Mesterséges intelligencia és adatvédelem 2026-ban

Bevezetés

A mesterséges intelligencia (MI, angolul: Artificial Intelligence, AI) alkalmazásának gyors terjedése alapjaiban változtatja meg a gazdaság, a közigazgatás és a mindennapi élet számos területét. E technológiai átalakulás egyúttal komoly adatvédelmi kihívásokat is felvet, amelyekre a jogalkotónak hatékony választ kell adnia. Az Európai Parlament és a Tanács (EU) 2024/1689 rendelete (a továbbiakban: AI Act vagy MI rendelet) az első átfogó mesterséges intelligenciára vonatkozó jogszabály a világon, amely 2026-ban lép teljes hatályba. Jelen tanulmány az AI Act és az általános adatvédelmi rendelet (GDPR) kölcsönhatását, valamint a magyar jogrendszerre gyakorolt hatásokat vizsgálja.

Az AI Act alapvető keretrendszere

A kockázatalapú megközelítés

Az AI Act a mesterséges intelligencia rendszereket kockázati szintjük alapján kategorizálja, és ehhez igazítja a rájuk vonatkozó szabályozási követelményeket:

1. Elfogadhatatlan kockázatú rendszerek (tiltott): Ide tartoznak a szociális pontozási rendszerek, a valós idejű távoli biometrikus azonosítás bűnüldözési célú, nyilvános helyen történő alkalmazása (fő szabály szerint), valamint a tudatalatti manipulációra irányuló rendszerek. Ezek az MI-rendszerek az EU-ban tilosak.

2. Magas kockázatú rendszerek: Azon MI-rendszerek, amelyek emberek alapvető jogait, egészségét vagy biztonságát érintik. Ide tartoznak például a hitelbírálati rendszerek, a munkaerő-kiválasztási algoritmusok, az igazságszolgáltatási rendszerek, valamint az oktatási intézményekben alkalmazott értékelési rendszerek. Ezekre szigorú követelmények vonatkoznak.

3. Korlátozott kockázatú rendszerek: Átláthatósági kötelezettséget eredményeznek (pl. chatbotok, deep fake tartalmak esetén tájékoztatási kötelezettség).

4. Minimális kockázatú rendszerek: Nem igényelnek speciális szabályozást (pl. spam-szűrők, videojátékokban alkalmazott MI).

Magas kockázatú MI-rendszerekre vonatkozó követelmények

A magas kockázatú MI-rendszerek szolgáltatóira az AI Act az alábbi kötelezettségeket rója:

• Kockázatkezelési rendszer kiépítése és fenntartása
• Adatirányítási és adatkezelési gyakorlat: A betanítási adatok minőségének biztosítása, az elfogultság (bias) kiküszöbölése
• Műszaki dokumentáció készítése
• Naplózás (logging): Az MI-rendszer működésének automatikus rögzítése
• Átláthatóság: A felhasználók megfelelő tájékoztatása a rendszer működéséről
• Emberi felügyelet (human oversight) biztosítása
• Pontosság, robusztusság és kiberbiztonság követelményeinek teljesítése

A GDPR és a mesterséges intelligencia

Az automatizált döntéshozatal tilalma

A GDPR 22. cikke alapvető védelmet nyújt az érintettek számára az automatizált döntéshozatallal szemben. E rendelkezés szerint az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással jár vagy őt hasonlóképpen jelentős mértékben érinti.

Ez a szabály különösen releváns az alábbi gyakorlati helyzetekben:

• Hitelbírálat: Amikor egy bank MI-alapú rendszer alkalmazásával dönt a hitelkérelem elfogadásáról vagy elutasításáról
• Biztosítási kockázatértékelés: Amikor a biztosító MI-algoritmus alapján határozza meg a biztosítási díjat
• Munkaerő-felvétel: Amikor a munkáltató MI-rendszert alkalmaz az önéletrajzok szűrésére és az állásra való alkalmasság értékelésére
• Hatósági döntéshozatal: Amikor közigazgatási szervek MI-rendszert alkalmaznak döntéseik meghozatalánál

Kivételek az automatizált döntéshozatal tilalma alól

A GDPR 22. cikk (2) bekezdése három kivételt enged:

1. A döntés az érintett és az adatkezelő közötti szerződés megkötéséhez vagy teljesítéséhez szükséges
2. A döntést az adatkezelőre alkalmazandó uniós vagy tagállami jog teszi lehetővé
3. A döntés az érintett kifejezett hozzájárulásán alapul

Mindhárom esetben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelme érdekében, ideértve legalább azt a jogot, hogy az érintett az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

A profilalkotás elleni jogvédelem

A GDPR 4. cikk 4. pontja szerint a profilalkotás a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére – különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére – használják.

A profilalkotás a GDPR-ban nem általánosan tiltott, de számos korlát vonatkozik rá:

• Átláthatóság: Az érintett számára érthetően közölni kell a profilalkotás tényét, az alkalmazott logika lényegét, valamint az ilyen adatkezelés jelentőségét és az érintettre nézve várható következményeit (GDPR 13–14. cikk)
• Tiltakozási jog: Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak profilalkotás céljából történő kezelése ellen (GDPR 21. cikk)
• Adatvédelmi hatásvizsgálat: A magas kockázatú profilalkotás esetén az adatkezelő köteles adatvédelmi hatásvizsgálatot végezni (GDPR 35. cikk)

Az AI Act és a GDPR kölcsönhatása

Átfedések és komplementaritás

Az AI Act és a GDPR között számos átfedés és komplementaritás tapasztalható. Az AI Act preambuluma (47. preambulumbekezdés) kifejezetten rögzíti, hogy a rendelet a GDPR sérelme nélkül alkalmazandó, és az MI-rendszerek fejlesztése és alkalmazása során a személyes adatok kezelésére továbbra is a GDPR szabályai irányadók.

A két jogszabály közötti legfontosabb kapcsolódási pontok:

Terület	GDPR	AI Act
Átláthatóság	Tájékoztatási kötelezettség automatizált döntéshozatal esetén	Átláthatósági követelmények minden MI-rendszerre
Emberi felügyelet	Emberi beavatkozás kérésének joga	Emberi felügyelet kötelezővé tétele magas kockázatú rendszereknél
Hatásvizsgálat	Adatvédelmi hatásvizsgálat (DPIA)	Alapjogi hatásvizsgálat magas kockázatú rendszereknél
Adatminőség	Adatok pontossága elvének betartása	Betanítási adatok minőségi követelményei

A magyar végrehajtás kérdései

Az AI Act közvetlen hatályú uniós rendelet, így a magyar jogrendszerben közvetlenül alkalmazandó. Ugyanakkor a tagállamok számára bizonyos kérdésekben mozgásteret hagy, amelyekre a nemzeti jogalkotónak reagálnia kell:

1. Nemzeti felügyeleti hatóság kijelölése: Az AI Act 70. cikke előírja, hogy minden tagállam jelöljön ki vagy hozzon létre egy nemzeti hatóságot, amely az MI-rendszerek piacfelügyeletéért felel. Magyarországon e feladat – a jelenlegi tervek szerint – a Nemzeti Média- és Hírközlési Hatóság (NMHH) hatáskörébe kerülhet.

2. Szankciórendszer: Az AI Act 99. cikke alapján a tiltott MI-gyakorlatokat alkalmazó szervezetekkel szemben akár 35 millió euró vagy az éves globális forgalom 7%-a összegű bírság is kiszabható. A magas kockázatú MI-rendszerekre vonatkozó kötelezettségek megsértése esetén a bírság felső határa 15 millió euró vagy az éves forgalom 3%-a.

3. Regulatory sandbox: Az AI Act lehetőséget biztosít ún. szabályozási sandbox-ok létrehozására, amelyekben az innovatív MI-megoldások ellenőrzött környezetben tesztelhetők. Magyarországon a sandbox-ok létrehozásának feltételeit és működési rendjét külön jogszabállyal kell szabályozni.

Gyakorlati hatások a fogyasztókra

Jogérvényesítési lehetőségek

A fogyasztók az MI-rendszerek alkalmazásával kapcsolatos jogaikat az alábbi módokon érvényesíthetik:

1. Érintetti jogok gyakorlása a GDPR alapján: Hozzáférési jog, helyesbítéshez való jog, törléshez való jog, az adatkezelés korlátozásához való jog, tiltakozási jog
2. Panasz a NAIH-hoz: A Nemzeti Adatvédelmi és Információszabadság Hatóság a GDPR megsértése esetén adatvédelmi hatósági eljárást folytathat le
3. Bírósági jogérvényesítés: Az érintett az infotörvény (2011. évi CXII. törvény) és a GDPR alapján bírósághoz fordulhat
4. Fogyasztóvédelmi eljárás: Amennyiben az MI-rendszer alkalmazása fogyasztóvédelmi jogsértést is megvalósít, a fogyasztóvédelmi hatóság is eljárhat

A transparencia követelménye

2026-tól a fogyasztókat érintő MI-rendszerek alkalmazása során a szolgáltatók kötelesek:

• Tájékoztatni a fogyasztót arról, hogy MI-rendszerrel lép interakcióba (pl. chatbot)
• Közölni az automatizált döntéshozatal tényét és az alkalmazott logika lényegét
• Biztosítani a döntés emberi felülvizsgálatának lehetőségét
• Jelezni, ha a tartalom MI által generált (deep fake védelem)

Az adatvédelmi tisztviselő (DPO) szerepe az MI-korszakban

A GDPR 37–39. cikke alapján meghatározott szervezetek kötelesek adatvédelmi tisztviselőt kijelölni. Az MI-rendszerek széles körű alkalmazásával a DPO szerepe felértékelődik:

• Részvétel az MI-rendszerek bevezetését megelőző adatvédelmi hatásvizsgálatban
• Az MI-rendszerek személyes adatokat érintő működésének folyamatos felügyelete
• A betanítási adatokra vonatkozó adatkezelési jogalapok vizsgálata
• Az érintetti kérelmek kezelése automatizált döntéshozatal és profilalkotás esetén

Összegzés

A mesterséges intelligencia és az adatvédelem kapcsolata 2026-ban új dimenzióba lépett az AI Act teljes hatályba lépésével. A magyar fogyasztók számára az AI Act és a GDPR együttes alkalmazása hatékony védelmet biztosít az MI-rendszerek visszaélésszerű alkalmazásával szemben. A vállalkozásoknak ugyanakkor komoly felkészülési feladatokkal kell szembenézniük: meg kell felelniük mind az adatvédelmi, mind az MI-szabályozási követelményeknek, ami jelentős szervezeti, technológiai és humánerőforrás-beruházásokat igényel.

A jogfejlődés e területen rendkívül dinamikus, ezért a vállalkozásoknak javasolt folyamatosan figyelemmel kísérniük a szabályozási környezet változásait, és szükség esetén jogi tanácsadót bevonniuk az MI-rendszerek jogszerű alkalmazásának biztosítása érdekében.

A jelen cikk tájékoztató jellegű, és nem minősül jogi tanácsadásnak. Egyedi ügyekben javasoljuk szakképzett ügyvéd felkeresését.