CLVPartners

CLV-02
Menu

Megfelelés

A kockázatalapú megközelítés a gyakorlatban: Tiltott MI-rendszerek az EU-ban

Hírek, Mesterséges intelligencia / / , , ,

Olvasási idő: 5 perc

Az Európai Unió úttörő jelentőségű szabályozása, a mesterséges intelligenciáról szóló rendelet („MI Rendelet”) nem pusztán újabb adminisztratív kötelezettséget jelent a vállalkozások számára, hanem a világ első olyan átfogó jogi keretrendszere, amely a mesterséges intelligencia fejlesztése és használata kapcsán kifejezetten az alapvető jogok és az emberi méltóság védelmét helyezi a technológiai fejlődés mellé – sőt, adott esetben elé. Cikksorozatunk korábbi részében bemutattuk, hogy e cél érdekében az MI Rendelet az úgynevezett kockázatalapú megközelítést alkalmazza, vagyis nem magát a technológiát minősíti, hanem annak konkrét felhasználási módját vizsgálja, amelynek keretében a mesterséges intelligencia-rendszereket négy különböző kockázati kategóriába sorolja.

Cikksorozatunk harmadik részében gyakorlati példákon keresztül mutatjuk be azokat az MI megoldásokat, amelyek az alapvető jogokra és az uniós értékekre nézve elfogadhatatlan kockázatot hordoznak, ezért az MI Rendelet alapján tiltott MI-rendszernek minősülnek.

Általános szabályok

Elsőként fontos kiemelni, hogy a tiltott MI-rendszerekre vonatkozó rendelkezések azon szabályok közé tartoznak, amelyek 2025. február 2. napjától alkalmazandóvá váltak. Ennek megfelelően az EU-ban a tiltott MI-rendszerek forgalomba hozatala, üzembe helyezése és használata – néhány kivételtől eltekintve – egyaránt tilos.

Ennek megfelelően a tiltott MI-rendszerek fejlesztése és használata súlyos jogszabálysértésnek minősül, amely jelentős szankciókat vonhat maga után. A kiszabható bírság mértéke akár a vállalkozás globális éves árbevételének 7%-át vagy a 35 millió eurót is elérheti.

Tiltott MI-rendszerek listája

Az alábbiakban az MI Rendelet által meghatározott tilalmazott tárgyköröket mutatjuk be gyakorlati példákkal személteve:

Szubliminális, célzottan manipulatív vagy megtévesztő technikák

A tilalom kiterjed az úgynevezett szubliminális, azaz a tudatküszöb alatti vagy azt megkerülő ingerek alkalmazására is. Ezek lényege, hogy rejtett módon működnek, így megkerülik az érintett személy tudatos feldolgozási és racionális védekezési mechanizmusait. Ilyen megoldás lehet például, amikor egy MI-rendszer videólejátszás közben rendkívül rövid ideig megjelenő képi vagy szöveges elemeket illeszt be, amelyek formálisan érzékelhetők, azonban olyan rövid ideig láthatók, hogy tudatos észlelésre nem alkalmasak, miközben mégis képesek befolyásolni a felhasználó attitűdjeit vagy viselkedését.

Szintén a tiltott kategóriába tartoznak a célzottan manipulatív technikák, amelyek érzékszervi vagy pszichológiai eszközök alkalmazásával próbálják torzítani a döntéshozatalt. Ide sorolhatók azok a megoldások is, amikor egy rendszer háttérhangok vagy vizuális elemek tudatos használatával idéz elő érzelmi vagy hangulati változásokat, ezáltal befolyásolva a felhasználó döntéseit.

Hasonlóan tilalmazottak a megtévesztő technikák is, amelyek az egyén autonómiájának, szabad akaratának vagy döntési szabadságának oly módon történő korlátozására irányulnak, hogy az érintett nem ismeri fel a befolyásolás tényét, vagy nem képes annak hatásait megfelelően kontrollálni. Erre példa lehet egy MI-alapú csevegőrobot, amely szintetikus hang alkalmazásával egy másik személy – például családtag vagy barát – személyazonosságát utánozza, és ezzel megtévesztve a felhasználót jogtalan előnyhöz vagy károkozáshoz juttatja az alkalmazót.

Sebezhetőséget kihasználó MI rendszerek

Tilosak azok az MI-rendszerek, amelyek bizonyos személyek vagy csoportok – például életkorukból, fogyatékosságukból, illetve szociális vagy gazdasági helyzetükből eredő – sebezhetőségét kihasználva működnek, és ezáltal különösen alkalmassá válnak manipulatív vagy kizsákmányoló gyakorlatokra.

Ilyen lehet például egy MI-rendszer, amely idős embereket céloz meg megtévesztő, személyre szabott ajánlatokkal vagy csalási kísérletekkel, kihasználva esetleges csökkent kognitív képességeiket. A rendszer célja, hogy olyan döntések meghozatalára ösztönözze őket, amelyeket egyébként nem hoznának meg, és amelyek várhatóan jelentős pénzügyi kárt okoznak számukra.

Társadalmi pontozás

Szintén tiltott az úgynevezett társadalmi pontozás (social scoring) alkalmazása, vagyis amikor egy MI-rendszer az egyének megbízhatóságát társadalmi viselkedésük vagy személyes jellemzőik alapján értékeli, és ehhez hátrányos következményeket kapcsol.

Erre példa lehet, ha egy magán-hitelintézet MI-rendszert alkalmaz az ügyfelek hitelképességének meghatározására és annak eldöntésére, hogy az érintett jogosult-e lakáshitelre, olyan személyes jellemzők alapján, amelyek nem állnak közvetlen kapcsolatban a hitelképesség vizsgálatának céljával.

Egyéni kockázatértékelés és a bűncselekmények előrejelzése

Az MI Rendelet tiltja azokat az MI-rendszereket, amelyek kizárólag profilalkotás vagy személyiségjegyek, illetve egyéni tulajdonságok értékelése alapján próbálják megállapítani vagy előre jelezni, hogy egy természetes személy bűncselekményt követhet el.

Erre példa lehet, ha egy hatóság olyan rendszert alkalmaz, amely az egyének életkora, állampolgársága, lakcíme, gépjárművének típusa és családi állapota alapján próbál bűnözői magatartásra – például terrorizmus elkövetésére – következtetni vagy annak kockázatát előre jelezni.

Arcfelismerő adatbázis létrehozása

Az MI Rendelet tiltja az olyan MI-rendszereket, amelyek arcképek internetes forrásokból vagy zártláncú televíziós felvételekből történő, célzottan nem irányított gyűjtésével hoznak létre vagy bővítenek arcfelismerő adatbázisokat.

Tilos tehát például az a gyakorlat, amikor egy arcfelismerő szoftvereket fejlesztő vállalat automatizált eszközökkel közösségi médiafelületekről – például Facebookról, YouTube-ról vagy más platformokról – gyűjt arcképeket. Ilyenkor a rendszer az interneten elérhető képek között emberi arcokat keres, majd az így összegyűjtött felvételekből adatbázist épít vagy bővít.

Érzelemfelismerő rendszerek a munkahelyen, valamint iskolában

Az MI Rendelet tiltja, hogy az MI-rendszerek a munkahely és az oktatási intézmények területén természetes személyek érzelmeire következtessenek, kivéve, ha a rendszer használata orvosi vagy biztonsági okokból történik.

Ennek megfelelően például nem megengedett, hogy egy munkáltató olyan technológiát alkalmazzon, amely a munkavállalók arckifejezése, testtartása vagy hangja alapján következtet azok érzelmi állapotára, és az így nyert információkat teljesítményértékeléshez vagy HR-döntésekhez használja fel.

Személyek biometrikus kategorizálására használt rendszerek

Az MI Rendelet tiltja az olyan biometrikus kategorizálási rendszereket, amelyek természetes személyeket biometrikus adataik alapján egyénileg kategorizálnak, hogy ezáltal levezessék vagy kikövetkeztessék faji hovatartozásukat, politikai véleményüket, szakszervezeti tagságukat, vallási vagy világnézeti meggyőződésüket, szexuális életüket vagy szexuális irányultságukat.

Így például tilos alkalmazni egy olyan MI-rendszert, amely egy közösségimédia-platformon aktív személyeket a platformra feltöltött fotók biometrikus adatainak elemzésével a feltételezett politikai irányultságuk alapján kategorizálja, hogy célzott politikai üzeneteket küldjön nekik.

Valós idejű, távoli biometrikus azonosításra használt AI-rendszerek nyilvános helyeken bűnüldözési célból

Végezetül az MI Rendelet főszabály szerint tiltja a távoli biometrikus azonosító rendszerek bűnüldözési célú alkalmazását nyilvánosan hozzáférhető helyeken. Ezek a rendszerek az egyént annak aktív közreműködése nélkül, távolról azonosítják, úgy, hogy biometrikus adatait egy meglévő adatbázis adataival vetik össze. A valós idejű működés azt jelenti, hogy az összehasonlítás és az azonosítás a biometrikus adatok rögzítésével egyidejűleg vagy csak minimális késleltetéssel történik.

Ilyen rendszerre példa, amikor metróállomásokon vagyonvédelmi és biztonsági célból elhelyezett kamerákat olyan rendszerekkel kapcsolnak össze, amelyek valós időben képesek a gyanúsítottak azonosítására egy adatbázis alapján.

A tiltás oka elsősorban az, hogy az ilyen rendszerek technikai pontatlansága miatt téves vagy torz eredményeket adhatnak, ami akár diszkriminatív hatásokhoz is vezethet. Emellett a lakosság széles körének magánszféráját érinthetik, és az állandó megfigyelés érzetét kelthetik.

Ugyanakkor az MI Rendelet meghatározott kivételeket is rögzít, például eltűnt személyek felkutatása, emberrablás vagy emberkereskedelem áldozatainak azonosítása, illetve a szexuális kizsákmányolás esetei, amelyekben a valós idejű biometrikus azonosítás korlátozottan megengedett.

Összegzés

Az MI Rendelet kockázatalapú megközelítése világos és következetes keretrendszert teremt a mesterséges intelligencia alkalmazásának európai szabályozásában. Ennek lényege, hogy a jogalkotó nem magát a technológiát, hanem annak konkrét felhasználási módját és társadalmi hatásait értékeli. Ennek eredményeként egyrészt teljeskörűen tiltásra kerülnek azok az MI‑rendszerek, amelyek elfogadhatatlan kockázatot jelentenek az alapvető jogokra és az uniós értékekre.

Kép forrása: pexels.com, panumas nikhomkhai

A kockázatalapú megközelítés a gyakorlatban: Tiltott MI-rendszerek az EU-ban Read More »

Mesterséges intelligencia és adatvédelem a vállalati gyakorlatban

Adatvédelem, Hírek, Mesterséges intelligencia / / , , , , ,

Olvasási idő:5 perc

A mesterséges intelligencia (a továbbiakban úgy is mint MI vagy AI) alkalmazása ma már nem csupán technológiai kérdés, hanem egyre inkább adatvédelmi és megfelelőségi kihívás is. Legyen szó az ügyféladatok elemzéséről, automatizált ügyfélszolgálati chatbotokról, egy vállalkozás szolgáltatásainak biztosítása, fejlesztése, valamint a működési hatékonyság növelése érdekében alkalmazott eszközökről, vagy akár a HR-folyamatok hatékonyságának növeléséről, az MI-rendszerek drasztikus versenyelőnyt biztosítanak. A személyes adatok kezelése miatt az általános adatvédelmi rendelet (GDPR) szabályai továbbra is alkalmazandók, miközben a mesterséges intelligenciáról szóló EU rendelet (AI Rendelet, vagy AI Act) további kötelezettségeket is bevezet. Jelen cikkünkben áttekintjük, hogy a vállalati AI-használat során milyen főbb adatvédelmi és AI Rendelet szerinti szempontokat szükséges mérlegelni a megfelelés érdekében.

Az automatizáció jogi jelentősége

A gyakorlatban az egyik legfontosabb kérdés, hogy az adott AI-rendszer pontosan milyen szerepet tölt be az adatkezelési folyamatban. Az alkalmazott technológia működése és az adatok felhasználásának módja ugyanis alapjaiban minősíti az AI-rendszert, és meghatározza a vállalkozás adatvédelmi és MI-megfelelőségi kötelezettségeit is. Az adatok kezelése kapcsán lényeges különbség van az automatizált adatkezelés, a profilalkotás és az automatizált döntéshozatal között:

Automatizált adatkezelés:

Alapvetően technikai folyamatot jelent; abban az esetben automatizált az adatkezelés, ha az adatok gyűjtése, rendszerezése és kinyerése emberi beavatkozás nélkül, szoftveresen történik (például egy rendszer automatikusan ABC-rendbe állítja a beérkező pályázatokat, vagy kategorizálja a beérkező ügyféligényeket, dokumentumokat).

Profilalkotás:

A GDPR szerint profilalkotásról beszélünk, ha a rendszer nemcsak rendszerezi az adatokat, hanem az érintettekről következtetéseket von le, értékeli vagy rangsorolja őket. Ha a rendszer a személyes adatok alapján az érintett bizonyos személyes jellemzőit – így gazdasági helyzetét, preferenciáit, érdeklődési körét, megbízhatóságát, vagy akár képességeit, alkalmasságát – pontozza, vagy bármilyen formában szűri, az profilalkotásnak minősülhet.

Automatizált döntéshozatal:

Akkor valósul meg, ha a folyamat nemcsak technikailag automatizált, hanem maga az MI-rendszer hozza meg a végső döntést emberi beavatkozás nélkül, és ez a döntés a jelöltre nézve joghatással jár vagy őt jelentős mértékben érinti. Tipikus eset, ha a szoftver emberi jóváhagyás nélkül, automatikusan elutasítja (kizárja) a jelentkezőt a toborzási folyamatból valamely feltétel alapján.

A gyakorlatban a fenti kategóriák sokszor nem elkülönült tevékenységek. Egy egyszerű technikai automatizáció is könnyen válhat olyan folyamattá, amely már profilalkotási vagy automatizált döntéshozatali kérdéseket vet fel. Éppen ezért minden AI-alapú folyamatot külön szükséges vizsgálni az adatok felhasználása és a rendszer tényleges működése alapján.

Adatkezelési szempontú teendők

Ha a vállalat MI-technológiát integrál a belső folyamataiba vagy az ügyfeleknek nyújtott szolgáltatásaiba, a rendszer működésének sajátosságai alapján adatvédelmi szempontból minősíteni kell az adatok kezelésének módját. Ennek során szükséges feltárni, hogy történik-e profilalkotás, automatizált adatkezelés, és megítélni, hogy van-e olyan körülmény, amely miatt adatvédelmi hatásvizsgálatot (DPIA) kell lefolytatni.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) kötelező listája és iránymutatásai szerint az új technológiák alkalmazása önmagában is magas kockázatot hordozhat, de a hatásvizsgálat elvégzése teljesen elkerülhetetlenné válik az olyan adatkezelések esetén, amelyek célja a természetes személyek személyes jellemzőinek értékelése, pontozása vagy előrejelzése, vagy az automatizált döntéshozatali eljárások esetén, ahol az MI emberi beavatkozás nélkül zár ki vagy utasít el érintetteket (például egy toborzási szűrés során), valamint akkor is, ha a technológiát a munkavállalók teljesítményének és produktivitásának szisztematikus, szoftveres monitorozására használják.

A technológia alkalmazásához emellett elengedhetetlen a megfelelő adatkezelési jogalap biztosítása, egyes esetekben az érintett hozzájárulásának beszerzésére lehet szükség. Ezen felül a GDPR és az AI Rendelet által megkövetelt átláthatósági elvekkel összhangban, világosan és érthetően tájékoztatni kell az érintetteket az MI alkalmazásáról, céljáról, a gép működési logikájáról, továbbá az őket megillető olyan alapvető jogokról, mint a hozzáférés, a törlés, a tiltakozás, valamint az a kiemelten fontos lehetőség, hogy a gép döntésével szemben emberi felülvizsgálatot kérhessenek.

A gyakorlatunk alapján az alábbiak a leggyakrabban előforduló MI-szoftverek, amelyeket alkalmaznak a vállalatok és amelyek személyes adatok kezelésével járnak, emiatt szükségessé teszik az adatkezelési dokumentáció felülvizsgálatát:

ChatGPT

Microsoft 365 Copilot

Google Gemini

PerplexityClaude

Összegzés

A mesterséges intelligencia bevezetése nem csupán IT-kérdés, hanem komoly jogi megfelelési projekt is. Mivel az MI-alapú rendszerek működése szinte minden esetben személyes adatok kezelésével jár, a GDPR szigorú előírásai és a hatósági elvárások miatt ezekkel a kérdésekkel célszerű még a rendszerek alkalmazásának megkezdése előtt foglalkozni. A transzparens, biztonságos és már a tervezési fázistól kezdve jogszerű működés kialakítása nemcsak a jogi kockázatokat minimalizálja, hanem a hosszú távú üzleti sikerek alapfeltétele is. Amennyiben egy társaság tervez bevezetni vagy már bevezetett MI-megoldást, szükséges azt felülvizsgálni adatkezelési szempontból is és megfelelően frissíteni az adatkezelési dokumentációt.

Kép forrása: pexels.com, Egor Komarov

Mesterséges intelligencia és adatvédelem a vállalati gyakorlatban Read More »

MI Rendelet hatályával kapcsolatos kérdések

Hírek, Mesterséges intelligencia / / , , , , , ,

Olvasási idő: 5 perc

2024. június 12-én új korszak kezdődött a mesterséges intelligencia („MI”) szabályozásában: elfogadásra és közzétételre került az Európai Uniómesterséges intelligenciáról szóló rendelete („MI Rendelet”). A jogszabály célja, hogy keretet adjon az MI biztonságos, átlátható és felelős fejlesztésének és alkalmazásának az Európai Unióban. Annak érdekében, hogy megfelelően értelmezni tudjuk az MI Rendeletben előírt kötelezettségeket, mindenekelőtt azt kell tisztázni, hogy pontosan milyen szervezetekre, tevékenységekre vagy technológiai megoldásokra vonatkozik a szabályozás.

Cikksorozatunk második részében ezért az MI Rendelet hatályával kapcsolatos legfontosabb szabályokat vesszük górcső alá, hogy segítsünk ügyfeleinknek időben megkezdeni a megfelelésre való felkészülést, és felismerni, ha működésük során olyan MI-rendszereket fejlesztenek vagy használnak, amelyekre az MI Rendelet előírásai alkalmazandók.

MI Rendelet hatályával kapcsolatos legfontosabb szabályok

MI Rendelet szabályozásának tárgya

Az MI Rendelet alapvetően az MI-rendszerek szabályozására terjed ki. Ennek megfelelően elsőként fontos azt azonosítani, hogy mi minősül MI rendszernek.

A MI Rendelet alapján az MI-rendszer olyan gépi alapú rendszer, amelyet kifejezetten úgy terveztek, hogy különböző szintű autonómiával működjön, és a telepítését követően képes legyen alkalmazkodni. Ezek a rendszerek explicit vagy implicit célok érdekében elemzik a kapott bemeneteket, és azok alapján generálnak kimeneteket – például előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket –, amelyek hatással lehetnek a fizikai vagy virtuális környezetre.

A MI-rendszereket alapvetően az különbözteti meg a hagyományos szoftvermegoldásoktól, hogy képesek a bemeneti adatokból tanulni, azok alapján következtetéseket levonni, illetve modelleket alkotni. Ezzel szemben a klasszikus programozási megközelítésekre épülő, egyszerűbb szoftverrendszerek – ideértve azokat a rendszereket is, amelyek kizárólag előre meghatározott, ember által rögzített szabályok alapján hajtanak végre automatizált műveleteket – nem rendelkeznek ilyen tanulási vagy adaptációs képességekkel. Ennek következtében ezek a megoldások nem minősülnek MI-rendszernek, és így a vonatkozó szabályozás hatálya sem terjed ki rájuk.

Hagyományos szoftvermegoldásnak tekinthetők például az olyan alkalmazások, amelyek működése teljes mértékben előre meghatározott szabályokon alapul, és nem képesek önálló tanulásra vagy adaptációra. Ilyen lehet többek között egy hagyományos számológép, a Microsoft Excel egyes alapvető funkciói, illetve azok a pénzügyi előrejelzésekhez használt teljesítményértékelő szoftverek, amelyek kizárólag múltbeli adatok feldolgozására és egyszerű statisztikai következtetések levonására alkalmasak.

Fontos továbbá kiemelni, hogy az MI-rendelet főszabály szerint bizonyos speciális területekre nem alkalmazandó. A szabályozás hatálya nem terjed ki a katonai, védelmi vagy nemzetbiztonsági célból alkalmazott MI-rendszerekre, valamint azokra a rendszerekre, modellekre és eredményekre sem, amelyeket kifejezetten tudományos kutatás és fejlesztés céljára hoztak létre. Emellett a rendelet nem vonatkozik azokra a természetes személyekre sem, akik az MI-rendszereket kizárólag személyes, nem szakmai célból használják.

Területi és személyi hatály

Az MI Rendelet hatálya nem korlátozódik kizárólag az Európai Unió területén letelepedett szereplőkre. A szabályozás minden olyan MI-rendszerre alkalmazandó, amelyet az Európai Unió belső piacán hoznak forgalomba, helyeznek üzembe vagy használnak. Ennek megfelelően a rendelet bizonyos esetekben az Unión kívül letelepedett szereplőkre is kiterjed.

A szabályozás alapvetően minden olyan szereplőre kiterjed, aki kapcsolatba kerül MI-rendszerekkel a fejlesztéstől a felhasználásig. Ennek megfelelően a MI Rendelet hatálya alá tartozhatnak többek között a fejlesztők, szolgáltatók, forgalmazók, importőrök, telepítők, üzemeltetők, valamint a rendszerek felhasználói is

Időbeli hatály

Az MI Rendelet rendelkezései fokozatosan lépnek hatályba.

Ugyanakkor fontos hangsúlyozni, hogy az MI Rendelet egyes előírásai már jelenleg is hatályosak. Ezek közé tartoznak többek között a fogalommeghatározásokra vonatkozó rendelkezések, az elfogadhatatlan kockázatot jelentő – azaz tiltott – MI-rendszerekre vonatkozó szabályok, az általános célú MI-modellekre irányadó kötelezettségek, valamint az MI-jártasságra, a hatósági felügyeletre és a szankciókra vonatkozó előírások.

Kiemelt jelentőséggel bír az úgynevezett MI-jártasság követelménye. E rendelkezés értelmében az MI-rendszert alkalmazó szervezetek kötelesek biztosítani, hogy a rendszert kezelő vagy működtető személyek megfelelő szintű ismeretekkel rendelkezzenek az MI-vel kapcsolatban.

Az MI Rendelet hatályos szövege szerint a rendelkezések túlnyomó része 2026. augusztus 2-án válik alkalmazandóvá. Mindazonáltal az Európai Bizottság a digitális omnibusz csomag keretében már 2025 novemberében javaslatot tett arra, hogy egyes szabályok alkalmazását legfeljebb 18 hónappal elhalasszák.

A végrehajtással kapcsolatban további bizonytalanságot okoz, hogy a Bizottságnak 2026. február 2-ig iránymutatást kellett volna közzétennie a nagy kockázatú MI-rendszerek besorolásáról. Ez az iránymutatás kulcsfontosságú annak meghatározásához, hogy egy adott MI-alkalmazás magas kockázatúnak minősül-e, és ennek következtében szigorúbb dokumentációs, megfelelési és felügyeleti követelmények vonatkoznak-e rá. Az iránymutatás közzététele azonban egyelőre elmaradt. Emellett több tagállamban is nehézségek merültek fel a rendelet végrehajtásáért felelős hatóságok kijelölésében.

Mindezek következtében a hatálybalépés és az egyes rendelkezések gyakorlati alkalmazása tekintetében jelenleg is jelentős bizonytalanság tapasztalható.

Hazai szabályozás

A rendeleti forma miatt a magyar szabályozás alapvetően kiegészítő jellegű az uniós szabályokhoz képest. Ennek megfelelően az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról szóló 2025. évi LXXV. törvény („MI Törvény”) kizárólag azokra az ügyekre, szervezetekre és MI-rendszerekre vonatkozik, amelyek Magyarországot vagy annak területét érintik.

Az időbeli hatály tekintetében a MI Törvény főszabályként 2025 decemberétől alkalmazandó, azonban kivételt képez a szabályozói tesztkörnyezetre vonatkozó rendelkezés, amely 2026. augusztus 2-án lép hatályba.

Összegzés:

Az MI Rendelet azokat a rendszereket szabályozza, amelyek képesek a bemeneti adatok alapján tanulni, következtetéseket levonni vagy autonóm módon kimeneteket generálni, míg a kizárólag előre meghatározott szabályok szerint működő hagyományos szoftverek nem tartoznak a hatálya alá. Az MI Rendelet területi hatálya széles, mivel nemcsak az EU-ban letelepedett szereplőkre vonatkozik, hanem azokra is, akik az uniós piacon hoznak forgalomba MI-rendszereket vagy azok kimeneteit az EU-ban használják. A szabályozás a fejlesztéstől a felhasználásig valamennyi érintett szereplőre kiterjed. Bár az MI Rendelet szabályai fokozatosan válnak alkalmazandóvá, több kulcsfontosságú rendelkezés már hatályos, ugyanakkor a végrehajtással kapcsolatos iránymutatások és intézményi feltételek hiánya jelenleg bizonytalanságot okoz a gyakorlati alkalmazásban.

Kép forrása: pexels.com, Tara Winstead

MI Rendelet hatályával kapcsolatos kérdések Read More »

Az Európai Adatvédelmi Testület aktuális tevékenységei az adatvédelmi megfelelés érdekében

Adatvédelem, Hírek / / , , , , , ,

Olvasási idő: 7 perc

Az Európai Adatvédelmi Testület közzétette a 2026. február 11-én elfogadott, a 2026–2027. évekre szóló munkaprogramját (a továbbiakban: „Program”). A Program nemcsak stratégiai irányokat, hanem konkrét, a szervezetek mindennapi megfelelését segítő eszközöket is kijelöl. Jelen cikkünkben a konzultáció eredményét és az Európai Adatvédelmi Testület Programban foglalt terveit foglaljuk össze.

Előzmények

Az Európai Adatvédelmi Testület a 2024–2027-es stratégiájában négy, egymásra épülő prioritást jelölt ki. Ezek közé tartozik az adatvédelmi szabályok egységes és következetes érvényesítésének erősítése, valamint a szervezetek jogkövető működésének támogatása. Kiemelt cél továbbá az adatvédelmi hatóságok közötti – különösen határokon átnyúló – együttműködés elmélyítése. A stratégia hangsúlyt helyez arra is, hogy az adatvédelem megfelelően érvényesüljön a gyorsan fejlődő digitális és több szabályozási területet érintő környezetben – ideértve például a mesterséges intelligencia alkalmazásait is. Emellett az Európai Adatvédelmi Testület célja a magánélet és a személyes adatok védelméről szóló nemzetközi párbeszéd aktív ösztönzése és formálása. A Program az Európai Adatvédelmi Testület a 2024–2027 közötti időszakra vonatkozó stratégiájának végrehajtását segíti, az abban meghatározott prioritásokon és az érdekelt felek számára legfontosabbnak ítélt szükségleteken alapul.

A Program fő elemei

A Program az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”) következetes alkalmazására épít, és négy pillér mentén határozza meg az Európai Adatvédelmi Testület 2026-2027 évi tevékenységét: harmonizáció és megfelelés, közös végrehajtási kultúra, a digitális szabályozási környezet kihívásai, valamint a globális adatvédelmi párbeszéd.

Harmonizáció és jogértelmezési egyértelműség

Az Európai Adatvédelmi Testület továbbra is részletes, ugyanakkor közérthető iránymutatásokat kíván kiadni olyan témákban, melyeket kulcsfontosságúnak tart az érdekelt felek rendezvényeken és konzultációkon jelzett tapasztalatai, visszajelzései alapján, mint anonimizálás és álnevesítés; jogos érdek alapján történő adatkezelés; „consent or pay” modellek; az adatvédelmi tisztviselőkre vonatkozó iránymutatás célzott frissítése.

Az Európai Adatvédelmi Testület emellett új eszközökkel kívánja elősegíteni a GDPR alkalmazását, különösen a kis-és középvállalkozások számára, így sablonok, útmutatók kiadását tervezik. Az Európai Adatvédelmi Testület ennek érdekében 2025. november 5. és december 3. között nyilvános konzultációt folytatott annak feltérképezésére, hogy milyen gyakorlati sablonok segítenék leginkább a szervezetek GDPR-megfelelését.

A visszajelzések alapján a legnagyobb igény az adatkezelési tevékenységek nyilvántartására, az adatvédelmi hatásvizsgálatra, a jogos érdek mérlegelési tesztre, az adatvédelmi tájékoztató sablonjára, az adattovábbítási hatásvizsgálatra, az adatfeldolgozási szerződésmintára, az adatvédelmi incidens-bejelentő űrlapra és a kockázatértékelési sablonra mutatkozott. Az Európai Adatvédelmi Testület a Programba végül három kiemelt sablon – a jogos érdek mérlegelési teszt, az adatkezelési tevékenységek nyilvántartása és az adatvédelmi tájékoztató – kidolgozását emelte be, azzal a céllal, hogy ezek egységes, gyakorlatorientált támogatást nyújtsanak a szervezetek számára, különösen a kisebb erőforrással rendelkező szereplők esetében.

Az Európai Adatvédelmi Testület ezen felül támogatja az adatkezelők és adatfeldolgozók számára előírt megfelelési intézkedések kidolgozását és végrehajtását például tanúsítási rendszerekkel, magatartási kódexekkel és akkreditációval kapcsolatos vélemények kiadásával.

Erősebb végrehajtási kultúra és együttműködés

A második pillér célja a GDPR alkalmazásának és végrehajtásának következetessége, valamint tagjai közötti együttműködés fokozása. Az Európai Adatvédelmi Testület továbbra is támogatni fogja az együttműködés és a végrehajtási eszközök fejlesztését, valamint előmozdítja a szakértelem megosztását. Az erőfeszítések arra is összpontosulnak, hogy a prioritást élvező kérdésekre nagyobb figyelmet fordítsanak és megteremtsék az összhangot.

E célok mentén az Európai Adatvédelmi Testület a GDPR következetes alkalmazására és a hatóságok közötti hatékony együttműködésre koncentrál. Ennek érdekében frissíti többek között a határokon átnyúló ügyek kezelésére vonatkozó iránymutatásokat, a bírságkiszabási elveket, a kölcsönös segítségnyújtás és sürgősségi eljárások szabályait. A koordinált végrehajtási kerettel (CEF) kapcsolatos fellépés körében 2026-ban a GDPR 12-14. cikkei szerinti, az érintettek részére nyújtandó átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedésekkel kapcsolatos kötelezettségek teljesítésére fókuszál. Szükség esetén munkacsoportokat hoz létre, hogy operatív platformokat biztosítsanak az érvényesítéssel kapcsolatos ügyekben történő együttműködést igénylő esetekhez. A következetességi mechanizmus hatékony működésének biztosítása érdekében a nemzeti felügyeleti hatóságok részére szóló véleményeket fogad el, melyek célja a következetes döntéshozatal támogatása.

Adatvédelem a digitális jogszabályok metszéspontjában

Az Európai Adatvédelmi Testület kiemelt célja a különböző uniós digitális jogszabályok közötti koherencia biztosítása. A gyorsan változó technológiai és piaci környezetben az adatvédelem már nem önálló szabályozási terület, hanem számos más uniós jogszabállyal (mint például a mesterséges intelligenciáról szóló rendelet) szoros kölcsönhatásban érvényesül. Ennek megfelelően egyre nagyobb jelentősége van az egységes értelmezésnek, a hatóságok közötti összehangolt fellépésnek és a világos iránymutatásoknak. Ezért az Európai Adatvédelmi Testület együttműködik más szabályozó hatóságokkal az adatvédelemmel kapcsolatos kérdésekben, hogy támogassa az új, szabályozási határokon átnyúló környezetet, például a versenyhatóságokkal, a fogyasztóvédelmi hatóságokkal és más jogi aktusok alapján illetékes hatóságokkal. Technológiai szinten napirenden lesz a generatív mesterséges intelligencia, a telemetriai és diagnosztikai adatok, valamint a blokklánc adatvédelmi kérdéseinek vizsgálata.

Globális adatvédelmi párbeszéd és adattovábbítás

Az Európai Adatvédelmi Testület továbbra is előmozdítja a magánélet és az adatvédelemről szóló globális párbeszédet, különös tekintettel a tagjai és a harmadik országok hatóságai közötti nemzetközi együttműködésre a végrehajtás terén. Cél a harmadik országok hatóságaival való együttműködés erősítése, különösen azokkal, amelyek uniós megfelelőségi határozattal rendelkeznek.

Összegzés: több támogatás, nagyobb jogbiztonság

A Program egyik legfontosabb üzenete, hogy az adatvédelmi megfelelés nem pusztán ellenőrzési kérdés, hanem támogatható, strukturálható folyamat. A sablonok kidolgozása, a harmonizált iránymutatások és a megerősített hatósági együttműködés mind azt a célt szolgálják, hogy a GDPR alkalmazása kiszámíthatóbbá és gyakorlatiasabbá váljon. Ugyanakkor továbbra is minden szervezetnek a saját üzleti folyamataira és adatkezelési kockázataira kell szabnia az adatkezelési dokumentumokat és folyamatokat. Az Európai Adatvédelmi Testület ezzel egyszerre kívánja erősíteni az alapjogok védelmét, támogatni a szervezetek működését és biztosítani, hogy az európai adatvédelem a gyorsan változó digitális környezetben is koherens és versenyképes maradjon.

Kép forrása: pexels.com, MART PRODUCTION

Az Európai Adatvédelmi Testület aktuális tevékenységei az adatvédelmi megfelelés érdekében Read More »

A munkáltató működésével összefüggő okra alapított felmondások esetei, jogi keretei a gyakorlatban

Munkajog, Hírek / / , , , , , ,

Olvasási idő: 5 perc

A munkaviszony megszüntetése a munkajog egyik legösszetettebb, fokozott körültekintést igénylő területe. A jogszerű eljárás biztosítása érdekében elengedhetetlen, hogy a munkáltató pontosan ismerje a vonatkozó jogszabályokat, valamint a feleket megillető jogokat és őket terhelő kötelezettségeket. Ezért a megfelelés érdekében cikkünkben áttekintjük a munkáltatói felmondás lehetséges okait, azon belül pedig részletesen ismertetjük a munkáltató működésével összefüggő okra alapított felmondásokra vonatkozó gyakorlati szempontokat.

Munkaviszony munkáltató általi megszüntetésére irányadó főbb szabályok

A munkajogi szabályozás rendeltetését elsősorban a munkajog szociális funkciója, valamint a felek közötti alá-fölérendeltségi viszony határozza meg. Ebből következően a Munka Törvénykönyvéről szóló 2012. évi I. törvény („Munka Törvénykönyve”) részletesen rögzíti, hogy a munkáltató milyen anyagi jogi és eljárási feltételek fennállása esetén jogosult a munkavállaló munkaviszonyát megszüntetni.

A munkaviszony megszüntetésének egyik módja lehet a munkáltató által közölt felmondás. Amikor felmerül a munkáltató oldaláról a munkaviszony felmondással történő megszüntetésének igénye, meg kell vizsgálni, hogy a jogszabály által megkövetelt alappal rendelkezik-e.

Határozatlan idejű munkaviszony esetén a felmondás oka kizárólag a

munkavállaló képessége,

magatartása, vagy

a munkáltató működésével összefüggő ok lehet.

Látható tehát, hogy az okcsoportok két nagyobb kategóriába sorolhatóak attól függően, hogy azok a munkavállalóhoz vagy a munkáltatóhoz kapcsolódnak.

A gyakorlatban sokszor nem határolható el élesen, hogy a kifogásolt körülmény a munkavállaló képességével vagy magatartásával függ össze (pl.: teljesítményproblémák esetén sokszor nem teljesen egyértelmű, hogy azt a munkavállaló hozzáállása vagy képességbeli hiányai okozzák). Más esetekben viszont élesen elkülönülnek ezek a körülmények (pl.: a munkavállaló rendszeres késése tipikusan magatartásbeli, míg az egészségi alkalmatlanság vagy a szükséges nyelvtudás meg nem léte képességbeli hiányoságokra utal). Természetesen bármelyik esetkör megalapozhatja a munkáltató felmondási jogát.

A másik nagy esetkör a munkáltató működésével összefüggő ok lehet, amelynek elnevezéséből adódóan is látszik, hogy független a munkavállaló magatartásától, illetve képességétől. Előfordul, hogy a munkáltatónál a megrendelések száma csökken, a gazdasági környezet kedvezőtlenül alakul, vagy, hogy a versenyképesség fenntartása érdekében szervezeti átalakításra, átszervezésre, ill. kiszervezésre van szükség. Természetesen ilyen esetekben is felmerülhet egyes munkaviszonyok megszüntetésének az igénye, amely csakugyan jogszerű alapja lehet a munkáltatói felmondásnak. Mivel jelen cikkünk kifejezetten a munkáltató működésével összefüggő okra alapított felmondásokra fókuszál, a továbbiakban ezt az okcsoportot ismertetjük részletesen.

A munkáltató működésével összefüggő felmondás okai és szabályai

Elsőként érdemes hangsúlyozni, hogy a munkáltató működésére alapított felmondási ok egy átfogó kategória, hiszen az számos specializált, gazdasági indíttatású döntést foglalhat magában, amelyek taxatív törvényi felsorolása nem lenne életszerű. Az alábbiakban néhány tipikus esetkört ismertetünk, utalva rá, hogy ezek akár együttesen is megvalósulhatnak.

Munkakör megszüntetésről beszélhetünk akkor, amikor a munkáltató egy adott munkakört a szervezeten belül teljesen megszüntet és így ezzel összefüggésben valamennyi, az adott munkakörben dolgozó munkavállaló munkaviszonya megszüntetésre kerül.

A fentiekkel ellentétben, nem munkakör megszüntetésről, hanem létszámcsökkentésről van szó akkor, amikor a munkáltató az adott pozíciót nem, de az abban foglalkoztatott munkavállalók létszámát (pl.: a feladatok csökkenése, digitalizáció okán) csökkenti. Bár a döntés gazdasági racionalitását, illetve a kiválasztás szempontjait a bíróság nem vizsgálja, természetesen ilyenkor is figyelemmel kell lenni az alapelvekre – különös tekintettel például az egyenlő bánásmód követelményére, illetve a joggal való visszaélés tilalmára.

A minőségi csere szintén a munkáltatói érdek- és döntési körbe tartozó felmondási okok egyike. A csere háttere, hogy a munkáltató úgy dönt, a jövőben többletkvalitásokkal rendelkező munkavállalóval tölti be az adott munkakört, például adott nyelv ismeretét vagy többletképzettséget vár el a munkakör betöltőjétől.

Másik tipikus eset szokott lenni, amikor a munkáltató úgy dönt, hogy a feladatok ellátását a jövőben másképpen szervezi meg, például klasszikus munkaviszonyban foglalkoztatott munkavállalók alkalmazása helyett munkaerő-kölcsönzési, egyszerűsített foglalkoztatási vagy vállalkozási/megbízási jogviszonyok létesítésével.

A felmerülő okok közös jellemzője, hogy a munkáltató szervezeti vagy gazdálkodási döntéseinek célszerűségét önmagában nem lehet megkérdőjelezni. Ennek megfelelően a bíróság az átszervezéssel összefüggő felmondásokat nem minősítheti jogellenesnek pusztán azért, mert a döntés célszerűsége, gazdasági racionalitása vitatható. Hasonlóképpen a munkavállaló sem hivatkozhat sikeresen arra, hogy a felmondás alapjául szolgáló intézkedés nem volt gazdaságilag racionális. Fontos azonban, hogy a munkavállaló munkaviszonya megszüntetésének oka okszerű kell, hogy legyen, vagyis az említett gazdasági okkal összefüggésben kell, hogy álljon a kiválasztott munkavállaló leépítése.

Csoportos létszámcsökkentésre irányadó szabályok alkalmazása

Amennyiben a munkáltató működésére hivatkozva, viszonylag rövid időtartamon belül meghatározott számú munkavállaló munkaviszonyát szünteti meg, a döntés csoportos létszámcsökkentésnek minősülhet. Ebben az esetben a munkáltatót speciális eljárási, egyeztetési és tájékoztatási kötelezettségek terhelik. Ennek oka, hogy ilyen esetben a munkavállalók nagyobb körét érinti a felmondás, amely egyéni és társadalmi szinten is kihívást okozhat. Mivel nagyszámú munkavállaló kerülhet a munkaerőpiacra hirtelen, ennek ellensúlyozásaképpen a törvény meghatározott, garanciális elemeket tartalmazó eljárásrend követését írja elő. A szabályok azt hivatottak szolgálni, hogy mind az érintett munkavállalók, mind a munkaerőpiac, illetve a munkavállaló mihamarabbi elhelyezkedését segítő állami foglalkoztatási szerv is fel tudjon készülni a változásra. Ennek részletes szabályait cikksorozatunk következő részében részletesen is ismertetjük.

Összefoglalás

Összességében elmondható, hogy a munkaviszony megszüntetése a munkajog egyik legösszetettebb területe, amelynek kiemelt célja a munkavállaló és a munkáltató közötti hatalmi egyensúly kiegyenlítése. A munkáltatói felmondás egyik lehetséges indoka a munkáltató működésével összefüggő ok, amely a szervezet átalakításának vagy a gazdasági stabilitás megőrzésének eszköze lehet. Az ilyen indokra alapított felmondások esetén különösen fontos a szabályozás alapos ismerete, hiszen, ha rövid időn belül meghatározott számú munkavállaló munkaviszonyát szünteti meg a munkáltató erre az okra hivatkozva, a döntés csoportos létszámcsökkentésnek minősülhet, amely speciális eljárási kötelezettséggel jár.

Kép forrása: pexels.com, Jahoo Clouseau

A munkáltató működésével összefüggő okra alapított felmondások esetei, jogi keretei a gyakorlatban Read More »

Munkavédelmi szabályok év eleji változása

Hírek, Munkajog / / , , , , , ,

Olvasási idő: 7 perc

Ahogyan arról rendkívüli hírlevelünkben írtunk, a munkavédelemről szóló 1993. évi XCIII. törvény („Munkavédelmi Törvény”) 2026. január 1-től új szabályokat ír elő az egészséget nem veszélyeztető és biztonságos munkavégzés feltételeinek biztosítása kapcsán a munkáltató szervezetek részére. Jelen cikkünkben összefoglaljuk e kötelezettség teljesítéséhez szükséges előírásokat.

Alapelvek és követelmények

A Munkavédelmi Törvény részletesen meghatározza azokat a követelményeket, amelyek figyelembevételével a munkáltatónak biztosítania kell az egészséget nem veszélyeztető és biztonságos munkavégzést. E körben a foglalkoztatónak törekednie kell a veszélyek elkerülésére, értékelnie kell az el nem kerülhető veszélyeket, valamint a veszélyeket azok keletkezési helyükön kell leküzdenie. Továbbá a vállalat köteles figyelembe venni a munkahely kialakításánál, a munkaeszközök és munkafolyamat megválasztásánál az emberi tényezőket is, alkalmazni a műszaki fejlődés eredményeit, a veszélyes megoldásokat kevésbé veszélyessel kiváltani és a munkavállalókat megfelelően utasítani. A cégnek egységes és átfogó megelőzési stratégiát kell kialakítania, amely kiterjed a munkafolyamatra, a technológiára, a munkaszervezésre, a munkafeltételekre, a szociális kapcsolatokra és a munkakörnyezeti tényezők hatására.

Kockázatértékelés szerepe

A munkáltató egyik legfontosabb kötelezettsége a kockázatértékelés elkészítése és fenntartása – és annak részeként a kockázatkezelés és a megelőző intézkedések meghatározása -. Az értékelést szakember végzi, amelynek keretében azonosítja a veszélyforrásokat, meghatározza a veszélyeztetett munkavállalók körét, valamint felbecsüli a veszély jellegét és a veszélyeztetettség mértékét. A kockázatértékelést a tevékenység megkezdése előtt kell elvégezni, majd indokolt esetben – de legalább ötévente – felül kell vizsgálni. Indokolt esetnek minősül a technológia, a munkaeszköz, a munkavégzés módjának megváltozása, vagy a munkáltató tevékenységi körének változása is. Szintén indokolt eset, ha az alkalmazott tevékenység, technológia, munkaeszköz, munkavégzés módjának hiányosságával összefüggésben munkabaleset, foglalkozási megbetegedés következett be. E feladatok elvégzése minden esetben munkabiztonsági és munkaegészségügyi szaktevékenységnek minősül, melyek csak meghatározott szakképzettséggel láthatók el.

Kockázatértékelés elvégzésére jogosultak

A Munkavédelmi Törvény differenciált szabályokat tartalmaz arra vonatkozóan is, hogy a kockázatértékelést és a megelőzési stratégia munkabiztonsági, illetve munkaegészségügyi tartalmát milyen szakképzettséggel rendelkező személy végezheti, különös tekintettel a veszélyességi osztályra és a foglalkoztatottak létszámára. A részletszabályokat a 5/1993. (XII. 26.) MüM rendelet (a továbbiakban: „MüM Rendelet”) fogalmazza meg, oly módon, hogy a foglalkoztatókat veszélyességi osztályokba sorolja és ehhez mérten írja elő, hogy milyen képzettséggel rendelkező személy láthatja el a feladatokat.

A III. veszélyességi osztályba sorolt, legfeljebb 50 főt foglalkoztatók (pl. ide tartoznak a munkaerőpiaci szolgáltatást nyújtók, a számítástechnikai infrastruktúrát szolgáltatók, és a nagy- és kiskereskedelem általában) esetében 2025. július 1. óta nincs változás, a MÜM Rendelet értemében foglalkozásorvostan, üzemorvostan, munkahigiéne, közegészségtan-járványtan, megelőző orvostan és népegészségtan szakorvosi diplomával, illetve közegészségügyi-járványügyi ellenőri vagy felügyelői szakképzettséggel rendelkező személy is ellátható a tevékenység.

2026 január 1-től újdonság, hogy a megelőzési stratégia munkabiztonsági tartalmának kialakítása a legalább 50 főt foglalkoztató munkáltatóknál a MüM Rendelet szerinti I. és II. veszélyességi osztályba sorolt, így például papírgyártás, gyógyszergyártás, gépgyártás, számítógép, elektronikai, optikai termék gyártása, dohánytermék gyártása tevékenységek esetén felsőfokú munkavédelmi szakképzettséggel látható el.

Ugyancsak az idei évtől került bevezetésre, hogy a kockázatértékelés elkészítése a MüM Rendelet szerinti I. veszélyességi osztályba sorolt tevékenységek, például papírgyártás, gyógyszergyártás, gépgyártás esetén a legalább 50 főt foglalkoztató munkáltatónál felsőfokú munkavédelmi szakképzettséggel látható el.

Távmunkavégzés eltérő szabályai

Távmunkavégzés esetén a munkavállaló a munkát a munkaidő egy részében vagy egészében a munkáltató telephelyétől elkülönült helyen végzi. A munkavégzés ekkor a munkáltató, vagy megállapodás alapján a munkavállaló által biztosított eszközzel történhet. A munkavállaló által biztosított eszköz esetén a munkáltató a kockázatértékelés elvégzése során győződik meg a munkaeszköz egészséget nem veszélyeztető és biztonságos állapotáról, ennek fenntartása pedig a munkavállaló feladata.

Ha a munkavégzés nem számítástechnikai eszközzel történik, az csak a munkáltató által munkavédelmi szempontból előzetesen megfelelőnek minősített távmunkavégzési helyen történhet, a munkáltató pedig rendszeresen ellenőrzi a munkakörülményeket és az előírások betartását.

Eltérő a helyzet, ha a munkavégzés számítástechnikai eszközzel történik. Ekkor a munkáltató nem köteles kockázatértékelést lefolytatni, elegendő, ha a munkáltató tájékoztatja a munkavállalót a munkavégzéshez szükséges, egészséget nem veszélyeztető és biztonságos munkakörülmények szabályairól és kötelezi a munkavállalót e szabályok betartására és nyilatkoztathatja, hogy e kötelezettségét tudomásul vette. A munkáltató a munkaeszközökről jegyzéket vezethet. A távmunkavégzés helyét a munkavállaló e feltételeknek megfelelően köteles megválasztani. Az előírások betartását persze a munkáltató számítástechnikai eszköz alkalmazásával távolról ellenőrizheti. Jóllehet, ez esetben nem szükséges egyedi kockázatértékelés, de a munkavállaló megfelelő tájékoztatása és rendszeres ellenőrzése a munkáltató munkavédelmi kötelezettsége.

Munkáltató kötelezettsége, felelőssége

A munkáltató folyamatos felelőssége nem merül ki a dokumentáció elkészítésében. Gondoskodnia kell a munkavállalók megfelelő tájékoztatásáról és utasításáról, a munkakörülmények és az előírások betartásának rendszeres ellenőrzéséről, a biztonságos munkaeszközök biztosításáról, valamint a rendellenességek és bejelentések haladéktalan kivizsgálásáról. Emellett biztosítani kell az egyéni védőeszközök rendeltetésszerű használhatóságát és állapotát, valamint a munkabalesetek és foglalkozási megbetegedések jogszabályszerű kivizsgálását.

A munkavédelmi szabályok betartásának a munkáltatói kárfelelősség szempontjából is kiemelkedő jelentősége van, mivel a munkáltatót objektív felelősség terheli a Munka Törvénykönyvéről szóló 2012. évi I. törvény szerint a munkavállalónak a munkaviszonnyal összefüggésben okozott kárért. A felelősség alóli mentesüléshez bizonyítania szükséges, hogy a kárt az ellenőrzési körén kívül eső olyan körülmény okozta, amellyel nem kellett számolnia és nem volt elvárható, hogy a károkozó körülmény bekövetkezését elkerülje vagy a kárt elhárítsa. E szigorú szabályozás értelmében a munkavédelmi előírások elmulasztása mindenképp a munkáltató terhére értékelendő körülmény, mindezek miatt különösen fontos, hogy a munkáltatónál minden esetben naprakész munkavédelmi intézkedések legyenek hatályban, és azok megfelelően, ellenőrizhető módon legyenek dokumentálva.

Összegzés

A munkavédelmi szabályok egyértelművé teszik, hogy az egészséget nem veszélyeztető és biztonságos munkavégzés biztosítása nem pusztán formai kötelezettség, hanem a munkáltatói felelősség egyik legfontosabb eleme. A kockázatértékelés és a megelőzési stratégia szakszerű elkészítésének, rendszeres felülvizsgálatának, valamint a munkavédelmi előírások tényleges betartásának elmulasztása nemcsak hatósági szankciókat, hanem jelentős kártérítési kockázatot is hordoz, tekintettel a munkáltatót terhelő objektív felelősségre. Irodánk a szabályozás változásaira való felkészülésben és a jogszabályoknak megfelelő működés kialakításában is készséggel nyújt támogatást.

Fotó forrása: pexels.com, suntorn somtong

Munkavédelmi szabályok év eleji változása Read More »

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások

Adatvédelem, Hírek / / , , , , , , , ,

Olvasási idő: 5 perc

A mesterséges intelligencia („MI”) gyorsan fejlődő technológiacsalád, amely az ágazatok és a társadalmi tevékenységek teljes spektrumában gazdasági, környezeti és társadalmi előnyök széles skálájához járul hozzá. Az előrejelzések javításával, a műveleteknek és az erőforrások elosztásának optimalizálásával, valamint az egyének és a szervezetek rendelkezésére álló digitális megoldások személyre szabásával az MI használata kulcsfontosságú versenyelőnyt biztosíthat a vállalkozások számára, és társadalmi és környezeti szempontból kedvező eredményeket hozhat.

Az MI használata az elérhető előnyök mellett ugyanakkor bizonyos kockázatokkal is együtt jár. Ezeknek a kockázatoknak a mérséklése érdekében elfogadásra került az Európai Parlament és Tanács mesterséges intelligenciáról szóló 2024/1689 számú rendelete („MI Rendelet”), amelynek több rendelkezése már hatályba lépett. Ugyanakkor számos MI-modell fejlesztéséhez személyes adatokat is felhasználnak, így felvetődhet a kérdés, hogy az MI Rendelet miként érinti az MI rendszerekhez kapcsolódó adatkezelési folyamatokat.

Az MI Rendelet és a GDPR egymáshoz való viszonya

Az MI Rendelet egyértelművé teszi, hogy nem módosítja a személyes adatok kezelésére vonatkozó hatályos uniós szabályok – így a GDPR-ban rögzített követelmények – alkalmazását. Tehát az MI Rendelet hatálya alá tartozó szervezeteknek adatkezelési tevékenységeik során meg kell felelniük a GDPR előírásainak is.

A GDPR az adatvédelemhez való jog érvényesítésén keresztül támogatja más alapvető jogok érvényesülését is, így többek között a gondolat- és véleménynyilvánítás szabadságát, a tájékozódáshoz és az oktatáshoz való jogot, valamint a vállalkozás szabadságát. Mindezek alapján megállapítható, hogy a GDPR olyan jogi keretet teremt, amely elősegíti a felelős innovációt – így az MI-vel kapcsolatos fejlesztések felelős megvalósítását is.

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások

Az MI-modellek fejlesztésével összefüggésben az Európai Adatvédelmi Testület („EDPB”) önálló véleményt fogadott el az adatvédelmi szempontokról, amik a személyes adatoknak a mesterségesintelligencia-modellekkel összefüggésben történő kezelésével kapcsolatban merülnek fel („Vélemény”).

A Vélemény azt vizsgálja, hogy milyen módon használhatók fel személyes adatok MI-modellek fejlesztése során, valamint, hogy mire szükséges különös tekintettel figyelemmel lenni a személyes adatok felhasználásával létrehozott MI-rendszerek forgalomba hozatalakor.

MI-modellek életciklusa

Az EDPB az MI-modellek életciklusát két szakaszra osztja, hangsúlyozva, hogy bármelyikben előfordulhat adatkezelés. Az első szakasz a modell bevezetését megelőző folyamatokat foglalja magában (ideértve pl. a létrehozást, a fejlesztést, betanítást, finomhangolást). A második szakasz pedig a bevezetési időszakra vonatkozik, amely a fejlesztést követő használatot öleli fel.

Adatkezelők adatkezeléshez fűződő jogalapjának megléte

Az adatvédelmi szabályozás egyik sarokköve, hogy adatkezelésre kizárólag meghatározott jogalap fennállása esetén kerülhet sor. A Vélemény megismétli azt az általános elvárást, hogy az adatkezelőknek kell meghatározniuk az adatkezelési tevékenységeik megfelelő jogalapját.

Az EDPB ugyanakkor megállapította, hogy az MI-modell fejlesztője főszabály szerint hivatkozhat a jogos érdekre, mint jogalapra, ugyanakkor köteles annak fennállását megfelelően alátámasztani. Erre egy– adatkezelési compliance-gyakorlattal rendelkezők számára már ismert – háromlépcsős teszt szolgál, amely alapján megfelelően értékelhető, hogy a jogos érdek ténylegesen fennáll-e.

Az EDPB kiemeli, hogy az érdekmérlegelési tesztben figyelemmel kell lenni arra a körülményre, hogy az érintettek észszerűen számíthatnak-e személyes adataik felhasználására. A Vélemény azért jelentős e tekintetben, mert több olyan kritériumot is meghatároz, amelyek segítséget nyújtanak az adatvédelmi hatóságok számára az „ésszerűen belátott”-szempont megítéléséhez.

A Vélemény arra is emlékeztet, hogy amennyiben úgy tűnik, hogy az érintettek érdekei, jogai és szabadságai elsőbbséget élveznek az adatkezelő vagy harmadik fél jogos érdekeivel szemben, akkor sincs minden veszve. Az adatkezelő ugyanis mérlegelheti olyan enyhítő intézkedések bevezetését, amelyek korlátozzák a negatív hatást, például álnevesítés, vagy a személyes adatok elfedésére vagy a betanítási adatkészletben hamis személyes adatokkal való helyettesítésére irányuló intézkedések A megfelelő adatvédelmi eszközök bevezetése pedig ismét jogszerűvé teheti az adatok kezelését

Anonimitás

A GDPR a személyes adatok körébe sorol minden olyan információt, amely alapján az érintett személy közvetlenül vagy közvetve azonosítható. Az uniós szerv álláspontja szerint az MI-modellek fejlesztése során a személyes adatok csak akkor használhatók fel, ha azokat megfelelően anonimizálják, és ezáltal a modell esetleges visszafejtésekor sem válik lehetővé az érintettek azonosítása. Az anonimizálás kapcsán az EDPB hangsúlyozza, hogy az illetékes adatvédelmi hatóságoknak minden esetben egyedileg kell megítélniük, hogy az MI-modellt fejlesztő szervezet eleget tett-e ennek a követelménynek. A testület több olyan ajánlott technikát is megfogalmaz, amelyek alkalmasak lehetnek az anonimitás megőrzésére (pl.: megakadályozzák vagy korlátozzák a betanításhoz használt személyes adatok kinyerését).

Összegzés

Az uniós testület a Véleményben hangsúlyozza, hogy az MI-modellek fejlesztése és bevezetése során is meg kell felelni a személyes adatok kezelésére vonatkozó adatvédelmi követelményeknek. Látható, hogy az MI térnyerését és lehetséges kockázatait prioritással kezeli és követi a jogalkalmazás, ezért számos hatósági iránymutatás várható a közeljövőben.

Fotó forrása: pexels.com, Tara Winstead

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások Read More »

Az Európai Unió mesterséges intelligencia szabályozásának alapjai

Hírek, Mesterséges intelligencia / / , , , , , , , ,

Olvasási idő: 4 perc

Az Európai Unió 2024-ben elfogadta a mesterséges intelligenciáról szóló rendeletét („MI Rendelet”), amely a világon elsőként hozott létre egy átfogó szabályozási keretet a mesterséges intelligencia területén. Az MI Rendelet rendelkezései fokozatosan válnak kötelezővé, egészen 2027. augusztus 2-ig. Az MI Rendelet bizonyos végrehajtási és felügyeleti feladatokat a tagállamok hatáskörébe utal, ennek nyomán 2025 őszén Magyarországon is kihirdetésre került a mesterséges intelligencia („MI”) alkalmazására vonatkozó hazai szabályozási keretrendszer.

Tekintettel arra, hogy az MI Rendeletet az idei év augusztusától szinte teljeskörűen alkalmazni kell, a felkészülés elősegítése érdekében a CLVPartners mesterséges intelligenciával foglalkozó hírlevél-sorozatot indít. A cikksorozat célja, hogy a mesterséges intelligencia alkalmazásához kapcsolódó jogi kérdéseket gyakorlatorientált, ugyanakkor közérthető módon mutassa be. A sorozat első részében a hatályos uniós és magyar szabályozási keretrendszer alapvető koncepcióját, valamint annak főbb célkitűzéseit ismertetjük.

MI Rendelet célja, szabályozásának koncepciója

Az MI a leggyorsabban fejlődő technológiai területek egyike, amelynek alkalmazása egyes előrejelzések szerint a gazdasági és társadalmi tevékenységek széles körében jelentős előnyökkel járhat. Az Európai Unió ugyanakkor felismerte, hogy a MI használata számos kockázatot is magában hordoz, így például a nem megfelelő módon történő használata veszélyeztetheti az uniós jog által védett alapvető jogokat és szabadságokat.

Az MI Rendelet célja, hogy az MI-rendszerek fejlesztése és alkalmazása felelősségteljes keretek között valósuljon meg. Fontos kiemelni, hogy az MI Rendelet nemcsak az Európai Unióban működő gyártókat, importőröket, forgalmazókat és szolgáltatókat érinti, hanem az EU-n kívüli vállalatokat is, ha azok termékei vagy szolgáltatásai elérhetők az uniós piacon, vagy hatással vannak uniós állampolgárokra. Ennek érdekében az MI Rendelet kötelezettségeket ír elő az MI-rendszerek fejlesztői és felhasználói számára, valamint egységes szabályozási rendszert hoz létre az uniós piacon való engedélyezésükre. Az MI Rendelet rögzíti, hogy szabályozási kerete az átláthatóság és az elszámoltathatóság erősítését, valamint az emberközpontú és megbízható mesterséges intelligencia elterjedését szolgálja. Célja továbbá a megkülönböztetés és a torzítások kiküszöbölése, miközben biztosítja az uniós alapértékek és alapvető jogok érvényesülését, valamint hatékony védelmet nyújt az MI-rendszerekből eredő kockázatokkal szemben.

Az MI Rendelet kockázatalapú megközelítést alkalmaz, amely szerint az MI-rendszereket négy kockázati kategóriába sorolja, és az egyes kategóriákhoz eltérő szabályokat és kötelezettségeket rendel. Az elfogadhatatlan kockázatot jelentő, úgynevezett tiltott MI-rendszerek – például a kognitív viselkedésmanipuláció vagy a munkahelyi érzelemfelismerés – alkalmazása az Európai Unióban már jelenleg is tilos. A nagy kockázatú MI-rendszerekre szigorú követelmények vonatkoznak, így különösen tesztelési, átláthatósági és emberi felügyeleti kötelezettségek, és csak ezek teljesítését követően hozhatók forgalomba. Ide tartoznak többek között az egészségügyi diagnosztikában, az önvezető járművekben vagy a biometrikus azonosításban alkalmazott rendszerek. A csekély kockázatú MI-rendszerek esetében – mint például a chatbotok – elsősorban átláthatósági kötelezettségek érvényesülnek, míg a minimális vagy kockázatmentes MI-rendszerekre az MI Rendelet nem állapít meg külön szabályokat.

Az MI Rendelet minden uniós tagállamban közvetlenül alkalmazandó jogszabály, amelyet jogforrási jellegéből fakadóan nem lehet nemzeti jogba átültetni, és önálló kihirdetése sem szükséges. Ennek köszönhetően az MI Rendelet egységes jogi keretet teremt a mesterséges intelligencia szabályozására az Európai Unió egészében.

Magyar szabályozás

Az MI Rendelet az egységes uniós szabályozási keret megteremtésén túl több kötelezettséget is előír a tagállamok számára. Ennek megfelelően a tagállamok – így Magyarország is – megkezdték azon intézményi és jogi keretek kialakítását, amelyek az MI Rendelet rendelkezéseinek hatékony végrehajtását és felügyeletét hivatottak biztosítani.

Az MI Rendelet értelmében az egyes kockázati kategóriákba sorolt MI-rendszerekkel szemben előírt követelmények betartásának felügyelete a tagállamok hatáskörébe tartozó feladat lesz. Ennek értelmében a tagállamoknak kötelezettsége kijelölni egy piacfelügyeleti hatóságot és egy, a műszaki megfelelőség vizsgálatáért felelős bejelentő hatóságot. Továbbá minden tagállamnak létre kell hoznia szabályozói tesztkörnyezeteket a biztonságos és jogszerű MI fejlesztések támogatására.

E követelmények érvényesülésének biztosítása érdekében az Országgyűlés 2025 őszén elfogadta az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról szóló 2025. évi LXXV. törvényt („MI Törvény”), amely megteremti a hazai hatósági és intézményi struktúra alapjait. Az MI Törvény végrehajtására szolgál továbbá az októberben kihirdetett, az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról szóló 2025. évi LXXV. törvény végrehajtásáról szóló 344/2025. (X. 31.) Korm. rendelet („MI Korm. Rendelet”), amely részletes szabályokat állapít meg a mesterséges intelligenciával kapcsolatos feladatokat ellátó hatóságok működésére vonatkozóan.

Az MI Törvény alapján a bejelentő hatósági feladatokat egyetlen szerv, az MI bejelentő hatóság látja el. E hatóság feladata azon megfelelőségértékelő szervezetek kijelölése, amelyek a nagy kockázatú MI-rendszerek műszaki megfelelőségét előzetesen vizsgálják és igazolják. Az MI Korm. Rendelet rendelkezései alapján e feladatkörben a Nemzeti Akkreditáló Hatóság jár el.

Az MI Törvény értelmében a piacfelügyeleti feladatokat szintén egyetlen hatóság látja el. A piacfelügyeleti hatóság hatáskörébe tartozik az MI-rendszerek jogszerű alkalmazásának vizsgálata a forgalomba hozatalt követően. A törvény emellett előírja az MI piacfelügyeleti hatóság számára egy MI-szabályozói tesztkörnyezet létrehozását és működtetését 2026 augusztusától, valamint azt is, hogy a hatóság kapcsolattartási pontként járjon el. Az MI Korm. Rendelet rendelkezései alapján e feladatok ellátásáért a nemzetgazdasági miniszter felel.

Az MI Törvény továbbá létrehozza a Magyar Mesterséges Intelligencia Tanácsot, amely koordináló és tanácsadó testületként működik. A Magyar Mesterséges Intelligencia Tanács feladata, hogy iránymutatások és állásfoglalások révén elősegítse az MI Rendelet hazai végrehajtását egységes értelmezését.

Összefoglalás

Összefoglalásképpen megállapítható, hogy az Európai Unió 2024-ben – a világon elsőként – olyan átfogó szabályozási keretrendszert fogadott el, amelynek elsődleges célja az emberközpontú, átlátható és megbízható mesterséges intelligencia elterjedésének előmozdítása, az uniós alapértékek és alapvető jogok védelme, valamint az MI-rendszerekből fakadó kockázatok megfelelő kezelése. Az MI Rendelet kockázatalapú szabályozási koncepciót alkalmaz, amely az egyes MI-rendszerek kockázatához igazodva differenciált előírásokat határoz meg.

Az MI Rendelet közvetlenül alkalmazandó valamennyi tagállamban, ugyanakkor a végrehajtási és felügyeleti feladatok ellátását nemzeti hatáskörbe utalja. Ennek eredményeként Magyarország 2025 őszén megalkotta az MI Rendelet hazai végrehajtását biztosító MI Törvényt és a kapcsolódó MI Korm. Rendeletet.

Fotó forrása: pexels.com, Dušan Cvetanović

Az Európai Unió mesterséges intelligencia szabályozásának alapjai Read More »

Kiberbiztonság – új előírások, új feladatok

Hírek, Kereskedelmi jogi tanácsadás / / , ,

Idén január 1-jén lépett hatályba a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény („Kiberbiztonsági Törvény”), amely az Európai Parlament és a Tanács (EU) 2022/2555 irányelvére (2022. december 14.) (általános EU-s kiberbiztonsági irányelv, a továbbiakban: „NIS2 Irányelv”) tekintettel született és amelynek célja az információs társadalmat érő fenyegetések miatt az elektronikus információs rendszerek fenyegetéseinek mérséklése és a kulcsfontosságú ágazatokban a szolgáltatások folyamatosságának biztosítása. A Kiberbiztonsági Törvény és a kapcsolódó jogszabályok szigorú követelményeket és ezek elmulasztása esetén súlyos jogkövetkezményeket írnak elő.

Mivel számos társaságot támogatunk a NIS2 Irányelvnek és a Kiberbiztonsági Törvénynek való megfelelésre való felkészülésben, jelen cikkünk célja, hogy valamennyi, lehetségesen érintett cég figyelmét felhívjuk a Kiberbiztonsági Törvény közeljövőben aktuálissá váló előírásaira, azaz a kiberbiztonsági auditra vonatkozó szerződéskötéssel és az audit lefolytatásával kapcsolatos kötelezettségekre és határidőkre.

Az érintett szervezetek köre

A Kiberbiztonsági Törvény széles körben meghatározza azokat a szervezeteket, akik kötelesek ellenőrizni elektronikus rendszereik biztonságát és ezt auditálni. Azok a magánszektorbeli vállalkozások, amelyek bizonyos méretet elérnek és kiemelten kockázatos vagy kockázatos ágazatba sorolt tevékenységet végeznek, ebbe a körbe tartoznak, az alábbiak szerint:

  • Méret tekintetében azok a vállalkozások érintettek, amelyek középvállalkozásoknak minősülnek, vagy meghaladják a középvállalkozásokra vonatkozóan előírt küszöbértékeket, vagyis amelyek összes foglalkoztatotti létszáma 50 főnél több, és az éves nettó árbevétele vagy mérlegfőösszege 10 millió eurónak megfelelő forintösszeget meghaladja.
  • A tevékenységi körre vonatkozó feltétel, hogy a vállalkozások (kiemelten) kockázatos ágazatban működjenek, például egészségügy, hírközlési szolgáltatás, digitális infrastruktúra (felhőszolgáltató, adatközponti szolgáltatást nyújtó szolgáltató), élelmiszerelőállítás, -feldolgozás, -forgalmazás, számítógép, elektronikai, optikai termék gyártás, vagy gép, gépi berendezés gyártás területén.

Amennyiben nem egyértelmű, hogy a szabályozás alapján a kötelezettségek kiterjednek-e az adott cégre, javasolt ezt a jogszabály átvizsgálásával mihamarabb tisztázni.

Kiberbiztonságra vonatkozó kötelezettségek

  • Audit szerződés:

Az érintett vállalkozások aktuális kötelezettsége, hogy a Szabályozott Tevékenységek Felügyeleti Hatósága („SZTFH”) által nyilvántartásba vett kiberbiztonsági audittevékenység végzésére jogosult, független gazdálkodó szervezettel mint auditorral szerződést kössenek az elektronikus rendszerük kiberbiztonságának ellenőrzése érdekében. Az SZTFH már folyamatosan küldi az értesítéseket a lehetségesen érintettek részére, melyben egyúttal előírja, hogy a szerződés megkötésének tényét 2025. szeptember 15-ig igazolni is szükséges felé. A kötelezettség elmulasztása esetén a vállalkozással szemben 1 -15 millió Ft bírság szabható ki.

  • Kiberbiztonsági audit:

Az auditorral történő szerződést követően 2026. június 30-ig el kell végezni a kiberbiztonsági auditot, mely során ellenőrzésre kerül az elektronikus információs rendszerek biztonsági osztályba sorolása, valamint a biztonsági osztályba sorolás szerinti védelmi intézkedések megfelelősége. Az audit elmaradása súlyos szankciókat vonhat maga után, akár az előző évi árbevétel 2%-át is elérő, de legalább 1 millió, legfeljebb 150 millió forintos bírság formájában.

A kiberbiztonsági audit hosszabb időt is igénybe vehet a vállalkozás méretétől, illetve a tevékenység technológiai és szervezeti összetettségétől függően. Éppen ezért célszerű a felülvizsgálat időpontját és ütemezését előre megtervezni, hogy a folyamat ne csak megfelelési célt szolgáljon, hanem ténylegesen feltárja azokat a területeket is, ahol további teendők vagy hiányosságok lehetnek. Ilyen lehet például az adatvédelmi megfelelés felülvizsgálata, az információbiztonsági szabályzatok aktualizálása, vagy a kockázatkezelési eljárások finomhangolása.

Megfelelés jelentősége

A szigorodó kiberbiztonsági szabályozás és a magas bírságkockázat miatt a megfelelés nem pusztán jogi kötelezettség, hanem kiemelt üzleti érdek is. Elérhető előnyök:

  • csökken a pénzügyi és reputációs kockázat;
  • erősödik a vállalkozás kiberbiztonsági védelme és digitális stabilitása;
  • megfelelő szerződéssel kiszámíthatóvá válik az audit tartalma, ütemezése, feladat- és felelősségi körök meghatározása;
  • egyidejűleg áttekinthetőek az adatvédelmi szempontok, szükség esetén felülvizsgálhatóak az adatvédelmi hatásvizsgálati dokumentumok, ezáltal teljesül a NAIH által elvárhat elszámoltathatóság elvének való megfelelés.

Fotó forrása: Brian Penny, pixabay.com

Kiberbiztonság – új előírások, új feladatok Read More »

CLVPartners
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.