Az EU AI Act augusztusban lép teljes hatályba, és közben az amerikai államok is saját törvényeket hoznak. Ha MI-t használsz a munkádban vagy a cégedben, ezek a szabályok már most rád is vonatkoznak. Nem luxus ismerni őket, hanem szükségszerűség.
Az EU AI Act – ami rád vonatkozik
Az AI Act 2026. augusztus 2-án lép teljes hatályba minden EU-tagállamban, így Magyarországon is. Nem azért van szükséges, hogy végigolvasd a törvényszöveget – több száz oldal lenne –, hanem hogy megértsd, mit jelent ez számodra a gyakorlatban.
Ha MI-t használsz, akkor nem „fejlesztő” vagy a törvény szemében, ami jó hír, mert a fejlesztők és a szolgáltatók viszik a megfelelés fő terheit. De ha magas kockázatú MI-rendszert vezetsz be a cégedben – például MI-alapú toborzást, hitelminősítést vagy egészségügyi diagnosztikát –, akkor neked is vannak kötelezettségeid, és ezt nem lehet figyelmen kívül hagyni.
Három szabályt mindenképpen ismerned kell. Az első az átláthatóság: ha MI-vel generálsz tartalmat, akkor jelölnöd kell, hogy MI-vel készült. A második az emberi felügyelet: magas kockázatú MI-döntéseknél egy embernek kell felülvizsgálnia az MI javaslatát, mert a gép döntése nem lehet végső. A harmadik az adatvédelem: az MI-vel feldolgozott személyes adatokra a GDPR továbbra is vonatkozik, ebben nincs könnyítés.
Amit tiltanak
Az AI Act néhány MI-alkalmazást teljesen tilt, és ezek 2025. február óta már érvényben vannak.
- Tilos a tömeges biometrikus megfigyelés valós időben nyilvános tereken.
- Tilos a szociális pontozási rendszer, amely viselkedés alapján korlátozza az embereket.
- Tilos a tudatalatti manipuláció, vagyis olyan MI-rendszer, amely az ember tudta nélkül befolyásolja a döntéseit. És tilos az érzelemalapú szűrés is a munkahelyen és az oktatásban.
Ha a céged bármelyiket alkalmazza, azonnal le kell állítania, mert a bírság akár a globális éves árbevétel 7 százaléka is lehet.
Amit a magyar cégeknek kell tudniuk
Magyarországon az MI-felügyeleti hatóság kijelölése még folyamatban van, pedig az idő szorít. Az NMHH valószínűleg kap szerepet ebben, de a konkrét részletek csak 2026 második felében válnak világossá. Addig is van három dolog, amit érdemes megtenned.
Először térképezd fel, milyen MI-eszközöket használ a céged. A ChatGPT a szövegíráshoz, a Copilot a kódoláshoz, a Gemini a kereséshez – mindegyik MI-rendszer az AI Act értelmében. Másodszor dokumentáld a használatot: ki milyen MI-t használ, mire, és milyen adatokkal dolgozik. Ha később jön az ellenőrzés, a dokumentáció a védelmed. Harmadszor képezd a csapatot, mert az ismeretlen félelem mindig nagyobb, mint az ismert kockázat. A GDPR bevezetésénél is azok a cégek jártak a legjobban, amelyek a szabályozás előtt kezdtek felkészülni.
Az amerikai helyzet – miért érdekel téged?
Ha amerikai MI-eszközöket használsz – ChatGPT, Claude vagy Gemini –, az amerikai szabályozás közvetve téged is érint. Kalifornia SB 53. törvénye precedenst teremt a biztonsági szabványokhoz, és ha az MI-szolgáltató megváltoztatja a feltételeit az amerikai szabályozás miatt, az kihathat a te munkafolyamataidra is.
Van azonban jó hír is. Egy amerikai szövetségi bíróság alkotmányellenesnek ítélte a Trump-adminisztráció Anthropic-tilalmát, megerősítve ezzel azoknak az MI-cégeknek a pozícióját, amelyek etikai alapon állnak ellen a kormányzati nyomásnak. Ez azt mutatja, hogy nem kizárólag a szabályozás alakítja az MI-szektort, hanem az értékek is.
Konkrét lépések a megfelelőséghez
Augusztus 2-ig van még idő, de a felkészülést nem érdemes az utolsó percre hagyni – aki későn kezdi, az sokkal drágábban oldja meg. Három konkrét lépéssel indíthatsz, függetlenül a céged méretétől.
Az első lépés az MI-audit. Készíts egy egyszerű táblázatot, amelybe felveszed a céged összes MI-eszközét: ChatGPT, Copilot, Perplexity, Midjourney – bármi, amit használtok. De ne felejtsd el az automatizálási eszközöket sem, mint a Zapier vagy a Make, amelyek szintén tartalmazhatnak MI-komponenst. Írd mellé az eszköz célját, a használóját, és azt, hogy dolgoz-e személyes adattal. Ez a leltár lesz az alapja minden későbbi lépésnek.
A második lépés az adatok osztályozása. Nem minden adatkezelés egyenlő az AI Act szemében, és erre figyelned kell. Ha a ChatGPT-be ügyfélneveket vagy e-mail-címeket írsz be, az személyes adat, és szigorúbb szabályok vonatkoznak rá. Ha viszont csak egy általános szöveget szerkesztesz vele, az már más kategória. Az osztályozás megmutatja, mely alkalmazásaid tartoznak valóban a magas kockázatú körbe.
A harmadik lépés az átláthatósági nyilatkozat. Ha MI-vel generálsz tartalmat – szöveget, képet, hangot – és azt közzéteszed vagy ügyfeleidhez eljuttatod, jelölnöd kell. Elég egy egyszerű lábjegyzet: „Ezt az anyagot MI-segítséggel készítettük” vagy „Ez az összefoglaló MI-eszközzel készült, majd szerkesztettük és ellenőriztük.” Ez nemcsak a szabályoknak felel meg, hanem az ügyfeleid bizalmát is erősíti.
Irányítási szabályok – kis cégnél is kellenek
Az MI-irányítás nem jelent hatalmas szervezeti apparátust, de jelent egy világos szabályrendet. Készíts egy rövid belső irányelvet, amelyben rögzíted, mire használhatják a munkatársaid az MI-t – például szövegszerkesztésre, kutatásra, kódgenerálásra –, és mire nem, például végső orvosi diagnózisra vagy jogi tanácsadásra. Jelöld ki, ki felel az MI-használat felügyeletéért: lehet az IT-vezető, az adatvédelmi felelős, vagy egy erre kinevezett személy. Ez a dokumentum nemcsak rendet teremt, hanem a munkatársaidnak is egyértelművé teszi a játékszabályokat.
Az MI-szabályozás végső soron nem ellenség, hanem keretrendszer. Aki ismeri és felkészül rá, az előnyben van. Aki nem, az meglepetésekre számíthat. A cégek, amelyek most lépnek, az úttörők közé kerülnek az augusztus 2-i határidő után.
