Az EU AI Act 2024 augusztusában lépett hatályba, de a legtöbb magyar vállalkozó még most, 2026 közepén sem tudja pontosan, mi vonatkozik rá. Ez érthető: a rendelet 144 cikkelyes, teli jogi zsargonnal, és az első magyarázatok sem tették könnyebbé a helyzetet. A fő üzenet általában valami ilyesmi volt: "ha nagy tech cég vagy, most komoly bajban vagy." A kis- és középvállalkozók legtöbbször azzal intézték el, hogy ez rájuk nem igazán vonatkozik.

Ez egy téves megközelítés, és potenciálisan drága tévedés. Az AI Act nem csak a ChatGPT-t gyártó OpenAI-t vagy az Anthropicot érinti. Vonatkozik mindenkire, aki AI rendszereket használ, értékesít, vagy telepít az Európai Unióban, beleértve a magyar kkv-kat is. A kérdés nem az, hogy "érint-e engem", hanem az, hogy "hogyan érint, és mit kell most tennem."

Ez a cikk nem jogi tanácsadás, és nem helyettesíti az ügyvédi konzultációt. Amit nyújt: egy strukturált, érthető áttekintés arról, hogy 2026 májusában hol tart a szabályozás, mi lépett életbe, és mit tegyél a következő 30 napban, ha eddig nem foglalkoztál ezzel.

Mi az EU AI Act és miért kell most figyelned?

Az EU Artificial Intelligence Act (2024/1689 rendelet) a világ első átfogó, kötelező erejű AI szabályozása. Az Európai Parlament 2024 márciusában fogadta el, az Európai Tanács 2024 májusában, és 2024 augusztusában lépett hatályba. Ez nem ajánlás, nem irányelv, hanem közvetlenül alkalmazandó rendelet, mint a GDPR. Magyarázatként: a GDPR-hoz hasonlóan nincs szükség külön nemzeti átültetésre, a szöveg közvetlenül érvényes minden EU-s tagállamban, így Magyarországon is.

A hatálybalépés ütemezése: mi mikor lép életbe?

Az AI Act nem egyszerre lépett teljes egészében életbe. A Bizottság fokozatos menetrendet határozott meg, és ez az ütemezés közvetlenül befolyásolja, hogy mire kell ma, 2026 közepén felkészülni:

  • 2024. augusztus: Hatálybalépés. Azonnali hatályú tilalmak: szociális pontozó rendszerek, tudatalatti manipuláció, valós idejű biometrikus tömeges megfigyelés nyilvános terekben (kivételekkel).
  • 2025. augusztus: GPAI (General Purpose AI) szabályok életbe lépése. Transzparencia, dokumentációs kötelezettségek az általános célú AI modellek gyártóira és forgalmazóira.
  • 2026. augusztus: A magas kockázatú AI rendszerekre vonatkozó összes szabály teljes körű alkalmazása. Ez az a határidő, amelyre a legtöbb kkv-nak fel kell készülnie.
  • 2027. augusztus: Egyes speciális kategóriák (pl. biztonsági komponensek) számára meghosszabbított átmeneti idő.

Miért érinti a magyar vállalkozót?

Három okból biztosan érint, ha valamelyik pontban igen a válaszod:

  1. Használsz ChatGPT-t, Claude-ot, Gemini-t vagy bármilyen más AI eszközt az üzleti folyamataidban (akár emailíráshoz, akár ügyfélkiszolgáláshoz).
  2. AI alapú szoftvert értékesítesz vagy terjesztesz, akár saját fejlesztésűt, akár más cég termékét.
  3. AI rendszert telepítesz ügyfélkörnyezetbe, például chatbotot, ajánlórendszert, dokumentumelemzőt.

Ha mindháromra nem mond igent, valószínűleg a minimális kockázatú kategóriában vagy. De tudnod kell ezt, nem csak feltételezni. A GDPR és AI Act kapcsolatáról szóló cikkünkben részletesen is összehasonlítjuk a két szabályozás logikáját, ha az összefüggések érdekelnek.

A 4 kockázati szint és te

Az AI Act kockázatalapú megközelítést alkalmaz. Ez azt jelenti, hogy nem minden AI használatra vonatkoznak ugyanolyan szigorú szabályok. A rendelet négy szintet különböztet meg, és az egyes szintekhez eltérő kötelezettségeket rendel.

A jó hír a legtöbb magyar kkv számára: valószínűleg a Limited vagy Minimal kategóriában vagy. A fontos hír: ezt pontosan tudni kell, és le kell tudni dokumentálni.

Kockázati szint Tipikus AI rendszer típusok Magyar kkv példák Fő követelmények
Tiltott (Unacceptable) Szociális pontozás, tudatalatti manipuláció, valós idejű tömegbiometrikus megfigyelés Szinte soha nem érint kkv-t Teljes tilalom, nincs kivétel. Azonnali hatályos.
Magas kockázatú (High Risk) HR szűrő rendszerek, hitelpontozás, orvosi diagnosztika, oktatásban értékelő rendszer, kritikus infrastruktúra HR chatbot önéletrajz-szűréssel, hitelbírálati rendszer, orvosi AI segítség Konformitás értékelés, technikai dokumentáció, emberi felügyelet, regisztráció EU adatbázisban, 2026. augusztus határidő
Korlátozott kockázatú (Limited Risk) Chatbotok, tartalom-ajánlók, deepfake felismerők, mesterséges hangot használó rendszerek Ügyfélszolgálati chatbot, AI-írt hírlevelek, AI-generált weboldalszövegek Transzparencia kötelezettség: a felhasználónak tudnia kell, hogy AI-jal kommunikál
Minimális kockázatú (Minimal Risk) Spamszűrők, AI-alapú ajánlórendszerek (pl. Spotify), játékokban lévő AI ChatGPT egyéni irodai használata, AI-ös szövegírás belső célra Nincsenek kötelező követelmények, önkéntes magatartási kódexek ajánlottak

Hogyan döntsem el, melyik szintben vagyok?

A kockázati besorolás az AI rendszer funkciójától és alkalmazási területétől függ, nem a technológiától önmagában. Egy egyszerű kérdéssor segít:

  1. Az AI rendszer dönt-e embereket érintő, visszafordíthatatlan következményekkel járó kérdésekben? (pl. felvesz valakit, hitelt ad, orvosi javaslatot tesz) Ha igen, valószínűleg magas kockázatú.
  2. A felhasználó tudja-e, hogy AI-jal kommunikál? Ha nem, transzparencia kötelezettség áll fenn.
  3. Az AI rendszer EU-ban lévő embereket érint-e? Ha igen, az AI Act vonatkozik rá, még ha a szoftver fejlesztője nem EU-ban van is.

Az is fontos, hogy a kockázati besorolás nem statikus. Ha módosítod az AI rendszer funkcióját (pl. egy belső szövegszerkesztőből ügyfél-facing chatbotot csinálsz), a kategória megváltozhat. Ezért érdemes az AI inventory-t rendszeres időközönként, legalább félévente felülvizsgálni, és minden jelentős változásnál újra elvégezni a besorolást.

Egy másik fontos szempont, amelyet sokan figyelmen kívül hagynak: a besorolás nem csak a saját rendszeredre vonatkozik, hanem a harmadik féltől vásárolt vagy integrált AI megoldásokra is. Ha egy ügyfélszolgálati platformot használsz, amely beépített AI-t tartalmaz, te mint üzemeltető is felelős vagy annak megfelelő alkalmazásáért. A szoftver gyártójának EU AI Act megfelelősége szükséges, de nem elégséges feltétel.

A biztonságos AI-használatról és a GDPR megfelelőségről szóló cikkünkben konkrét checkliste-et is találsz ehhez a kérdéssorhoz.

GPAI Code of Practice: mi lépett életbe 2025-2026-ban?

A General Purpose AI (GPAI), vagyis az általános célú AI modellek szabályozása az AI Act egyik legtöbbet emlegetett fejezete. 2025 augusztusában lépett életbe, és közvetlenül érinti azokat, akik ilyen modelleket fejlesztenek, forgalmaznak, vagy integrálnak üzleti megoldásokba.

Mi az általános célú AI modell?

Az AI Act definíciója szerint általános célú AI modell az, amelyet nagy mennyiségű adaton képeztek ki, és számos különböző feladatra alkalmazható. Ebbe a kategóriába esik a GPT-4, a Claude 3.5, a Gemini 1.5 Pro és hasonlók. Lényeges különbség: a szabályozás elsősorban a modell gyártóit és a rendszerintegrátorait terheli, nem az egyszerű végfelhasználót.

Mi vonatkozik a modell gyártójára?

  • Technikai dokumentáció: A modell képességeit, korlátait és kockázatait dokumentálni kell.
  • Felhasználási feltételek: Egyértelmű tájékoztatás arról, mire használható és mire nem a modell.
  • Training data nyilvántartás: Különösen szerzői jogi szempontból releváns adatforrások rögzítése.
  • Szisztematikus kockázatú modellek: Ha egy modell meghalad bizonyos számítási kapacitásküszöböt (10^25 FLOP), extra biztonsági értékelés és incidens-jelentési kötelezettség vonatkozik rá.

Mi vonatkozik a felhasználóra, vagyis a legtöbb kkv-ra?

Ha te nem fejlesztesz modellt, hanem GPT-4 API-t vagy Claude-ot integrálod egy ügyfélszolgálati megoldásba, vagy hirdetési szövegírásra használod, a kötelezettségeid jóval szerényebbek. A legfontosabb:

  • Transzparencia az ügyfeleid felé: Ha az AI rendszered képes embereket félrevezetni, jelezned kell, hogy AI-val kommunikálnak.
  • Felelős üzemeltető magatartás: A GPAI rendszer szerződéses feltételeit be kell tartani, és nem alkalmazhatod tiltott célokra.
  • Dokumentálás: Nem kell technikai specifikációt benyújtanod, de ajánlott rögzíteni, milyen AI rendszert, mire használsz. Ez egy potenciális hatósági ellenőrzésnél is véd.
"Az AI Act logikája egyszerű: minél nagyobb a hatás az emberekre, annál több a kötelezettség. A felelősség lánca a modell gyártójától az integrátoron át a végfelhasználóig terjed. De a lánc minden tagja felelős a saját szintjén."
Az EU AI Act preambulumából lefordítva, saját értelmezéssel.

Ha érdekel, hogyan gondolkodik az AI fejlesztői közösség a szabályozásra adott válaszokról, érdemes elolvasni a Claude AI-ról szóló átfogó cikkünket, amely az Anthropic biztonsági megközelítéséről is szól.

Konkrét tennivalók kis- és középvállalkozóknak

Most, 2026 közepén, néhány hónappal a 2026. augusztusi főhatáridő előtt, a legtöbb magyar kkv-nak hat konkrét lépést kell elvégeznie. Az alábbiakban nem elvont elveket olvashatsz, hanem olyan feladatokat, amelyeket a következő hetekben el lehet végezni.

1. AI inventory: tudd meg, mit használsz

Az első és legfontosabb lépés egy egyszerű lista készítése. Nem kell bonyolult rendszer hozzá, elég egy táblázat:

  1. Milyen AI eszközöket használ a vállalkozás? (Minden egyes eszközt listázz, beleértve a beépített funkciókat is, pl. Gmail Smart Compose, Grammarly, Canva AI, ChatGPT, stb.)
  2. Mire használják? (Belső munkára, ügyfélkommunikációra, vagy döntési folyamatokban?)
  3. Ki férhet hozzá? (Csak belső munkatársak, vagy ügyfelek is érintkeznek ezzel a rendszerrel?)
  4. Milyen adatokat dolgoz fel? (Ügyféladatokat, személyes adatokat, egészségügyi adatokat?)

Ez az inventory az összes többi lépés alapja. Nélküle nem tudod meghatározni, melyik kockázati szintben vagy.

2. Felhasználói tájékoztatás: transzparencia az ügyfelek felé

Ha bármelyik AI rendszered közvetlenül ügyfélkapcsolatban van, tájékoztatást kell nyújtani. Konkrétan: ha chatbotot üzemeltetsz, AI-generált emaileket küldesz ki, vagy AI segítségével kezeled az ügyfélszolgálati kéréseket, jelezni kell ezt az ügyfélnek. Ez nem kell, hogy feltűnő figyelmeztető üzenet legyen, egy egyszerű lábjegyzetszintű megjegyzés is elegendő lehet, de valamilyen formában ott kell lennie.

3. Data audit: milyen adatokat visz be az AI-ba?

Sok vállalkozó öntudatlanul sért GDPR-t azzal, hogy személyes adatokat visz be ChatGPT-be, Claude-ba vagy más külső AI rendszerbe. Az AI Act kontextusában ez dupla kockázatot jelent: GDPR-szempontból és AI Act-szempontból is. Ellenőrizd, hogy az AI rendszereid adatkezelési feltételei kompatibilisek-e a GDPR-ral, és hogy a felhasznált adatokra vonatkozik-e a megfelelő jogalap.

4. Szerződéses kötelezettségek: mit mond az AI szolgáltatód szerződése?

Az OpenAI, az Anthropic, a Google és más AI szolgáltatók frissítették a felhasználási feltételeiket az AI Act hatálybalépése után. Ezek a feltételek tartalmazzák, hogy mire nem használható a modell, milyen adatkezelési garanciákat vállalnak, és milyen kötelezettségeket hárítanak a felhasználóra. Olvasd el ezeket, különösen az API-t vagy vállalati csomagot használó vállalkozások esetén.

5. Képzés a csapatnak: mindenki értse, mit jelent az AI felelős használata

Ha a csapatod AI eszközöket használ, érdemes egy rövid belső tájékoztatót összeállítani, amely lefedi: mit szabad és mit nem szabad AI-ba vinni, mikor kell jelezni az ügyfélnek az AI használatot, és hová forduljon a munkatárs, ha bizonytalan. Ez nem kell, hogy formális képzés legyen, egy egyoldalas útmutató is elég indulásnak.

6. DPIA kiterjesztés: ha már van GDPR adatvédelmi hatásvizsgálatod

Ha a vállalkozás korábban készített DPIA-t (Data Protection Impact Assessment) a GDPR keretében, érdemes azt frissíteni és kiterjeszteni az AI rendszerekre. A legtöbb adatvédelmi hatóság, beleértve a NAIH-ot is, várhatóan erre fogja alapozni az ellenőrzési keretrendszerét. Ha még nincs DPIA-d és személyes adatokat kezelsz, az AI bevezetése jó alkalom az egész rendszer átnézésére.

Az AI Act compliance-t nem érdemes úgy kezelni, mint egy egyszeri adminisztratív feladatot. Ez egy folyamatos folyamat, hasonlóan ahhoz, ahogyan a GDPR megfelelőség sem volt egyszeri projekt, hanem rendszerszintű változás. Aki most belép ebbe a logikába, az lesz felkészülve a következő néhány évre.

Dokumentáció és nyilatkozatok: mi kell kötelezően?

Az AI Act dokumentációs követelményei szintén kockázati szint szerint különböznek. A minimális kockázatú kategóriában nincsenek kötelező dokumentumok, de a korlátozott és magas kockázatú kategóriákban igen.

Amit ajánlott dokumentálni, függetlenül a szinttől

Még ha nem is vagy kötelezett rá, a következő dokumentumok egy esetleges hatósági megkeresésnél, üzleti partneri due diligence-nél vagy ügyfélbizalom-építésnél értékesek:

  • AI registry (leltár): A fentebb említett inventory írásos változata, dátumozva, naprakészen tartva.
  • AI Usage Policy: Belső szabályzat arról, hogyan és mire használja a vállalkozás az AI eszközöket. Egy oldal is elegendő.
  • Transzparencia nyilatkozat az ügyfelek felé: Weboldalon vagy ÁSZF-ben jelezni, hogy a vállalkozás AI eszközöket alkalmaz, és milyen területeken.
  • Incident log: Ha bármi AI-jal kapcsolatos incidens történik (pl. tévesen generált információ jutott el ügyfélhez), annak rövid feljegyzése.

Amit magas kockázatú kategóriában kötelező dokumentálni

Ha a saját rendszered magas kockázatú kategóriába esik, az AI Act 11-13. cikke alapján technikai dokumentációt kell készíteni, amely tartalmazza a rendszer leírását, képességeit, korlátait, az alkalmazott adatokat, a tesztelési eredményeket és a kockázatkezelési intézkedéseket. Ezt a dokumentációt a hatóság kérésére rendelkezésre kell bocsátani, és az EU adatbázisban is regisztrálni kell a rendszert. Ha ebben a kategóriában vagy, ügyvédi konzultáció elengedhetetlen.

Bírságok és időzítés: mikor kell mire felkészülni?

Az AI Act bírságrendszere háromszintű, és a GDPR-nál is szigorúbb csúcskategóriával rendelkezik. Fontos: a bírságokat az Európai Bizottság és a tagállami hatóságok szabhatják ki.

A bírságok mértéke

  • Tiltott AI rendszer üzemeltetése: 35 millió euro VAGY a globális éves forgalom 7%-a, amelyik magasabb.
  • Magas kockázatú AI szabályok megsértése: 15 millió euro VAGY a globális éves forgalom 3%-a.
  • Hamis vagy félrevezető tájékoztatás a hatóság felé: 7,5 millió euro VAGY a globális éves forgalom 1,5%-a.
  • Kkv-k és startupok számára: A rendelet rögzíti, hogy az arányosság elvét alkalmazni kell, és a bírságok mértékét a vállalkozás méretéhez kell igazítani. Ez némi védelmet jelent, de nem mentesség.

A kritikus határidők

  • 2024. augusztus (már elmúlt): Tiltott AI rendszerek betiltása. Ha ilyent üzemeltettél, most is jogsértésben vagy.
  • 2025. augusztus (már elmúlt): GPAI szabályok életbe léptek. A transzparencia és dokumentációs kötelezettségek az általános célú AI modellek gyártóira már érvényesek.
  • 2026. augusztus (3 hónap múlva): A magas kockázatú AI rendszerekre vonatkozó összes szabály teljes alkalmazása. Ez a legfontosabb határidő a kkv-k számára.
  • 2027. augusztus: Egyes speciális, termékkategória-specifikus szabályok, pl. biztonsági komponensként funkcionáló AI rendszerek esetén meghosszabbított átmenet.

Mit várnak el a hatóságok a kkv-któl a gyakorlatban?

A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) várhatóan a GDPR felügyeleti tapasztalataira épít, amikor az AI Act enforcement-et végzi. Ez két dolgot jelent a kis- és középvállalkozások számára. Egyrészt a hatóság valószínűleg először a nagyobb kockázatú területeket veszi górcső alá, különösen a munkavállalókra, ügyfelekre, vagy kiszolgáltatott csoportokra hatással lévő AI rendszereket. Másrészt a hatósági kommunikáció alapján az első időszakban inkább az együttműködési, tájékoztatási szándékú megkeresések várhatók, nem az azonnali bírságok.

Ez azonban nem jelenti, hogy a megfelelőség elhalasztható. Az EU-s pályázatokon, közbeszerzési eljárásokban és egyre több B2B üzleti kapcsolatban már 2026 első felétől elvárás az AI Act tudatosság igazolása. Egy potenciális ügyfél már kérdezhet arról, hogy milyen AI-t használsz és hogyan, mielőtt szerződést köt veled.

A hatóságok az első időszakban nem a kisvállalatokra fognak vadászni. Az első enforcement akciók nagy valószínűséggel nagy rendszerintegrátorok és platformok ellen indulnak. De ez nem jelenti, hogy a megfelelőség elhalasztható: az ügyfél-szerződésekben, a közbeszerzési elvárásokban és az EU-s pályázatokon már most megjelenik az AI Act compliance.

Az AI Act és a big tech cégek kapcsolatáról, illetve arról, hogyan reagálnak az AI fejlesztők a szabályozási nyomásra, a Anthropic és a geopolitikai AI versenyről szóló cikkünkben olvashatsz részletesebben.

Tipikus hibák, amelyeket most is elkövet a legtöbb vállalkozó

Az alábbiakban nem elvont elméleti tévedések szerepelnek, hanem olyan dolgok, amelyek 2025-2026 folyamán konkrétan előkerülnek ügyféltalálkozókon, konzultációkon és online csoportokban.

1. "Ez csak a nagy cégekre vonatkozik"

Az AI Act hatálya minden olyan személyre és szervezetre vonatkozik, aki AI rendszereket helyez forgalomba, üzemeltet vagy használ az Európai Unióban, a mérettől függetlenül. A kkv-barát rendelkezések (pl. arányos bírság) nem mentességet, hanem mérséklést jelentenek. Ez a leggyakoribb és legveszélyesebb félreértés.

2. "ChatGPT-t csak én használom, az nem érint senkit"

Ha a ChatGPT segítségével írt szövegek eljutnak ügyfelekhez, ajánlatokba, kommunikációba kerülnek, vagy ha ügyféladatokat viszel be a promptba, az már nem "csak belső használat." A transzparencia és az adatvédelmi kötelezettségek ebben az esetben is fennállnak.

3. "Majd lesz idő erre"

A 2026. augusztusi határidőig háromhónapnál kevesebb van. A dokumentációt, a belső policy-t és az AI inventoryt nem lehet egy nap alatt megcsinálni, különösen ha ez az első alkalom, hogy a vállalkozás rendszeresen végiggondolja az AI-használatát.

4. "Nincs leírt policy, de mindenki tudja, hogyan kell"

Az implicit tudás nem véd. Egy hatósági eljárásnál vagy egy üzleti partner kérdőívénél írásos dokumentum kell. Ha nincs, az nem csak jogi, hanem üzleti kockázat is.

5. "Az AI biztonsági kérdéseket az AI szolgáltató kezeli"

A GPAI modell gyártójának felelőssége és az integrátor felelőssége nem egymást helyettesíti. Ha te telepíted az AI rendszert ügyfélkörnyezetbe, te is felelős vagy az alkalmazás módja és a felhasználók tájékoztatása tekintetében. Az API terms of service nem mentesít az AI Act szerinti kötelezettségek alól.

6. "Ezt majd az IT megoldja"

Az AI Act megfelelőség nem tisztán technikai kérdés. A dokumentáció, a felhasználói tájékoztatás, a belső policy, a munkatársak képzése és az ügyfélszerződések mind olyan területek, amelyek üzleti, jogi és szervezeti döntéseket igényelnek. Az IT csapat segíthet a technikai megvalósításban, de a felelősség nem delegálható teljesen feléjük. Ez egy menedzsment szintű feladat, amelyhez az egész vállalkozás hozzáállása meghatározó.

Az AI készségek fejlesztéséről és arról, hogyan maradhatsz naprakész a szabályozási változásokkal, a 2026-ra legfontosabb AI készségekről szóló cikkünk ad részletes képet.

Hogyan kezdj el: 30 napos AI Act compliance checklist

Az alábbiakban egy heti bontású cselekvési terv következik. Az egyes feladatok nem igényelnek ügyvédi szaktudást, elvégezhetők belső erőforrással. Ha valamelyik ponton bizonytalanságot tapasztalsz, ott érdemes szakembert bevonni.

1. hét: Felmérés és inventory

  1. Készíts listát minden használt AI eszközről (beleértve a SaaS-beépítetteket is, pl. Canva AI, Grammarly, HubSpot AI assistant).
  2. Minden eszköznél jelöld meg: belső vagy ügyfél-facing? Személyes adatot dolgoz fel? Ki férhet hozzá?
  3. Olvasd el a fő AI szolgáltatóid (OpenAI, Anthropic, Google, Microsoft) aktuális terms of service és EU megfelelőségi dokumentumait. Ezek nyilvánosan elérhetők a weboldalukon.
  4. Határozd meg, melyik kockázati szintbe esnek a saját AI alkalmazásaid a fenti táblázat alapján.

2. hét: Dokumentáció alapjai

  1. Állíts össze egy egyoldalas AI Usage Policy-t, amely tartalmazza: mit szabad AI-ba vinni (milyen adatokat), mit nem, és mire lehet az AI-t használni a vállalkozáson belül.
  2. Ha van weboldalad és chatbotot, AI-s ügyfélszolgálatot üzemeltetsz, vagy AI-generált tartalmakat publikálsz, adj hozzá egy rövid tájékoztatót az ÁSZF-hez vagy az Adatkezelési tájékoztatóhoz.
  3. Ha volt korábbi DPIA-d, frissítsd az AI rendszerek bevonásával.

3. hét: Csapat és folyamatok

  1. Tarts egy rövid, 30-60 perces belső megbeszélést a csapattal az AI-használati irányelvekről.
  2. Jelöld ki, ki felelős az AI-jal kapcsolatos kérdések kezeléséért a vállalkozáson belül (nem feltétlenül kell dedikált személy, de kell valaki, aki foglalkozik ezzel).
  3. Ellenőrizd a partnerszerződéseket: ha ügyfeleidnek AI megoldásokat szállítasz, ott is megjelennek-e az AI Act szempontok?

4. hét: Ellenőrzés és következő lépések

  1. Nézd át az elkészült dokumentumokat egy jogi szempontból képzett kollégával vagy ügyvéddel, különösen ha magas kockázatú kategóriában vagy.
  2. Állíts be egy rendszeres felülvizsgálati ciklust (pl. félévente), mert az AI Act végrehajtási útmutatói folyamatosan frissülnek.
  3. Ha a 2026. augusztusi határidőre magas kockázatú rendszert kell megfelelővé tenni, most kezdj el szállítóval, tanácsadóval egyeztetni, mert ez az átfutási idő valószínűleg szükséges.

Összefoglalás

Az EU AI Act nem szórakozás, de nem is rémálom. Egy konkrét, kockázatalapú szabályozásról van szó, amely a legtöbb magyar kkv-t a korlátozott vagy minimális kockázatú kategóriában érinti. Ebben a kategóriában az elvárások kezelhetők: tudni kell, mit használsz, tájékoztatni az ügyfeleket, és rögzíteni a belső folyamatokat.

A legfontosabb üzenet: ne várj tovább. A 2026. augusztusi határidő nem elvont jövő, hanem három hónap. Az AI inventory elkészítése, egy belső policy megírása és a transzparencia-nyilatkozat hozzáadása az ÁSZF-hez összesen néhány munkaóra, ha most hozzáfogsz. Sokkal kisebb befektetés, mint egy megfelelőségi krízis kezelése utólag. Az is igaz, hogy a szabályozás értelmezése és a végrehajtási útmutatók még alakulnak, az Európai Bizottság rendszeresen publikál pontosításokat, ezért érdemes egy megbízható forrást, például az EU AI Office oldalát és a NAIH kommunikációját rendszeresen követni.

Érdemes úgy gondolni az AI Act-re, mint egy lehetőségre is. Azok a vállalkozások, amelyek most rendszerezik az AI-használatukat, átláthatóbb folyamatokat, jobb adathigiéniát és megbízhatóbb ügyfélkommunikációt építenek ki. Ez versenyelőnyt jelent, nemcsak szabályozási megfelelést. Az ügyfelek egyre inkább kérdeznek az AI-használatról, a partnerszerződések egyre több helyen tartalmazzák az AI policy szükségességét, és az EU-s finanszírozású projekteknél az AI megfelelőség már elvárás.

A következő lépés egyszerű: vedd elő a fenti 30 napos checklistet, és kezdd az első héttel. Nem kell mindent egyszerre megcsinálni. De elkezdeni muszáj.

Ez a cikk nem helyettesíti az ügyvédi konzultációt, és nem minden eset egyforma. Ha magas kockázatú AI rendszert üzemeltetsz, kérj szakmai véleményt. De ha az alapoknál tartasz, az itt leírtak elindítanak a helyes irányba.