mesterséges intelligencia

Az EDPS 2025. évi jelentése: Új korszak a nagyvállalati adatvédelemben és a technológiai compliance-ben

Adatvédelem, Hírek / 2026.06.19. / Adatvédelem, Compliance, felhő, GDPR, Kiberbiztonság, mesterséges intelligencia

Olvasási idő: 6 perc

Az Európai Adatvédelmi Biztos (EDPS) közzétette 2025. évi éves jelentését (a továbbiakban: „Jelentés”) amelyben részletesen bemutatja a gyorsan változó digitális világban a személyes adatok védelme érdekében végzett tevékenységét. A Jelentés egyértelműen jelzi, hogy az európai adatvédelmi és digitális szabályozási környezet új szakaszba lépett: a hangsúly már nem pusztán a formális GDPR-szabályzatokon, hanem az AI-rendszerek, a felhőszolgáltatások és a nemzetközi adattovábbítások tényleges működési kontrolljain van. A vizsgálatok középpontjában tipikusan azok az eszközök és folyamatok állnak, amelyeket a legtöbb szervezet napi szinten használ: Microsoft 365, cloud infrastruktúra, generatív AI-megoldások, mobilalkalmazások, HR-rendszerek. Jelen cikkünkben bemutatjuk a Jelentés főbb megállapításait és a megfeleléshez szükséges szempontokat, javaslatokat vetünk fel.

MI-irányítás: a megfelelőség új dimenziója

A Jelentés egyik legfontosabb üzenete, hogy a mesterséges intelligencia (a továbbiakban: „MI”, vagy „AI”) feletti vállalati kontroll (AI governance) rövid időn belül önálló, kiemelt megfelelőségi (compliance) területté növi ki magát. A mesterséges intelligencia már nem kísérleti technológia, hanem a mindennapi működés részévé vált az uniós intézményekben és egyre több szervezetnél is. Az EDPS a felkészülés jegyében már meg is tette az első komoly lépéseket:

Külön AI-részleget hozott létre: megerősítette az újonnan létrehozott MI-egységet, hogy felkészüljön a mesterséges intelligenciáról szóló EU rendelet alapján a felügyeleti feladatokra.

Feltérképezte a generatív AI-használatot: felmérte a jelenlegi MI-ökoszisztémát a tiltott gyakorlatok és a nagy kockázatú rendszerek tekintetében, és közzétett egy jelentést, amely rávilágít az MI-használat domináns területeire és a jogérvényesítési prioritásokra.

AI regulatory sandbox programot indított: egy szabályozási tesztkörnyezet mintaprojekt keretében biztonságos környezetet teremtett az innovatív MI-rendszerek hatósági felügyelet melletti fejlesztéséhez és teszteléséhez.

Új AI kockázatkezelési útmutatót adott ki az AI-rendszerek fejlesztéséhez és bevezetéséhez kapcsolódó technikai kockázatok azonosítására és mérséklésére.

A szabályozói fókusz különösen az alábbi specifikus területeken erősödik:

a generatív AI-eszközök vállalati használata;

a „dobozos” (off-the-shelf) AI-megoldások megfelelősége;

a magas kockázatú AI-rendszerek szigorú kontrollja;

az AI és a személyes adatok jogi kapcsolata;

az AI-rendszerek technikai kockázatkezelése.

Nagyvállalati környezetben ez azt jelenti, hogy az AI használata már nem kizárólag IT- vagy innovációs kérdés, hanem kiemelt jogi, compliance- és adatvédelmi kockázati terület is, ezért a szervezeteknek már most fel kell készülniük arra, hogy az AI-megoldásokat a GDPR és az mesterséges intelligenciáról szóló EU rendelet követelményeinek megfelelően vezessék be, dokumentálják, felügyeljék és használják a mindennapi működés során.

Microsoft 365 és nagyvállalati IT-rendszerek:

Az EDPS 2025-ben tovább erősítette a nagy informatikai rendszerek – köztük a Microsoft 365-höz hasonló felhőszolgáltatások – feletti felügyeletet. A korábbi vizsgálatok tanulsága, hogy a megfelelőség nem kizárólag szerződéses kérdés, hanem az adatfeldolgozás teljes életciklusára kiterjedő vizsgálatot igényel.

A vizsgálat fókuszában a nagyvállalatok számára is kritikus kérdések álltak:

a harmadik országokba irányuló nemzetközi adattovábbítások;

az összetett aladatfeldolgozó-láncok átláthatósága;

az adatokhoz való hozzáférések kontrollja;

a megfelelő technikai és szervezeti garanciák megléte.

A Jelentés egyik legfontosabb üzenete, hogy önmagában a szolgáltatói szerződés vagy a „GDPR-kompatibilis” megjelölés már nem elegendő. A felügyeleti gyakorlat egyre inkább a tényleges működési kontrollokat, a technikai intézkedéseket és a dokumentált kockázatelemzéseket vizsgálja. Emiatt mindenképpen javasolt a beszállítói szerződések limitált, adatvédelmi szempontú felülvizsgálata – javaslatunk alapján ezt elegendő egyszer megtenni és azt követően beépíteni a folyamatba egy olyan kontrollt, ami változás esetén szintén biztosítja a megfelelést vagy ami lehetővé teszi az időszakos felülvizsgálatot, visszaellenőrzést.

Nemzetközi adattovábbítások

A harmadik országokba irányuló adattovábbítások továbbra is kiemelt ellenőrzési területet jelentenek. Az EDPS itt is hangsúlyozza, hogy a megfelelő szerződések önmagukban nem elegendők. A megfelelés megítélése során egyre nagyobb szerepet kap az adattovábbítási hatásvizsgálat (TIA) tényleges tartalma, a harmadik országok jogi és gyakorlati környezetének értékelése, valamint az alkalmazott technikai és szervezeti intézkedések valós működése. A modern felhőalapú rendszereknél az adatvédelmi jog szerint a távoli hozzáférés is adattovábbításnak minősül. Ha egy harmadik országbeli (pl. indiai vagy amerikai) IT-mérnök support vagy rendszerkarbantartás céljából belép egy Európában tárolt adatbázisba, az adat jogilag elhagyja az EGT-t. Ennek kockázatait kizárólag egy TIA képes érdemben felmérni. Ez különösen releváns olyan környezetekben, ahol globális cloud infrastruktúrák, vagy központi IT-támogatás működnek. A gyakorlatban ez azt jelenti, hogy a vállalatoknak érdemes feltérképezni, hogy akár a beszállító működési jellege, akár a cégcsoport által előírt folyamatok miatt történik-e adattovábbítás az unión kívül és azt megfelelően minősíteni.

A jövő adatvédelme technológiai fókuszú lesz

Az EDPS Jelentése alapján az európai adatvédelmi gyakorlat végérvényesen technológiai irányba mozdult el. A felügyeleti fókusz középpontjában a mesterséges intelligencia érthető és elszámoltatható működése, a felhőszolgáltatások folyamatos ellenőrzése, valamint a kiberbiztonság és az adatvédelem teljes fúziója áll. Az adatvédelmi megfelelés így többé nem egy elszigetelt jogi feladat, hanem a cégvezetés, a beszerzés, a digitális transzformáció és az IT-biztonság közös, mindennapi felelőssége.

Az EDPS Jelentése alapján jól látható: a következő években azok a szervezetek lesznek versenyelőnyben, amelyek felismerik a paradigmaváltást, és nem pusztán formális, papíralapú GDPR-megfelelést, hanem valódi, auditálható technológiai governance-rendszert építenek ki.

Kép forrása: pexels.com, Fotó: Jcmotive

Az EDPS 2025. évi jelentése: Új korszak a nagyvállalati adatvédelemben és a technológiai compliance-ben Read More »

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások

Adatvédelem, Hírek / 2026.02.24. / adatkezelés, Adatvédelem, anonimizálás, fejlesztés, GDPR, jogalap, Megfelelés, mesterséges intelligencia, MI modell

Olvasási idő: 5 perc

A mesterséges intelligencia („MI”) gyorsan fejlődő technológiacsalád, amely az ágazatok és a társadalmi tevékenységek teljes spektrumában gazdasági, környezeti és társadalmi előnyök széles skálájához járul hozzá. Az előrejelzések javításával, a műveleteknek és az erőforrások elosztásának optimalizálásával, valamint az egyének és a szervezetek rendelkezésére álló digitális megoldások személyre szabásával az MI használata kulcsfontosságú versenyelőnyt biztosíthat a vállalkozások számára, és társadalmi és környezeti szempontból kedvező eredményeket hozhat.

Az MI használata az elérhető előnyök mellett ugyanakkor bizonyos kockázatokkal is együtt jár. Ezeknek a kockázatoknak a mérséklése érdekében elfogadásra került az Európai Parlament és Tanács mesterséges intelligenciáról szóló 2024/1689 számú rendelete („MI Rendelet”), amelynek több rendelkezése már hatályba lépett. Ugyanakkor számos MI-modell fejlesztéséhez személyes adatokat is felhasználnak, így felvetődhet a kérdés, hogy az MI Rendelet miként érinti az MI rendszerekhez kapcsolódó adatkezelési folyamatokat.

Az MI Rendelet és a GDPR egymáshoz való viszonya

Az MI Rendelet egyértelművé teszi, hogy nem módosítja a személyes adatok kezelésére vonatkozó hatályos uniós szabályok – így a GDPR-ban rögzített követelmények – alkalmazását. Tehát az MI Rendelet hatálya alá tartozó szervezeteknek adatkezelési tevékenységeik során meg kell felelniük a GDPR előírásainak is.

A GDPR az adatvédelemhez való jog érvényesítésén keresztül támogatja más alapvető jogok érvényesülését is, így többek között a gondolat- és véleménynyilvánítás szabadságát, a tájékozódáshoz és az oktatáshoz való jogot, valamint a vállalkozás szabadságát. Mindezek alapján megállapítható, hogy a GDPR olyan jogi keretet teremt, amely elősegíti a felelős innovációt – így az MI-vel kapcsolatos fejlesztések felelős megvalósítását is.

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások

Az MI-modellek fejlesztésével összefüggésben az Európai Adatvédelmi Testület („EDPB”) önálló véleményt fogadott el az adatvédelmi szempontokról, amik a személyes adatoknak a mesterségesintelligencia-modellekkel összefüggésben történő kezelésével kapcsolatban merülnek fel („Vélemény”).

A Vélemény azt vizsgálja, hogy milyen módon használhatók fel személyes adatok MI-modellek fejlesztése során, valamint, hogy mire szükséges különös tekintettel figyelemmel lenni a személyes adatok felhasználásával létrehozott MI-rendszerek forgalomba hozatalakor.

MI-modellek életciklusa

Az EDPB az MI-modellek életciklusát két szakaszra osztja, hangsúlyozva, hogy bármelyikben előfordulhat adatkezelés. Az első szakasz a modell bevezetését megelőző folyamatokat foglalja magában (ideértve pl. a létrehozást, a fejlesztést, betanítást, finomhangolást). A második szakasz pedig a bevezetési időszakra vonatkozik, amely a fejlesztést követő használatot öleli fel.

Adatkezelők adatkezeléshez fűződő jogalapjának megléte

Az adatvédelmi szabályozás egyik sarokköve, hogy adatkezelésre kizárólag meghatározott jogalap fennállása esetén kerülhet sor. A Vélemény megismétli azt az általános elvárást, hogy az adatkezelőknek kell meghatározniuk az adatkezelési tevékenységeik megfelelő jogalapját.

Az EDPB ugyanakkor megállapította, hogy az MI-modell fejlesztője főszabály szerint hivatkozhat a jogos érdekre, mint jogalapra, ugyanakkor köteles annak fennállását megfelelően alátámasztani. Erre egy– adatkezelési compliance-gyakorlattal rendelkezők számára már ismert – háromlépcsős teszt szolgál, amely alapján megfelelően értékelhető, hogy a jogos érdek ténylegesen fennáll-e.

Az EDPB kiemeli, hogy az érdekmérlegelési tesztben figyelemmel kell lenni arra a körülményre, hogy az érintettek észszerűen számíthatnak-e személyes adataik felhasználására. A Vélemény azért jelentős e tekintetben, mert több olyan kritériumot is meghatároz, amelyek segítséget nyújtanak az adatvédelmi hatóságok számára az „ésszerűen belátott”-szempont megítéléséhez.

A Vélemény arra is emlékeztet, hogy amennyiben úgy tűnik, hogy az érintettek érdekei, jogai és szabadságai elsőbbséget élveznek az adatkezelő vagy harmadik fél jogos érdekeivel szemben, akkor sincs minden veszve. Az adatkezelő ugyanis mérlegelheti olyan enyhítő intézkedések bevezetését, amelyek korlátozzák a negatív hatást, például álnevesítés, vagy a személyes adatok elfedésére vagy a betanítási adatkészletben hamis személyes adatokkal való helyettesítésére irányuló intézkedések A megfelelő adatvédelmi eszközök bevezetése pedig ismét jogszerűvé teheti az adatok kezelését

Anonimitás

A GDPR a személyes adatok körébe sorol minden olyan információt, amely alapján az érintett személy közvetlenül vagy közvetve azonosítható. Az uniós szerv álláspontja szerint az MI-modellek fejlesztése során a személyes adatok csak akkor használhatók fel, ha azokat megfelelően anonimizálják, és ezáltal a modell esetleges visszafejtésekor sem válik lehetővé az érintettek azonosítása. Az anonimizálás kapcsán az EDPB hangsúlyozza, hogy az illetékes adatvédelmi hatóságoknak minden esetben egyedileg kell megítélniük, hogy az MI-modellt fejlesztő szervezet eleget tett-e ennek a követelménynek. A testület több olyan ajánlott technikát is megfogalmaz, amelyek alkalmasak lehetnek az anonimitás megőrzésére (pl.: megakadályozzák vagy korlátozzák a betanításhoz használt személyes adatok kinyerését).

Összegzés

Az uniós testület a Véleményben hangsúlyozza, hogy az MI-modellek fejlesztése és bevezetése során is meg kell felelni a személyes adatok kezelésére vonatkozó adatvédelmi követelményeknek. Látható, hogy az MI térnyerését és lehetséges kockázatait prioritással kezeli és követi a jogalkalmazás, ezért számos hatósági iránymutatás várható a közeljövőben.

Fotó forrása: pexels.com, Tara Winstead

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások Read More »

Az Európai Unió mesterséges intelligencia szabályozásának alapjai

Hírek, Mesterséges intelligencia / 2026.02.24. / átláthatóság, felelősség, felügyelet, hatóság, jogszabály, kockázat, Megfelelés, mesterséges intelligencia, MI rendelet

Olvasási idő: 4 perc

Az Európai Unió 2024-ben elfogadta a mesterséges intelligenciáról szóló rendeletét („MI Rendelet”), amely a világon elsőként hozott létre egy átfogó szabályozási keretet a mesterséges intelligencia területén. Az MI Rendelet rendelkezései fokozatosan válnak kötelezővé, egészen 2027. augusztus 2-ig. Az MI Rendelet bizonyos végrehajtási és felügyeleti feladatokat a tagállamok hatáskörébe utal, ennek nyomán 2025 őszén Magyarországon is kihirdetésre került a mesterséges intelligencia („MI”) alkalmazására vonatkozó hazai szabályozási keretrendszer.

Tekintettel arra, hogy az MI Rendeletet az idei év augusztusától szinte teljeskörűen alkalmazni kell, a felkészülés elősegítése érdekében a CLVPartners mesterséges intelligenciával foglalkozó hírlevél-sorozatot indít. A cikksorozat célja, hogy a mesterséges intelligencia alkalmazásához kapcsolódó jogi kérdéseket gyakorlatorientált, ugyanakkor közérthető módon mutassa be. A sorozat első részében a hatályos uniós és magyar szabályozási keretrendszer alapvető koncepcióját, valamint annak főbb célkitűzéseit ismertetjük.

MI Rendelet célja, szabályozásának koncepciója

Az MI a leggyorsabban fejlődő technológiai területek egyike, amelynek alkalmazása egyes előrejelzések szerint a gazdasági és társadalmi tevékenységek széles körében jelentős előnyökkel járhat. Az Európai Unió ugyanakkor felismerte, hogy a MI használata számos kockázatot is magában hordoz, így például a nem megfelelő módon történő használata veszélyeztetheti az uniós jog által védett alapvető jogokat és szabadságokat.

Az MI Rendelet célja, hogy az MI-rendszerek fejlesztése és alkalmazása felelősségteljes keretek között valósuljon meg. Fontos kiemelni, hogy az MI Rendelet nemcsak az Európai Unióban működő gyártókat, importőröket, forgalmazókat és szolgáltatókat érinti, hanem az EU-n kívüli vállalatokat is, ha azok termékei vagy szolgáltatásai elérhetők az uniós piacon, vagy hatással vannak uniós állampolgárokra. Ennek érdekében az MI Rendelet kötelezettségeket ír elő az MI-rendszerek fejlesztői és felhasználói számára, valamint egységes szabályozási rendszert hoz létre az uniós piacon való engedélyezésükre. Az MI Rendelet rögzíti, hogy szabályozási kerete az átláthatóság és az elszámoltathatóság erősítését, valamint az emberközpontú és megbízható mesterséges intelligencia elterjedését szolgálja. Célja továbbá a megkülönböztetés és a torzítások kiküszöbölése, miközben biztosítja az uniós alapértékek és alapvető jogok érvényesülését, valamint hatékony védelmet nyújt az MI-rendszerekből eredő kockázatokkal szemben.

Az MI Rendelet kockázatalapú megközelítést alkalmaz, amely szerint az MI-rendszereket négy kockázati kategóriába sorolja, és az egyes kategóriákhoz eltérő szabályokat és kötelezettségeket rendel. Az elfogadhatatlan kockázatot jelentő, úgynevezett tiltott MI-rendszerek – például a kognitív viselkedésmanipuláció vagy a munkahelyi érzelemfelismerés – alkalmazása az Európai Unióban már jelenleg is tilos. A nagy kockázatú MI-rendszerekre szigorú követelmények vonatkoznak, így különösen tesztelési, átláthatósági és emberi felügyeleti kötelezettségek, és csak ezek teljesítését követően hozhatók forgalomba. Ide tartoznak többek között az egészségügyi diagnosztikában, az önvezető járművekben vagy a biometrikus azonosításban alkalmazott rendszerek. A csekély kockázatú MI-rendszerek esetében – mint például a chatbotok – elsősorban átláthatósági kötelezettségek érvényesülnek, míg a minimális vagy kockázatmentes MI-rendszerekre az MI Rendelet nem állapít meg külön szabályokat.

Az MI Rendelet minden uniós tagállamban közvetlenül alkalmazandó jogszabály, amelyet jogforrási jellegéből fakadóan nem lehet nemzeti jogba átültetni, és önálló kihirdetése sem szükséges. Ennek köszönhetően az MI Rendelet egységes jogi keretet teremt a mesterséges intelligencia szabályozására az Európai Unió egészében.

Magyar szabályozás

Az MI Rendelet az egységes uniós szabályozási keret megteremtésén túl több kötelezettséget is előír a tagállamok számára. Ennek megfelelően a tagállamok – így Magyarország is – megkezdték azon intézményi és jogi keretek kialakítását, amelyek az MI Rendelet rendelkezéseinek hatékony végrehajtását és felügyeletét hivatottak biztosítani.

Az MI Rendelet értelmében az egyes kockázati kategóriákba sorolt MI-rendszerekkel szemben előírt követelmények betartásának felügyelete a tagállamok hatáskörébe tartozó feladat lesz. Ennek értelmében a tagállamoknak kötelezettsége kijelölni egy piacfelügyeleti hatóságot és egy, a műszaki megfelelőség vizsgálatáért felelős bejelentő hatóságot. Továbbá minden tagállamnak létre kell hoznia szabályozói tesztkörnyezeteket a biztonságos és jogszerű MI fejlesztések támogatására.

E követelmények érvényesülésének biztosítása érdekében az Országgyűlés 2025 őszén elfogadta az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról szóló 2025. évi LXXV. törvényt („MI Törvény”), amely megteremti a hazai hatósági és intézményi struktúra alapjait. Az MI Törvény végrehajtására szolgál továbbá az októberben kihirdetett, az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról szóló 2025. évi LXXV. törvény végrehajtásáról szóló 344/2025. (X. 31.) Korm. rendelet („MI Korm. Rendelet”), amely részletes szabályokat állapít meg a mesterséges intelligenciával kapcsolatos feladatokat ellátó hatóságok működésére vonatkozóan.

Az MI Törvény alapján a bejelentő hatósági feladatokat egyetlen szerv, az MI bejelentő hatóság látja el. E hatóság feladata azon megfelelőségértékelő szervezetek kijelölése, amelyek a nagy kockázatú MI-rendszerek műszaki megfelelőségét előzetesen vizsgálják és igazolják. Az MI Korm. Rendelet rendelkezései alapján e feladatkörben a Nemzeti Akkreditáló Hatóság jár el.

Az MI Törvény értelmében a piacfelügyeleti feladatokat szintén egyetlen hatóság látja el. A piacfelügyeleti hatóság hatáskörébe tartozik az MI-rendszerek jogszerű alkalmazásának vizsgálata a forgalomba hozatalt követően. A törvény emellett előírja az MI piacfelügyeleti hatóság számára egy MI-szabályozói tesztkörnyezet létrehozását és működtetését 2026 augusztusától, valamint azt is, hogy a hatóság kapcsolattartási pontként járjon el. Az MI Korm. Rendelet rendelkezései alapján e feladatok ellátásáért a nemzetgazdasági miniszter felel.

Az MI Törvény továbbá létrehozza a Magyar Mesterséges Intelligencia Tanácsot, amely koordináló és tanácsadó testületként működik. A Magyar Mesterséges Intelligencia Tanács feladata, hogy iránymutatások és állásfoglalások révén elősegítse az MI Rendelet hazai végrehajtását egységes értelmezését.

Összefoglalás

Összefoglalásképpen megállapítható, hogy az Európai Unió 2024-ben – a világon elsőként – olyan átfogó szabályozási keretrendszert fogadott el, amelynek elsődleges célja az emberközpontú, átlátható és megbízható mesterséges intelligencia elterjedésének előmozdítása, az uniós alapértékek és alapvető jogok védelme, valamint az MI-rendszerekből fakadó kockázatok megfelelő kezelése. Az MI Rendelet kockázatalapú szabályozási koncepciót alkalmaz, amely az egyes MI-rendszerek kockázatához igazodva differenciált előírásokat határoz meg.

Az MI Rendelet közvetlenül alkalmazandó valamennyi tagállamban, ugyanakkor a végrehajtási és felügyeleti feladatok ellátását nemzeti hatáskörbe utalja. Ennek eredményeként Magyarország 2025 őszén megalkotta az MI Rendelet hazai végrehajtását biztosító MI Törvényt és a kapcsolódó MI Korm. Rendeletet.

Fotó forrása: pexels.com, Dušan Cvetanović

Az Európai Unió mesterséges intelligencia szabályozásának alapjai Read More »

mesterséges intelligencia

Az Európai Unió mesterséges intelligencia szabályozásának alapjai

Elérhetőségek

Szakterületek

Aktualitások