonságra vagy alapvető jogokra, ÉS
Nem befolyásolja érdemben a döntéshozatal eredményét

DE van egy fontos korlát: ha a rendszer profilalkotást végez természetes személyek vonatkozásában, az MINDIG magas kockázatúnak minősül – a kivétel nem alkalmazható.

Ez azt jelenti, hogy egy egyszerű keresőszűrő az álláshirdetésekhez talán nem magas kockázatú, de ha a rendszer profiloz – pl. a jelöltek viselkedési mintáit elemzi –, akkor automatikusan az.

HR & munkahely

III. melléklet 4. pont
A rendelet a foglalkoztatással kapcsolatos AI rendszereket magas kockázatúnak minősíti. Konkrétan:

(a) Toborzás/kiválasztás: Célzott álláshirdetés-elhelyezés, állásjelentkezések elemzése és szűrése, jelöltek értékelése
(b) Munkaviszony-döntések: Előléptetés, felmondás, feladatkiosztás, valamint teljesítmény és viselkedés monitorozása és értékelése

Gyakorlati példák magas kockázatú HR AI-ra:

CV-szűrő és rangsoroló eszközök
Videóinterjú-platformok, amelyek mimika vagy beszéd alapján pontoznak
Műszakelosztó eszközök produktivitási metrikák alapján
Munkavállalói monitoring szoftver, ami teljesítményt értékel

Az AI Act nem tiltja ezeket a rendszereket – de szigorú feltételekhez köti a használatukat. Emberi felügyelet, dokumentáció és kockázatkezelés kötelező.

26. cikk (7) bekezdés
Igen, kötelező. A magas kockázatú AI rendszer munkahelyi alkalmazása előtt a munkáltatónak (alkalmazónak) tájékoztatnia kell:

A munkavállalói képviselőket (üzemi tanács, szakszervezet)
Az érintett munkavállalókat

A tájékoztatásnak ki kell terjednie arra, hogy magas kockázatú AI rendszer alkalmazása alá fognak kerülni.

Ez nem csak „szép gesztus" – a rendelet kifejezett kötelezettségként írja elő. A tájékoztatás módja az uniós és nemzeti jognak és gyakorlatnak megfelelően történik.

14. cikk – Emberi felügyelet
Nem. A rendelet megköveteli, hogy magas kockázatú AI rendszereknél természetes személyek hatékonyan felügyelhessék a rendszert. Az emberi felügyelőknek képesnek kell lenniük:

A rendszer képességeinek és korlátainak megértésére
A kimenet megfelelő értelmezésére
A rendszer nem használata vagy leállítása melletti döntésre
A túlzott automatizmus-függés (overreliance) felismerésére

Ez a gyakorlatban azt jelenti: az AI javasolhat, de nem dönthet egyedül jelentős HR kérdésekben. Képzett ember felülvizsgálata és jóváhagyása szükséges. A GDPR 22. cikke (teljesen automatizált döntéshozatal) is ezt erősíti.

4. cikk – 2025. február 2-tól
Már hatályos! Minden szolgáltató és alkalmazó köteles biztosítani, hogy az AI rendszerekkel kapcsolatba kerülő személyzet elegendő szintű AI műveltséggel rendelkezzen.

Ez azt jelenti: ha a HR-csapat AI-t használ a toborzásban, a cég köteles gondoskodni arról, hogy megértsék:

Hogyan működik a rendszer
Milyen korlátai vannak
Mikor kell felülbírálni a rendszer javaslatát
Milyen torzítások (bias) lehetségesek

Ez nem kockázati szinttől függ – minden AI rendszerre vonatkozik, legyen az magas, korlátozott vagy minimális kockázatú. A 4. cikk a rendelet legszélesebb hatályú követelménye.

💡 Jó hír: A rendelet nem írja elő, milyen formában kell biztosítani az AI műveltséget – nincs megkötés, hogy e-learning, tréning vagy belső képzés legyen. Ez azt jelenti: egy személyre szabott, interaktív workshop ugyanúgy megfelel, mint egy formális tanfolyam.

AI műveltségi tréninget kérek → Teljes körű tanácsadást kérek →

Y2Y Ltd. – tréning, szabályozás, etika és teljes körű AI megfelelési tanácsadás

Preambulum (57), 10. cikk
Igen – és pontosan ezért minősíti a rendelet a HR AI-t magas kockázatúnak. A (57) preambulumbekezdés (amely értelmezési segédeszköz, jogilag nem kötelező erejű norma) kifejezetten megemlíti, hogy az AI rendszerek fenntarthatják a történelmi diszkriminációs mintákat a toborzásban.

Ha az AI betanítási adatai a múltbeli felvételi döntéseket tükrözik – és azokban szisztematikus elfogultság volt (pl. nemi, etnikai) –, a rendszer ezt a mintát újratermeli és skálázza.

A 10. cikk (adatkormányzás) ezért követeli meg, hogy a betanítási adatok relevánsak, reprezentatívak és lehetőleg hibamentesek legyenek. A rendelet kifejezetten engedélyezi érzékeny személyes adatok feldolgozását is (10. cikk (5)), ha az szigorúan szükséges a torzítás észleléséhez és korrekciójához.

Gyakorlati tanács: rendszeresen auditáljátok az AI toborzóeszköz kimeneteit – nemek, etnicitás, életkor szerint. Ha szisztematikus eltéréseket láttok, az a rendszer torzítására utalhat.

Átláthatóság & generatív AI

50. cikk (1) bekezdés
Igen. Az AI rendszerek szolgáltatóinak biztosítaniuk kell, hogy a felhasználók tájékoztatást kapjanak arról, hogy AI rendszerrel állnak kölcsönhatásban, nem emberrel.

Nem szükséges, ha ez nyilvánvaló egy ésszerűen informált, figyelmes személy számára – de a legtöbb chatbot esetében igenis kötelező a jelzés.

Ha a céges ügyfélszolgálatotokon chatbot válaszol, jelezni kell: „AI asszisztens vagyok" – vagy hasonló egyértelmű megjelölés.

50. cikk (2)–(4) bekezdés
Minden AI rendszer – beleértve a generatív AI-t –, amely szintetikus tartalmat generál (szöveg, kép, hang, videó), köteles biztosítani, hogy:

A kimenet géppel olvasható formátumban legyen megjelölve mint mesterségesen generált
Deepfake-eknél (valós személyekhez hasonlító AI tartalom) nyilvánosságra kell hozni, hogy mesterségesen generált vagy manipulált

Kivétel: művészeti, kreatív, szatirikus vagy fiktív munkáknál az átláthatósági kötelezettség a létezés közzétételére korlátozódik, a mű megjelenítését nem akadályozhatja.

3. cikk (63), 51–56. cikk – 2025. augusztus 2-tól
GPAI modell: nagy mennyiségű adattal, önfelügyelt tanulással betanított AI modell, amely sokféle feladatra képes. Ide tartoznak pl. a GPT, Claude, Gemini, Llama típusú modellek.

Minden GPAI szolgáltatóra vonatkozik (53. cikk):

Műszaki dokumentáció készítése
Információ biztosítása a downstream integrálók számára
Szerzői jogi megfelelés
Betanítási tartalom összefoglalójának közzététele

Rendszerkockázatú GPAI modellekre (55. cikk) – amelyek betanítási kapacitása meghaladja a 10²⁵ FLOP-ot – további kötelezettségek vonatkoznak: modellértékelés, rendszerkockázat-felmérés, incidens-bejelentés, kiberbiztonság. Fontos: a rendszerkockázatú minősítés nem kizárólag a FLOP-küszöbön alapul – az Európai Bizottság más kritériumok (pl. felhasználók száma, hatás mértéke) alapján is megállapíthatja (51. cikk (2)).

Nyílt forráskódú kivétel: a nyílt forráskódú GPAI modellekre enyhébb szabályok vonatkoznak – DE a rendszerkockázatú modellekre ez a kivétel NEM alkalmazandó.

3., 26., 27. cikk
Az AI Act és a GDPR egymást kiegészítik, nem helyettesítik:

Fogalmi összhang: A személyes adat fogalma azonos a GDPR-ral (3. cikk (50))
DPIA: Az alkalmazók az AI Act szerinti információkat felhasználják a GDPR 35. cikk szerinti adatvédelmi hatásvizsgálathoz (26. cikk (8))
Alapjogi hatásvizsgálat (FRIA): Közjogi szervek és bizonyos magánszektorbeli alkalmazók kötelesek FRIA-t végezni (27. cikk)
Automatizált döntéshozatal: Az AI Act emberi felügyeleti követelménye segíti a GDPR 22. cikkének (teljesen automatizált döntéshozatal) betartását is

A gyakorlatban ez kettős megfelelési kötelezettséget jelent: ha AI rendszert használtok személyes adatokkal, az AI Act és a GDPR egyaránt vonatkozik. A kettő együtt szigorúbb, mint külön-külön.

4., 26., 50. cikk
Ha általános célú AI eszközöket használtok a mindennapi munkában (pl. ChatGPT, Claude, Copilot), a következőkre figyeljetek:

AI műveltség (4. cikk): Biztosítsátok, hogy a személyzet érti, hogyan működik és milyen korlátai vannak – már 2025. február 2-tól kötelező
Átláthatóság (50. cikk): Ha az AI kimenetet ügyfeleknek, jelölteknek vagy munkavállalóknak kommunikáljátok, jelezzétek, hogy AI által generált
GDPR: Ne osszatok meg bizalmas személyes adatokat (pl. munkavállalói adatokat) publikus AI chatbotokkal
Belső szabályzat: Készítsetek AI használati irányelvet – mit szabad, mit nem, milyen jóváhagyás kell

Ha viszont magas kockázatú felhasználási célra használjátok (pl. ChatGPT API-val automatizált CV-szűrés), a magas kockázatú rendszerek teljes követelményrendszere vonatkozik.

A kulcs: nem az eszköz (ChatGPT, Claude stb.) határozza meg a kockázati szintet, hanem a felhasználási cél. Ugyanaz az eszköz alacsony kockázatú (email fogalmazás) és magas kockázatú (felvételi döntés) célra is használható.

Megfelelés & szankciók

99., 101. cikk
Háromszintű bírságrendszer:

Tiltott AI gyakorlatok (5. cikk) megsértése: max. 35 millió EUR vagy a világméretű éves forgalom 7%-a – amelyik magasabb (ez a kiszabható bírság felső határa, nem az automatikusan alkalmazandó összeg)
Egyéb rendelkezések megsértése: max. 15 millió EUR vagy a forgalom 3%-a – amelyik magasabb
Helytelen/félrevezető információ: max. 7,5 millió EUR vagy a forgalom 1%-a – amelyik magasabb

GPAI szolgáltatókra (101. cikk): max. 15 millió EUR vagy a forgalom 3%-a.

Fontos: a „amelyik magasabb" a kiszabható bírság felső korlátját jelenti (99. cikk (3)). KKV-knál fordított logika érvényesül: a kettő közül az alacsonyabbik az alkalmazandó maximum (99. cikk (6)). Egy 500M EUR forgalmú nagyvállalatnál a tiltott AI bírsága akár 35 millió EUR is lehet.

57., 62., 99. cikk
Igen, több szinten is:

Alacsonyabb bírságok (99. cikk (6)): KKV-knál a fix összeg vagy a forgalom-arányos százalék közül az alacsonyabbik a kiszabható bírság felső határa (nagyvállalatoknál a magasabbik – ld. fentebb)
Szabályozási sandbox (57. cikk): 2026. augusztus 2-ig minden tagállamnak legalább egy AI sandboxot kell létrehoznia – elsőbbségi hozzáféréssel KKV-k számára, ingyenesen
Csökkentett díjak (62. cikk): Megfelelőségi értékelési díjak arányosan csökkentettek
Arányos QMS (17. cikk): A minőségirányítási rendszer arányos a szervezet méretével
Célzott képzési programok és egyszerűsített eljárások

KKV-definíciók: Közép: <250 fő, <50M EUR; Kis: <50 fő, <10M EUR; Mikro: <10 fő, <2M EUR forgalom.

2025. évi LXXV. törvény
Magyarországon a 2025. évi LXXV. törvény hozza létre a hazai intézményi keretrendszert (a törvény pontos számát és hatályosságát javasolt a Nemzeti Jogszabálytárban ellenőrizni):

MI Bejelentő Hatóság: A Nemzeti Akkreditáló Hatóság (NAH) – megfelelőség-értékelő szervezetek kijelölése és felügyelete
MI Piacfelügyeleti Hatóság: Kapcsolattartó pont, post-market felügyelet, szabályozási sandbox működtetése
Magyar Mesterséges Intelligencia Tanács: Tanácsadó testület – tagjai közt az MNB, GVH, MTA, Magyar Kereskedelmi és Iparkamara
Szektorális hatáskör: Pénzügyi szolgáltatásoknál az MNB tartja meg a felügyeletet

A bírság mértéke a rendelet szerint meghatározott tartományban mozog – nagyságrendileg 285 millió HUF-tól 13,3 milliárd HUF-ig.

Gyakorlati útmutató
Javasolt lépések:

1. AI leltár: Térképezzétek fel, milyen AI rendszereket használtok (beleértve a beszállítói eszközöket is)
2. Kockázati besorolás: Minden rendszert soroljatok be: tiltott, magas kockázatú, korlátozott vagy minimális
3. Tiltott rendszerek azonosítása: Ha bármi tiltott kategóriába esik, azonnal le kell állítani (2025. február 2-tól!)
4. AI műveltség: Szervezzetek képzést a személyzetnek – ez már most kötelező
5. Magas kockázatú rendszerek: Kezdjétek el a dokumentáció, kockázatkezelés, emberi felügyeleti folyamatok kialakítását
6. Beszállítói audit: Kérdezzétek meg AI beszállítóitokat a CE jelölésről és a megfelelőségi dokumentációról
7. Belső AI szabályzat: Készítsetek vállalati AI irányelvet

A leggyakoribb hiba: „ez csak ChatGPT, nem vonatkozik ránk". De ha ChatGPT API-val automatizáltatok HR döntéseket, az már magas kockázatú rendszer – és a teljes követelményrendszer vonatkozik rá.

26. cikk (8), 27. cikk
Igen, kettős kötelezettség is lehet:

GDPR DPIA (26. cikk (8)): Az alkalmazó az AI Act szerinti átláthatósági információkat felhasználja a GDPR 35. cikke szerinti hatásvizsgálathoz
Alapjogi hatásvizsgálat (FRIA) (27. cikk): Közjogi szervek és a III. melléklet 5–8. pontjai alá eső magánszektorbeli alkalmazók (hitelképesség, biztosítás, bűnüldözés, migráció, igazságszolgáltatás) kötelesek alapjogi hatásvizsgálatot végezni

Ha a GDPR DPIA már megtörtént és átfedi az AI Act FRIA követelményeit, a FRIA kiegészíti azt (27. cikk (4)) – nem kell mindent nulláról.

Határidők & hatálybalépés

113. cikk
Lépcsőzetes hatálybalépés:

2024. augusztus 1.: A rendelet hatályba lépése
2025. február 2.: ✅ MÁR ÉRVÉNYES! Tiltott AI gyakorlatok (5. cikk) + AI műveltség (4. cikk)
2025. augusztus 2.: GPAI modellek kötelezettségei (51–56. cikk)
2026. augusztus 2.: A legtöbb rendelkezés – magas kockázatú AI (III. melléklet), alkalmazói kötelezettségek (26. cikk), átláthatóság (50. cikk), szankciók teljes érvényesítése
2027. augusztus 2.: I. melléklet szerinti termékbiztonsági AI; 2025 aug. előtt forgalomba hozott GPAI modellek megfelelése

A két legfontosabb, most azonnal releváns kötelezettség: (1) ha tiltott AI gyakorlatot folytattok, az már jogellenes, és (2) az AI műveltségi képzés már kötelező.

113. cikk – módosítási javaslat
Lehetséges. Az Európai Bizottság 2025 novemberében javaslatot tett a magas kockázatú szabályok alkalmazási határidejének legfeljebb 16 hónappal való kitolására.

Ha ez elfogadásra kerül, a 2026. augusztus 2-i határidő 2027 végére–2028 elejére csúszhat. De: a tiltott AI gyakorlatok és az AI műveltségi kötelezettség már most is érvényes – ezek nem csúsznak.

Ne számítsatok a halasztásra a felkészülés során. A GDPR-nál is voltak, akik „majd ha tényleg jön" hozzáállással vártak – és megbánták.

4. cikk, 50. cikk
Igen, legalább két kötelezettség biztosan vonatkozik:

AI műveltség (4. cikk): Ha a személyzet AI-t használ, biztosítanotok kell, hogy értik, mit csinálnak – már 2025. február 2-tól
Átláthatóság (50. cikk): Ha AI által generált tartalmat kommunikáltok ügyfeleknek, jelezni kell

Ha viszont magas kockázatú célra használjátok (toborzás, teljesítményértékelés, hiteldöntés), a magas kockázatú rendszerek követelményei is vonatkoznak – mérettől függetlenül.

Jó hír: KKV-ként alacsonyabb bírságokkal, arányos QMS-sel és ingyenes sandbox-hozzáféréssel számíthattok (62. cikk). De a kötelezettség megvan.

Összehasonlítás
Fontos különbségek:

Rendelet vs. irányelv: Az AI Act rendelet – közvetlenül alkalmazandó, nem kell nemzeti jogba átültetni. A GDPR szintén rendelet volt, de sok irányelv (pl. bértranszparencia) nemzeti átültetést igényel.
Lépcsőzetes hatálybalépés: A GDPR 2 éves átmeneti időt adott; az AI Act 3 éves lépcsőzetes rendszert alkalmaz (2024–2027)
Kockázatalapú: A GDPR minden személyes adatkezelésre vonatkozik; az AI Act csak a kockázatos felhasználásokra ír elő szigorú szabályokat
Bírságok: Hasonló nagyságrend – az AI Act csúcsbírsága (forgalom 7%-a) magasabb, mint a GDPR-é (4%)

57. cikk – 2026. augusztus 2-ig
Minden tagállamnak legalább egy nemzeti szintű AI szabályozási sandboxot kell létrehoznia. A sandbox lényege:

Kontrollált környezet, ahol innovatív AI rendszereket fejleszthetnek és tesztelhetnek a hatóság felügyelete mellett
KKV-k és startupok elsőbbségi hozzáféréssel és ingyenesen vehetnek részt
A hatóság segít a megfelelőségi követelmények megértésében
A sandboxban szerzett tapasztalat megkönnyíti a piacra jutást

Magyarország a 2025. évi LXXV. törvénnyel megteremtette a sandbox jogi keretét. Ha innovatív AI megoldást fejlesztetek, érdemes figyelni a sandbox-lehetőséget.

EU AI Act
Gyorstalpaló

Nem találtunk eredményt

Mennyire áll készen
a céged?

AI Act workshop vezetőknek

AI műveltségi tréning

Teljes AI megfelelés

Nem találtunk eredményt

Mennyire áll készena céged?

AI Act workshop vezetőknek

AI műveltségi tréning

Teljes AI megfelelés

Mennyire áll készen
a céged?