CLVPartners

CLV-02
Menu

iránymutatás

MI Rendelet hatályával kapcsolatos kérdések

Hírek, Mesterséges intelligencia / / , , , , , ,

Olvasási idő: 5 perc

2024. június 12-én új korszak kezdődött a mesterséges intelligencia („MI”) szabályozásában: elfogadásra és közzétételre került az Európai Uniómesterséges intelligenciáról szóló rendelete („MI Rendelet”). A jogszabály célja, hogy keretet adjon az MI biztonságos, átlátható és felelős fejlesztésének és alkalmazásának az Európai Unióban. Annak érdekében, hogy megfelelően értelmezni tudjuk az MI Rendeletben előírt kötelezettségeket, mindenekelőtt azt kell tisztázni, hogy pontosan milyen szervezetekre, tevékenységekre vagy technológiai megoldásokra vonatkozik a szabályozás.

Cikksorozatunk második részében ezért az MI Rendelet hatályával kapcsolatos legfontosabb szabályokat vesszük górcső alá, hogy segítsünk ügyfeleinknek időben megkezdeni a megfelelésre való felkészülést, és felismerni, ha működésük során olyan MI-rendszereket fejlesztenek vagy használnak, amelyekre az MI Rendelet előírásai alkalmazandók.

MI Rendelet hatályával kapcsolatos legfontosabb szabályok

MI Rendelet szabályozásának tárgya

Az MI Rendelet alapvetően az MI-rendszerek szabályozására terjed ki. Ennek megfelelően elsőként fontos azt azonosítani, hogy mi minősül MI rendszernek.

A MI Rendelet alapján az MI-rendszer olyan gépi alapú rendszer, amelyet kifejezetten úgy terveztek, hogy különböző szintű autonómiával működjön, és a telepítését követően képes legyen alkalmazkodni. Ezek a rendszerek explicit vagy implicit célok érdekében elemzik a kapott bemeneteket, és azok alapján generálnak kimeneteket – például előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket –, amelyek hatással lehetnek a fizikai vagy virtuális környezetre.

A MI-rendszereket alapvetően az különbözteti meg a hagyományos szoftvermegoldásoktól, hogy képesek a bemeneti adatokból tanulni, azok alapján következtetéseket levonni, illetve modelleket alkotni. Ezzel szemben a klasszikus programozási megközelítésekre épülő, egyszerűbb szoftverrendszerek – ideértve azokat a rendszereket is, amelyek kizárólag előre meghatározott, ember által rögzített szabályok alapján hajtanak végre automatizált műveleteket – nem rendelkeznek ilyen tanulási vagy adaptációs képességekkel. Ennek következtében ezek a megoldások nem minősülnek MI-rendszernek, és így a vonatkozó szabályozás hatálya sem terjed ki rájuk.

Hagyományos szoftvermegoldásnak tekinthetők például az olyan alkalmazások, amelyek működése teljes mértékben előre meghatározott szabályokon alapul, és nem képesek önálló tanulásra vagy adaptációra. Ilyen lehet többek között egy hagyományos számológép, a Microsoft Excel egyes alapvető funkciói, illetve azok a pénzügyi előrejelzésekhez használt teljesítményértékelő szoftverek, amelyek kizárólag múltbeli adatok feldolgozására és egyszerű statisztikai következtetések levonására alkalmasak.

Fontos továbbá kiemelni, hogy az MI-rendelet főszabály szerint bizonyos speciális területekre nem alkalmazandó. A szabályozás hatálya nem terjed ki a katonai, védelmi vagy nemzetbiztonsági célból alkalmazott MI-rendszerekre, valamint azokra a rendszerekre, modellekre és eredményekre sem, amelyeket kifejezetten tudományos kutatás és fejlesztés céljára hoztak létre. Emellett a rendelet nem vonatkozik azokra a természetes személyekre sem, akik az MI-rendszereket kizárólag személyes, nem szakmai célból használják.

Területi és személyi hatály

Az MI Rendelet hatálya nem korlátozódik kizárólag az Európai Unió területén letelepedett szereplőkre. A szabályozás minden olyan MI-rendszerre alkalmazandó, amelyet az Európai Unió belső piacán hoznak forgalomba, helyeznek üzembe vagy használnak. Ennek megfelelően a rendelet bizonyos esetekben az Unión kívül letelepedett szereplőkre is kiterjed.

A szabályozás alapvetően minden olyan szereplőre kiterjed, aki kapcsolatba kerül MI-rendszerekkel a fejlesztéstől a felhasználásig. Ennek megfelelően a MI Rendelet hatálya alá tartozhatnak többek között a fejlesztők, szolgáltatók, forgalmazók, importőrök, telepítők, üzemeltetők, valamint a rendszerek felhasználói is

Időbeli hatály

Az MI Rendelet rendelkezései fokozatosan lépnek hatályba.

Ugyanakkor fontos hangsúlyozni, hogy az MI Rendelet egyes előírásai már jelenleg is hatályosak. Ezek közé tartoznak többek között a fogalommeghatározásokra vonatkozó rendelkezések, az elfogadhatatlan kockázatot jelentő – azaz tiltott – MI-rendszerekre vonatkozó szabályok, az általános célú MI-modellekre irányadó kötelezettségek, valamint az MI-jártasságra, a hatósági felügyeletre és a szankciókra vonatkozó előírások.

Kiemelt jelentőséggel bír az úgynevezett MI-jártasság követelménye. E rendelkezés értelmében az MI-rendszert alkalmazó szervezetek kötelesek biztosítani, hogy a rendszert kezelő vagy működtető személyek megfelelő szintű ismeretekkel rendelkezzenek az MI-vel kapcsolatban.

Az MI Rendelet hatályos szövege szerint a rendelkezések túlnyomó része 2026. augusztus 2-án válik alkalmazandóvá. Mindazonáltal az Európai Bizottság a digitális omnibusz csomag keretében már 2025 novemberében javaslatot tett arra, hogy egyes szabályok alkalmazását legfeljebb 18 hónappal elhalasszák.

A végrehajtással kapcsolatban további bizonytalanságot okoz, hogy a Bizottságnak 2026. február 2-ig iránymutatást kellett volna közzétennie a nagy kockázatú MI-rendszerek besorolásáról. Ez az iránymutatás kulcsfontosságú annak meghatározásához, hogy egy adott MI-alkalmazás magas kockázatúnak minősül-e, és ennek következtében szigorúbb dokumentációs, megfelelési és felügyeleti követelmények vonatkoznak-e rá. Az iránymutatás közzététele azonban egyelőre elmaradt. Emellett több tagállamban is nehézségek merültek fel a rendelet végrehajtásáért felelős hatóságok kijelölésében.

Mindezek következtében a hatálybalépés és az egyes rendelkezések gyakorlati alkalmazása tekintetében jelenleg is jelentős bizonytalanság tapasztalható.

Hazai szabályozás

A rendeleti forma miatt a magyar szabályozás alapvetően kiegészítő jellegű az uniós szabályokhoz képest. Ennek megfelelően az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról szóló 2025. évi LXXV. törvény („MI Törvény”) kizárólag azokra az ügyekre, szervezetekre és MI-rendszerekre vonatkozik, amelyek Magyarországot vagy annak területét érintik.

Az időbeli hatály tekintetében a MI Törvény főszabályként 2025 decemberétől alkalmazandó, azonban kivételt képez a szabályozói tesztkörnyezetre vonatkozó rendelkezés, amely 2026. augusztus 2-án lép hatályba.

Összegzés:

Az MI Rendelet azokat a rendszereket szabályozza, amelyek képesek a bemeneti adatok alapján tanulni, következtetéseket levonni vagy autonóm módon kimeneteket generálni, míg a kizárólag előre meghatározott szabályok szerint működő hagyományos szoftverek nem tartoznak a hatálya alá. Az MI Rendelet területi hatálya széles, mivel nemcsak az EU-ban letelepedett szereplőkre vonatkozik, hanem azokra is, akik az uniós piacon hoznak forgalomba MI-rendszereket vagy azok kimeneteit az EU-ban használják. A szabályozás a fejlesztéstől a felhasználásig valamennyi érintett szereplőre kiterjed. Bár az MI Rendelet szabályai fokozatosan válnak alkalmazandóvá, több kulcsfontosságú rendelkezés már hatályos, ugyanakkor a végrehajtással kapcsolatos iránymutatások és intézményi feltételek hiánya jelenleg bizonytalanságot okoz a gyakorlati alkalmazásban.

Kép forrása: pexels.com, Tara Winstead

MI Rendelet hatályával kapcsolatos kérdések Read More »

Az EDPB új iránymutatása az adatkezelő és adatfeldolgozó fogalmáról

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / / , , , , , , , ,

Az Európai Adatvédelmi Testület („EDPB” vagy „Testület”) 2021. július 7-i ülésen elfogadta az adatkezelő és adatfeldolgozó GDPR szerinti fogalmáról szóló 07/2020. számú iránymutatás végleges változatát, mely megújítja és egyben felváltja a korábbi 29. cikk szerinti Adatvédelmi Munkacsoport azonos tárgyban született 1/2010. számú iránymutatását.

Az adatkezelői és adatfeldolgozói szerepkörök meghatározása mind a GDPR hatálya alatt, mind azt megelőzően az adatvédelmi jog legvitatottabb kérdésköre volt, mivel a betöltött szerep a kötelezettségeket és ez által a felelősséget is determinálja. Ebből kifolyólag az EDPB új iránymutatása minden adatkezelési tevékenységet folytató szereplő számára alapvető fontosságú.

  1. Az adatkezelő meghatározása

A GDPR szerint adatkezelőnek kell tekinteni azt a személyt, aki az adatkezelés célját és eszközeit meghatározza. A fogalom elemei közül az új iránymutatás az adatkezelés eszközeit fejtette ki részletesebben, a korábbi iránymutatáshoz képest élesebb elhatárolást alkalmazva.

A Testület álláspontja szerint az adatkezelő azonosításakor az adatkezelés eszközei alatt kizárólag a lényeges eszközöket kell érteni, amelyek a következők:

  • kezelt adatok köre;
  • adatkezelés időtartama;
  • a kezelt adatokhoz hozzáféréssel rendelkezők köre (ideértve az adattovábbítást is);
  • az adatkezeléssel érintett személyek köre.

Az EDPB hangsúlyozza továbbá, hogy az adatkezelő fogalmának nem eleme a személyes adatokhoz való tényleges hozzáférés.

  1. Az adatfeldolgozó meghatározása

A GDPR szerint adatfeldolgozónak minősül az a személy, aki az adatkezelési műveleteket az adatkezelő nevében végzi. Az EDPB az adatfeldolgozó azonosításánál két kifejezett, és egy implikált feltételt állapított meg. A két kifejezett feltétel a következő:

  • Az adatfeldolgozó az adatkezelőtől különálló személy;
  • Az adatkezelési műveleteket kizárólag az adatkezelő nevében végzi, az adatkezelő céljától és érdekétől eltérő bármely egyéb célból vagy érdekből nem kezeli.

A fentiekhez képest a harmadik, implikált feltétel, hogy az adatfeldolgozó diszkréciójába tartozik az adatkezelés nem lényeges eszközeinek megválasztása, mint például az adatok tárolásának a helye, az adatkezelési műveletekhez használt szoftver, módszertan.

Az adatkezelő és adatfeldolgozó között az adatfeldolgozás tárgyában írásbeli szerződésnek kell fennállnia, a szerződés hiánya mindkét szereplő részéről a GDPR megsértésének minősül.

Az EDPB kiemelte, hogy a GDPR szigorúbb kötelezettségeket ír elő az adatfeldolgozók részére is a korábbi szabályozáshoz képest. Az adatfeldolgozási szerződésben továbbá az adatkezelő közvetetten felelőssé teheti az adatfeldolgozót a GDPR szerint adatkezelő kötelezettségébe tartozó feladatok ellátásáért is, ezért az adatkezelő felelősségének korlátozása szempontjából minden adatkezelésnél az a legfontosabb, hogy felelős adatfeldolgozó kerüljön kiválasztásra, és az adatfeldolgozási szerződés kellően körültekintő legyen.

  1. Az adatkezelő, illetve adatfeldolgozó közvetlen irányítása alatt álló személy

Az adatkezelő és adatfeldolgozó fogalmához képest ritkábban tárgyalt szerep a GDPR 29. cikke szerinti, adatkezelő, illetve adatfeldolgozó közvetlen irányítása alatt személy, azonban a természetes személyek többsége e minőségben végez adatkezelési műveleteket a gyakorlatban.

Ebbe a kategóriába tartozik az a személy, aki nem különül el az adatkezelőtől vagy adatfeldolgozótól. Nem különül el például a cégtől az ügyvezetője, sem a cég valamely szervezeti egysége.

Szintén ebbe a kategóriába tartozik az a személy, aki ugyan az adatkezelő nevében végzi a műveleteket, de a műveletek tekintetében semmilyen önálló döntési jogosultsága nincs. Közvetlen irányítás alatt elsősorban a munkavállalók, illetve foglalkoztatottak állnak, ugyanakkor fontos megjegyezni, hogy az adatvédelmi jog szempontjából nem kizárólag a munka törvénykönyve szerinti munkaviszonyban állókat kell foglalkoztatottaknak tekinteni, hanem adott esetben a vállalkozási vagy megbízási jogviszonyban álló személyzetet is.

A közvetlen irányítás megállapítása során a jogviszony típusán túlmenően ezért célszerű a konkrét személy döntési jogosultságait, az adatkezelő vagy adatfeldolgozó szervezetébe történő betagozódását, és az adatkezelő vagy adatfeldolgozó irányítási jogkörét vizsgálni.

A közvetlen irányítás alatt álló személyekre egyetlen előírást tartalmaz a GDPR, miszerint a személyes adatokat az adatkezelő utasításától eltérően nem kezelhetik. Ezen személyek esetén is lehetőség, és egyben javasolt a GDPR szerinti kötelezettségek előírása, továbbá az adatvédelmi jogot sértő eljárás szankcionálása szerződésben vagy belső szabályzatban.

Amennyiben a fentiekkel kapcsolatban bármilyen kérdés merülne fel, állunk szíves rendelkezésükre.

CLVPartners hírek

Az EDPB új iránymutatása az adatkezelő és adatfeldolgozó fogalmáról Read More »

Alakuló joggyakorlat a GDPR alapján

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / / , , , , , , , ,

Az Általános Adatvédelmi Rendelet (GDPR) május 25-ei alkalmazandóvá válását követően már hat hónap eltelt. A GDPR számos olyan rendelkezést tartalmaz, amelyek tágabb teret engednek az értelmezésnek és a gyakorlati alkalmazásnak. Az Európai Adatvédelmi Testület és a nemzeti adatvédelmi hatóságok – így Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) – által kiadott általános iránymutatások és vélemények mellett az egyedi esetekben hozott döntések szolgálhatnak iránymutatásul ahhoz, hogy a GDPR rendelkezéseit miként kell értelmezni.

Természetesen időbe telik, amíg a GDPR alapján megszületnek az első döntések és ítéletek, azonban egyre több olyan döntésre és ítéletre számíthatunk, amelyek az adatvédelmi gyakorlatot alakítják.

Tapasztalataink szerint a NAIH aktív, sok eljárást indított a piaci szereplők adatkezelési gyakorlatának ellenőrzésére, az adatvédelmi jogszabályoknak való megfelelőség vizsgálatára.

Irodánk munkatársai folyamatosan figyelemmel kísérik a gyakorlat alakulását és az esetleges változásokról tájékoztatást nyújtanak.

Alakuló joggyakorlat a GDPR alapján Read More »

CLVPartners
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.