Ha van egy ChatGPT-előfizetésed és rendszeresen használod munkához, ha toborzásban vagy teljesítményértékelésben AI segít, vagy ha az ügyfélszolgálatod chatbottal működik — akkor ez a cikk közvetlenül rólad szól. Nem jogászoknak írjuk, hanem azoknak a vállalkozóknak és dolgozóknak, akiknek fogalmuk sincs, hogyan érinti őket az EU AI Act.

A rövid válasz: az EU AI Act 2025. február 2-től részben él, és 2026. augusztus 2-tól szinte teljes egészében kötelező lesz minden EU-ban tevékenykedő vállalatra — beleértve a kis cukrászdát, a kétfős ügyvédi irodát és a tíz alkalmazottas webfejlesztő csapatot is. A GDPR-ra emlékeztet? Helyesen sejted. De vannak lényeges különbségek.

Mi az EU AI Act — egy mondatban elmagyarázva

Az EU AI Act (Mesterséges Intelligencia Rendelet, hivatalos nevén: 2024/1689/EU) a világ első átfogó AI-szabályozása. 2024. augusztus 1-jén lépett hatályba, és kockázatalapú rendszerben szabályozza, hogy ki milyen mesterséges intelligenciát fejleszthet, kínálhat és használhat az Európai Unióban.

A lényeg egyszerű: minél nagyobb a kockázat, annál szigorúbb a szabály. Egy szövegjavító AI-t szinte bárki szabadon használhat. Egy munkavállalókat értékelő vagy hitelbírálatot végző AI-rendszerhez viszont komoly dokumentáció, átláthatóság és emberi felügyelet kell.

A rendelet nem csak az AI-fejlesztő cégekre vonatkozik. Ha telepíted, üzemelteted, vagy akár csak használod valaki más AI-rendszerét — mint például a ChatGPT-t —, akkor bizonyos körülmények között neked is vannak kötelezettségeid.

A kockázati kategóriák — melyikbe esik, amit te csinálsz?

Az EU AI Act négy szintet különböztet meg. Ismerkedj meg velük, mert a kötelezettségeid ezen alapulnak.

1. Tiltott AI-rendszerek (azonnali tilalom, 2025. február 2-től)

Ezeket az EU teljes egészében megtiltotta, senki sem alkalmazhatja őket:

  • Szublimináris manipuláció: AI, amely tudattalanul befolyásolja az emberek döntéseit — pl. hangszínanalízissel öntudatlan érzelmi nyomást keltő rendszerek
  • Szociális pontozás (social scoring): az emberek viselkedés alapján való értékelése és rangsorolása, ahogy az Kínában működik
  • Érzelemfelismerés munkahelyeken és iskolákban: ha egy szoftver a dolgozók arcát elemzi, hogy megmondja, mennyire elégedett vagy stresszes — ez tiltott
  • Valós idejű biometrikus azonosítás nyilvános térben bűnüldözési célból (kevés kivétellel)
  • Prediktív rendőrség: AI, amely személyiségjegyek alapján jósolja meg, ki fog bűncselekményt elkövetni
  • Arcképes adatbázisok tömeges feltérképezése az internetről vagy kamerafelvételekből (pl. a Clearview AI-t 30,5 millió euróra bírságolták Hollandiában éppen ezért)

2. Magas kockázatú AI-rendszerek (2026. augusztus 2-től szigorú kötelezettségek)

Ide tartoznak azok az AI-alkalmazások, amelyek komolyan befolyásolhatják az emberek életét. A legfontosabbak a vállalkozásoknak:

  • HR és toborzás: önéletrajzokat szűrő, állásinterjúkat értékelő, munkavállalói döntéseket (felvétel, előléptetés, elbocsátás) segítő rendszerek
  • Hitelbírálat és biztosítás: AI, amely meghatározza, kap-e valaki hitelt vagy biztosítást
  • Oktatás: tanulókat értékelő vagy felvételi döntéseket befolyásoló rendszerek
  • Kritikus infrastruktúra: energiarendszerek, vízhálózatok, közlekedés AI-irányítása
  • Egészségügy: betegségeket diagnosztizáló, kezelési tervet javasló orvosi AI
  • Bűnüldözés: kockázatértékelő, vallomáselemző rendszerek

Ha ilyen rendszert fejlesztesz vagy forgalomba hozol, kötelező: kockázatértékelési dokumentáció, adatminőség-biztosítás, átláthatóság, emberi felügyelet és bejelentés a hatóságnak. Ha csak felhasználod, legalább emberi felügyeletet kell biztosítanod a kritikus döntéseknél.

3. Korlátozott kockázatú AI-rendszerek (átláthatósági kötelezettség)

Ide tartoznak például a chatbotok és a deepfake-tartalom. A szabály egyszerű: az embereknek tudniuk kell, hogy AI-val kommunikálnak. Ha az ügyfélszolgálatod chatbottal működik, ki kell írni. Ha AI-val generált képet vagy videót teszel közzé, jelölni kell.

4. Alacsony és minimális kockázatú AI (nincs kötelező szabályozás)

A legtöbb hétköznapi AI-eszköz ide tartozik: spamszűrők, fordítószoftverek, ajánlórendszerek, játékokbeli AI. Ezekre nincsenek kötelező törvényi előírások — de a jó gyakorlatoknak (pl. GDPR-megfelelés) persze itt is érvényesülniük kell.

Mit jelent ez a gyakorlatban? — három konkrét eset

1. eset: ChatGPT-t használsz a munkához

Ha ügyfélneveket, egészségügyi adatokat, munkavállalói adatokat vagy bármilyen azonosítható személyes adatot másolsz be egy ChatGPT-promptba, az GDPR-kérdést vet fel. Az OpenAI — hacsak nem kötöttél velük külön adatfeldolgozói szerződést (Data Processing Agreement, DPA) — alapvetően harmadik félként kezeli ezeket az adatokat.

Az olasz adatvédelmi hatóság (Garante) 2024 decemberében 15 millió euróra bírságolta az OpenAI-t GDPR-sértések miatt, és hat hónapos nyilvános tájékoztatási kampányt is előírt. A bírság okai: nem volt megfelelő jogalap a személyes adatok feldolgozásához, átláthatóság hiánya, és gyermekek védelme sem volt elégséges.

Mit kell tenned:

  • NE másolj be azonosítható személyes adatokat (nevet, TAJ-számot, email-t stb.) ingyenes chatbotokba
  • Ha vállalati szinten használsz AI-t, köss adatfeldolgozói szerződést a szolgáltatóval
  • Tájékoztatsd az érintetteket, ha személyes adataikat AI-rendszer is feldolgozza

2. eset: AI-val toborzol vagy teljesítményt értékelsz

Ez az EU AI Act szerint magas kockázatú kategória. Ha olyan szoftvert használsz, amely önéletrajzokat rangsorol, videóinterjúkat értékel, vagy javasolja, kit vegyél fel — 2026. augusztus 2-tól az alábbiak kötelezők:

  • Tájékoztatás: a jelölteknek tudniuk kell, hogy AI-rendszer értékeli őket
  • Emberi felülvizsgálat: egy ember is átnézheti és megkérdőjelezheti az AI döntését
  • Dokumentáció: hogyan működik az AI, milyen adatokon tanult, milyen torzítások vannak benne
  • Kockázatértékelés: mielőtt bevezeted, fel kell mérned az esetleges diszkriminációs kockázatokat

A munkahelyi érzelemfelismerő szoftverek — amelyek elemzik, hogy az alkalmazott mennyire boldog, stresszes vagy motivált — tiltottak az AI Act alapján. Ha ilyet kínál valamelyik HR-szoftver, azt 2025. február 2. után nem szabad használni.

3. eset: AI-alapú ügyfélszolgálat / chatbot

Ha a weboldalad chatbottal fogadja az érdeklődőket, az átláthatósági kötelezettség vonatkozik rád: a felhasználónak tudnia kell, hogy AI-val beszél. Ez nem elég, ha valahol a használati feltételekben el van rejtve — egyértelműen, az interakció elején kell jelezni.

Ha a chatbot személyes adatokat kezel (pl. nevet, email-t, megrendelési adatot), akkor az egész GDPR-megfelelőségi keretrendszer is vonatkozik rá: adatkezelési tájékoztató, jogalap meghatározása, adatfeldolgozói szerződés az AI-szolgáltatóval.

👀
Felkészültél az AI Act-ra?

Iratkozz fel hírlevelünkre — heti összefoglaló a legfontosabb AI fejleményekről, magyarul.

Feliratkozás →

GDPR + AI: a láthatatlan csapda, amibe sokan beleesnek

A GDPR és az EU AI Act párhuzamosan él — és egymást erősítik. Ha AI-t használsz, automatikusan felmerülnek GDPR-kérdések is, akkor is, ha „csak” egy szövegíró eszközt használsz.

A prompt mint adatfeldolgozás

Amikor egy AI-eszközbe beírsz valamit, az az adatfeldolgozás egy fajtája lehet — különösen, ha az a valami személyes adatot tartalmaz. A GDPR szerint minden természetes személyre vonatkozó adat, amelyből az illető azonosítható, személyes adat. Ez azt jelenti:

  • Egy alkalmazott neve + munkakörülményei egy AI-promptban = személyes adat feldolgozása
  • Egy ügyfél neve + panasza egy chatbot-üzenetben = személyes adat feldolgozása
  • Egy beteg tünetei + neve egy orvosi AI-ba írva = fokozottan érzékeny adat feldolgozása

Az OpenAI és más szolgáltatók vállalati (API/Enterprise) verzióinál van lehetőség adatfeldolgozói szerződést kötni, és kizárni, hogy az adatokat modell-tanításra használják. Az ingyenes vagy alap ChatGPT-nél ez alapértelmezés szerint nincs meg.

Az adatfeldolgozói minőség kérdése

Ha a céged AI-eszközt vesz igénybe és a te nevemben kezeli az adatokat, az AI-szolgáltató adatfeldolgozónak minősül a GDPR terminológiájában. Ez azt jelenti, hogy:

  • Írásos szerződést kell kötni az AI-szolgáltatóval (Data Processing Agreement)
  • A szerződésben rögzíteni kell, mit dolgozhat fel az AI és hogyan
  • Felelősséget viselsz azért, hogy a DPA valóban megköttetett

A vállalatok többsége ezt egyszerűen kihagyja — különösen a kisebb cégek, ahol az alkalmazottak egyénileg hoznak be AI-eszközöket. Ez nemcsak GDPR-kockázat, hanem üzleti titok szempontjából is veszélyes lehet, ha érzékeny céges információk kerülnek egy harmadik fél AI-rendszerébe.

Tájékoztatási kötelezettség

Ha az ügyfeleid adatait AI is feldolgozza (akár csak az email-jeiket egy AI-levelezési eszközben), a GDPR alapján tájékoztatnod kell erről az érintetteket. Ez az adatkezelési tájékoztatóban — az úgynevezett privacy policy-ban — kell szerepelnie, és ki kell terjednie arra is, hogy milyen AI-eszközöket használsz és miért.

Magyar vállalkozások: mit kell tenned 2026-ban?

A jó hír az, hogy az EU AI Act kockázatalapú — a legtöbb kis- és közepes vállalkozásra csak az alacsonyabb szintű kötelezettségek vonatkoznak. A rossz hír az, hogy sokan azt sem teljesítik.

Íme egy gyakorlati checklist, ha szeretnél felkészülni:

1. Leltározd fel az AI-eszközöket

Kérd meg a csapatomat, hogy jelezze, milyen AI-szoftvereket használ naponta. ChatGPT, Copilot, Grammarly, Midjourney, Canva AI, HubSpot AI — mind ide tartozik. Leírsz mindent, amit tudtál nélkülük is.

2. Kategorizáld őket kockázat szerint

Az egyes eszközöknél tedd fel a kérdést: személyes adatokat dolgoz fel? Befolyásolja emberek életét (munkavállalás, hitel, egészség)? Ha igen, magasabb kockázati kategóriába esik, és több figyelmet igényel.

3. Köss adatfeldolgozói szerződést (DPA) a fontosabb AI-szolgáltatókkal

Az OpenAI, a Google (Workspace AI), a Microsoft (Copilot) és más nagy szereplők rendelkeznek ilyen sablonszerződéssel. Keresd meg, töltsd ki, és tárold el. Ha a szolgáltatónak nincs ilyen — ez maga is jelzés.

4. Frissítsd az adatkezelési tájékoztatódat

Kerüljön bele, hogy milyen AI-eszközöket használsz és milyen adatokat dolgoz fel. Ha van chatbotod, a weboldalon is jelezni kell.

5. Jelöld a chatbotokat és az AI-generált tartalmat

Ha chatbotod van, az interakció elején egyértelműen közöld, hogy az ügyfél AI-val kommunikál. Ha AI-generált képet vagy videót teszel közzé marketingcélból, jelöld meg.

6. Tilts el bizonyos eszközöket a munkavállalóktól

Ha a csapatod személyes adatokat kezel (pl. ügyféladatok, HR-információk), határozd meg, milyen AI-eszközöket szabad és nem szabad használni ezekkel az adatokkal. Ezt írásban rögzítsd egy belső AI-policy dokumentumban.

7. Gondolj az érzelemfelismerő szoftverekre

Vannak olyan produktivitásmérő szoftverek, amelyek billentyűzet- és egéraktivitást elemeznek, vagy akár a kamera képéből vonnak le következtetést a dolgozó koncentrációjáról. Az EU AI Act 2025. február 2-tól ezeket a munkahelyeken tiltja. Ha ilyet használtok, azonnal le kell kapcsolni.

Munkahelyi AI-policy: miért kell, és mit tartalmazzon

A legtöbb kisebb magyar cégnek nincs belső AI-szabályzata. Ez 2026-ban nemcsak jogi kockázat, hanem komoly üzleti kockázat is: ha egy alkalmazott véletlenül üzleti titkot tölt fel egy AI-ba, az lehet GDPR-sértés, lehet üzleti titok megsértése — és mindkettőért a cég felel.

Egy jó munkahelyi AI-policy minimum tartalma:

  • Engedélyezett eszközök listája: milyen AI-szoftvereket használhat a csapat
  • Tiltott adattípusok: mi nem kerülhet be AI-promptba (pl. ügyfélnév + TAJ-szám, pénzügyi adatok, egészségügyi adatok)
  • Emberi ellenőrzés kötelezettségei: mikor kell embernek is megnézni az AI kimenetét (pl. jogi szövegek, ajánlatok, HR-döntések esetén)
  • Átláthatósági szabályok: mikor kell jelölni, hogy valami AI-generált
  • Felelősségi szabályok: ki a felelős az AI által generált tartalmakért

A policy nem kell, hogy hosszú legyen — két-három oldalas, egyszerű nyelven írt dokumentum is elegendő egy tíz fős cégnek. A lényeg, hogy létezzen és mindenki tudjon róla.

Bírságok: mennyi a tét?

Az EU AI Act szankciórendszere háromszintű:

  • Tiltott AI-rendszerek használata: legfeljebb 35 millió euró vagy a globális éves árbevétel 7%-a — amelyik nagyobb
  • Egyéb kötelezettségek megsértése (pl. dokumentáció, átláthatóság hiánya): legfeljebb 15 millió euró vagy az árbevétel 3%-a
  • Hatóságnak adott félrevezető tájékoztatás: legfeljebb 7,5 millió euró vagy az árbevétel 1%-a

Kis- és közepes vállalkozásokra arányosan kisebb bírságot írnak elő a kivételek alapján — de ez nem azt jelenti, hogy nulla. Az olasz Garante pl. nemcsak az OpenAI-t, hanem magánvállalkozásokat is vizsgált AI-alapú szolgáltatások kapcsán.

Ráadásul az EU AI Act és a GDPR bírságai egymás mellett léteznek. Egyetlen incidens — mondjuk egy személyes adatokat kezelő tiltott AI-rendszer — mindkét törvény alapján bírságot vonhat maga után. Az összeg hamar összeadódik.

A végrehajtás Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) és az újonnan kijelölt nemzeti AI-hatóság feladata lesz. A bírságolási gyakorlat egyelőre formálódik, de az első nagy esetek várhatóan 2026 második felétől jelennek meg.

Összefoglaló és a három legfontosabb tanács

Az EU AI Act nem fikció és nem is csak a nagy techcégekről szól. Ha 2026-ban üzletet vezetsz az EU-ban és AI-t használsz — akár csak ChatGPT-t az emailek javítására —, akkor legalább az alapokat be kell tartanod.

A három legfontosabb teendő most:

  1. Leltározd fel az AI-eszközöket — tudd meg, mi fut a cégedben. Ez az alap mindenhez.
  2. Hagyd abba a személyes adatok AI-ba másolását szerződés nélkül — ez az egyik legkönnyebben elkerülhető GDPR-kockázat.
  3. Írj belső AI-policy-t — még ha csak két oldal is —, és tanítsd meg a csapatodnak.

A szabályozás bonyolult, de a megfelelés nem kell, hogy az legyen. Egy KKV-nak általában nem kell milliókat költenie compliance-re — elég, ha odafigyel. A probléma az, hogy a legtöbb cég eddig egyáltalán nem figyelt oda.

Ha szeretnél követni bennünket, iratkozz fel a hírlevelünkre — minden héten összefoglalóval jelentkezünk a legfontosabb AI és digitális törvényi változásokról, magyarul és érthetően.

Jogi nyilatkozat: ez a cikk tájékoztató jellegű és nem minősül jogi tanácsadásnak. Az AI Act pontos alkalmazásáról mindig kérj ügyvédi vagy adatvédelmi szakértői véleményt.