Módosultak az AI Act felkészülési határidői

Módosultak az AI Act felkészülési határidői

Mit kell és mit nem kell kötelezően bevezetni augusztus 2-ig?

Az Európai Unió döntéshozói felismerték, hogy a tagállami hatóságok felállítása, a részletes iránymutatások kidolgozása és a piaci szereplők technológiai felkészülése a vártnál lassabban halad. Ennek eredményeként az Európai Tanács hivatalosan is jóváhagyta az AI Act bizonyos végrehajtási szakaszainak eltolását, átrendezve a megfelelési menetrendet.

Mi halasztottak el és kiket érint?

A halasztás elsősorban a tiltott AI-alkalmazások kivezetését, valamint a magas kockázatú rendszerek szigorú tanúsítási kötelezettségeit érinti.

  • A tiltott rendszerek tilalma: A korábbi korai határidőkhöz képest a Tanács döntése értelmében a legsúlyosabb korlátozások (például a biometrikus kategorizálás vagy a munkahelyi érzelemfelismerő rendszerek tiltása) éles alkalmazása kitolódott a későbbi szakaszokra, rásimulva a strukturáltabb ütemtervekre.
  • Kiket érint leginkább? Elsősorban a komplex, nagyvállalati szoftverfejlesztőket, a HR-technológiákat alkalmazó cégeket, valamint az áru- és személyforgalmat kezelő szektorok partnereit.

A csúsztatások célja, hogy elkerüljék a piaci sokkot, és elegendő időt hagyjanak az úgynevezett Általános Célú MI (GPAI) modellek fejlesztőinek a transzparencia-jelentések pontos kidolgozására.

Ehhez ad segítséget a már korábban közölt cheklist is, amit a francia Adatvédelmi Hatóság (CNIL) ajánlása által állítottam össze.

Ami NEM módosult: Mit kell kötelezően bevezetni augusztus 2-ig?

Bár a hosszabb távú határidők fellélegezhetnek, az idei év legfontosabb mérföldköve, az augusztus 2-i határidő szigorúan érvényben maradt. Eddig a napig minden olyan szervezetnek, amely mesterséges intelligenciát fejleszt, terjeszt vagy akár csak egyszerűen használ (User/Deployer) a mindennapi működése során, kötelezően teljesítenie kell a rendelet alapozó előírásait.

A vállalatoknak augusztus 2-ig a következő intézkedéseket kell törvényesen bevezetniük és dokumentálniuk:

  1. MI-írástudás (AI Literacy) bevezetése: A munkáltatóknak kötelező biztosítaniuk, hogy a személyzetük (fejlesztők, de még az egyszerű irodai AI-felhasználók is) megfelelő képzést kapjanak az AI-eszközök működéséről, kockázatairól és a felhasználás etikai szabályairól.
  2. MI-rendszerek leltározása és auditálása: Teljes belső leltárt kell készíteni az összes olyan szoftverről és folyamatról, amely mesterséges intelligenciát tartalmaz vagy használ (a toborzó szoftverektől az AI-alapú ügyfélszolgálati rendszerekig).
  3. Kockázati osztályozás: A leltározott rendszereket kötelezően be kell sorolni a rendelet szerinti kockázati kategóriákba (Minimális, Korlátozott, Magas, Tiltott kockázat), meghatározva a jövőbeli megfelelési kötelezettségeket.
  4. Megfelelőségi bizonyítékok és kormányzás: Ki kell alakítani a belső szabályzatokat, felelősségi köröket, és írásos dokumentációval kell rendelkezni arról, hogy a cég felkészült a transzparenciára (például az AI által generált tartalmak egyértelmű megjelölésére).

A GDPROffice szakmai állásfoglalása: Az augusztus 2-i határidő elmulasztása komoly megfelelési hiányosságnak minősül. Mivel az AI Act az adatvédelemmel kéz a kézben jár, a hatósági ellenőrzések során a dokumentált MI-írástudás és a kockázatértékelés megléte lesz az elsődleges vizsgálati szempont. A felkészülést nem halasztani, hanem azonnal integrálni kell a meglévő vállalati adatvédelmi folyamatokba.

Ehhez ad segítséget a már korábban közölt cheklist is, amit a francia Adatvédelmi Hatóság (CNIL) ajánlása által állítottam össze.

Forrás: a fotó szöveg alapján generált AI Gemini