Dr. Kopasz János CIPP/E, CIPM, a Taylor Wessing nemzetközi ügyvédi iroda szenior ügyvédje és adatvédelmi szakértője segít eligazodni a legfontosabb szabályozási kihívások között, gyakorlati tanácsokkal a vállalatok számára.
ComputerTrends: Az elmúlt években az USA és Kína dominálja az AI-fejlesztéseket. Mi ennek az oka, és van-e esélye az Európai Uniónak felzárkózni?
Kopasz János: Ennek több oka van. Az Egyesült Államok technológiai óriásai - például a Google, a Microsoft, az Amazon és az Apple - hatalmas erőforrásokkal és adatmennyiséggel dolgoznak, miközben élénk startup-ökoszisztéma és kockázati tőkebefektetések segítik az amerikai innovációt, nem is beszélve a Trump adminisztráció által nemrégiben tett további intézkedéseiről az AI fejlesztési akadályainak lebontásáról és hatalmas 500 milliárd dollár értékű infrastrukturális támogatásáról. Kína ezzel párhuzamosan népességszámából adódóan is óriási adatvagyonnal rendelkezik, amelyet sajátos állami kontrollal és a tech cégekben történő állami tulajdonszerzéssel felügyel.
Az USA-t tehát a magánszektor hajtja előre, míg Kínában az állami befolyással átszőtt piac gyors és nagyszabású innovációt tesz lehetővé. Az EU ezzel szemben széttagoltabb piaccal és kevesebb globális tech-vállalattal rendelkezik. Ráadásul eddig inkább a szabályozásra és az etikai keretek kialakítására koncentrált a versenyképesség helyett. Ez tudatos döntés volt az "emberközpontú AI" érdekében, de hátrányt jelentett a gyakorlati fejlesztések és befektetések terén.
Ugyanakkor az EU felismerte a lemaradást, és egyre nagyobb forrásokat biztosít az AI-fejlesztésre. Ide tartozik az Európai Unió digitális stratégiája, az Európai Innovációs Tanács pályázatai, az EU "Chips Act" a félvezetőipar megerősítésére, valamint a legújabb, 200 milliárd eurós InvestAI program. Az EU legnagyobb előnye a kiemelkedő kutatói háttér és az a lehetőség, hogy globális szabványalkotóvá válhat az etikus AI terén.
A kérdés az, hogy mindez elég-e a felzárkózáshoz. Az EU versenyképessége azon múlik, hogy képes-e összehangolni a tagállamok erőfeszítéseit, növelni a befektetéseket, és olyan üzleti környezetet teremteni, ahol az AI innováció nem vándorol át az USA-ba vagy Ázsiába. Bár a verseny éles, Európa egy harmadik utat keres: a megbízható és emberközpontú AI lehet az a védjegy, amely hosszú távon versenyben tartja.
CT: Az adat az AI "üzemanyaga", de Európában a GDPR szigorúan védi a személyes adatokat. Hogyan lehet egyensúlyt teremteni az adatalapú üzleti modellek és a szabályozás között?
Kopasz János: Ez az egyik legnagyobb kihívás minden európai vállalat - és minden, az EU-ban szolgáltatást nyújtó cég - számára. Az AI fejlesztése során a vállalatoknak folyamatosan egyensúlyozniuk kell az innováció és a jogi megfelelés között.
A GDPR elveit már a kezdetektől be kell építeni a fejlesztési folyamatba - ezt nevezzük privacy by design megközelítésnek. Ha például egy vállalat ügyféladatokat használ gépi tanulási modellek betanítására, gondoskodnia kell a megfelelő jogalapról vagy az adatok anonimizálásáról. Egyre elterjedtebb megoldás a szintetikus adatok használata is: ezek olyan mesterségesen generált adatkészletek, amelyek megőrzik a valós mintázatokat, de nem kapcsolhatók konkrét személyekhez, így csökkentik az adatvédelmi kockázatokat.
Az AI és a GDPR összehangolása nem csupán technológiai, hanem jogi és üzleti kérdés is. Az elmúlt évek precedensei - például az olasz adatvédelmi hatóság ChatGPT-re vonatkozó ideiglenes tilalma 2023-ban vagy a kínai DeepSeek elleni intézkedések - világosan mutatják, hogy a szabályozás kijátszása komoly következményekkel járhat.
A hosszú távú siker kulcsa nem csupán az adatok kreatív felhasználása, hanem azok jogszerű és átlátható kezelése is. A megfelelés hiánya nemcsak bírságokat vagy jogi eljárásokat eredményezhet, hanem a fogyasztói bizalom elvesztését is, ami egy AI-alapú üzleti modell számára végzetes lehet. Azok a vállalatok, amelyek fenntartható módon kívánják működtetni AI-megoldásaikat, nemcsak technológiai előnyt kell kiépítsenek, hanem az adatvédelem és a jogszabályok tiszteletben tartását is versenyelőnyként kell kezeljék.
CT: A techcégek valóban betartják a GDPR és az AI Act előírásait, vagy inkább kiskapukat keresnek?
Kopasz János: Kifelé a technológiai vállalatok egyértelműen a megfelelésüket hangsúlyozzák - adatvédelmi tájékoztatók, beállítási lehetőségek és megfelelőségi jelentések jelennek meg weboldalaikon. Ugyanakkor a valóságban sok esetben inkább stratégiai optimalizálásról van szó, nem pedig az üzleti modellek érdemi átalakításáról.
A GDPR bevezetése óta számos vállalat alternatív jogalapokat keresett az adatkezelés folytatására, például a "jogos érdek" tág értelmezésével vagy a dark pattern technikák alkalmazásával, amelyek finoman befolyásolják a felhasználók döntéseit. A rekordösszegű adatvédelmi bírságok jelzik, hogy a szabályozók szigorúan ellenőrzik ezeket a gyakorlatokat, és az EU világossá tette, hogy komolyan veszi az adatvédelmi megfelelést.
Az AI Act hasonló kihívásokat hoz. A rendelet 2024. augusztus 1-jén lépett hatályba, rendelkezései pedig szakaszosan lépnek életbe. Bár sok vállalat még mindig az AI üzleti lehetőségeire összpontosít, a jogi környezet már most is tartalmaz kötelező előírásokat, amelyekkel sokan még nincsenek teljesen tisztában. 2025. február 2-től kulcsfontosságú rendelkezések váltak kötelezővé: Az AI-jártasság követelménye, amely előírja, hogy az AI-rendszereket fejlesztőknek és alkalmazóknak megfelelő szakértelemmel kell rendelkezniük. Továbbá bizonyos AI-technológiák tiltása, például az emberek viselkedésének manipulálására alkalmas rendszerek, egyes rejtett biometrikus megfigyelési eszközök és társadalmi pontozási modellek.
Bár az AI Act legtöbb rendelkezése 2026. augusztus 2-től lesz teljes körűen alkalmazandó, ez nem jelent haladékot a megfelelésre. A GDPR például már eddig is szabályozta az AI által kezelt személyes adatok kezelését, de számos más titokvédelmi, szerzői jogi, munkajogi, kötelmi jogi megfontolás is immanens része valamennyi AI alapú megoldásnak.
Az AI szabályozás tehát nem egy távoli jövőbeli kihívás, hanem már most is valós jogi kötelezettségeket jelent. Azok a vállalatok, amelyek kizárólag az AI üzleti potenciáljára összpontosítanak, könnyen figyelmen kívül hagyhatják a hatályos előírásokat, ami komoly megfelelési kockázatokat von maga után. A felelős és szabálykövető AI-stratégia nemcsak kockázatkezelési kérdés, hanem hosszú távú versenyelőny is lehet.
CT: Az AI egyre nagyobb szerepet kap az üzleti folyamatokban. Elég egy egyszeri megfelelési ellenőrzés, vagy folyamatos felügyelet szükséges?
Kopasz János: Sok szervezet hajlamos az AI megfelelőségét egyszeri feladatként kezelni, statikus szabályzatokra hagyatkozva. Ez azonban téves megközelítés, mivel az AI dinamikusan fejlődik, és gyakran kiszámíthatatlan változásokat hozó, harmadik féltől származó rendszerekkel integrálódik. A hagyományos, bevezetés előtti kockázatértékelés és szerződéses biztosítékok önmagukban nem elegendők. A megfelelőség fenntartásához folyamatos, adaptív governance-rendszerre van szükség, amely valós időben figyeli az AI működését, biztosítva annak megmagyarázhatóságát és elszámoltathatóságát.
Ez azt jelenti, hogy túl kell lépni az egyszeri auditokon, és be kell vezetni proaktív, iteratív felügyeletet, amely képes időben azonosítani a kockázatokat. Például: egy külső szolgáltatótól származó nagy nyelvi modell egy frissítés következtében észrevétlen torzításokat vihet a kimenetekbe, amelyek diszkriminatív hatásokat eredményezhetnek. Hasonlóképpen az AI-modell teljesítménye romolhat a valós adatok változásának hatására (modell-drift), ami például egy automatizált toborzási vagy hitelbírálati rendszerben súlyos következményekkel járhat. Ezért az AI-rendszerek folyamatos monitorozása elengedhetetlen, nemcsak a bevezetéskor, hanem a teljes életciklus alatt.
CT: Sok vállalat nem saját AI-modellt fejleszt, hanem külső szolgáltatótól vesz igénybe AI-megoldásokat, vagy nyílt forráskódú modelleket integrál. Milyen megfelelőségi és transzparencia kihívások merülnek fel ebben az esetben?
Kopasz János: A külső AI-modellek használata jelentős megfelelőségi kockázatot hordoz, mivel a vállalatoknak korlátozott rálátásuk van a modell működésére. Gyakori, hogy egy cég licencel egy AI-rendszert, de nem tudja pontosan, milyen adatokkal tréningezték, hogyan frissítik a háttérben, vagy hogy milyen változtatásokat hajtanak végre rajta. Ez az átláthatóság hiánya megnehezíti a compliance biztosítását, különösen, ha a szolgáltató előzetes bejelentés nélkül módosítja az AI működését.
A probléma kezelése szerződéses kontrollt és rendszeres auditokat igényel: egyrészt már a szerződéskötéskor kötelezővé kell tenni, hogy a szolgáltató előre jelezze a modellfrissítéseket, és átláthatóvá tegye a tréningadatok eredetét. Másrészt, a hagyományos IT-auditokon túl AI-specifikus beszállítói auditokat is érdemes végezni, különös tekintettel az adatkezelési és algoritmikus kockázatokra. Harmadrészt, kiemelten fontos az adatok származásának (data provenance) nyomon követése: a vállalatnak tudnia kell, honnan származnak a modell betanításához használt adatok, és biztosítania kell, hogy a szolgáltató ne használja fel engedély nélkül a vállalat saját adatait a modell fejlesztésére.
Az ilyen visszaélések elkerülése érdekében a szerződésekben kifejezetten meg kell tiltani az illetéktelen adatfelhasználást, valamint biztosítani kell a vállalat számára a jogot a szolgáltató AI-rendszerének és adatkezelési folyamatainak auditálására.
Az AI gyors térnyerése miatt robosztus harmadik-fél kockázatkezelési keretrendszerekre van szükség. Ez nemcsak technikai ellenőrzést jelent, hanem azt is, hogy a beszállítók felelősségre vonhatók legyenek az átláthatóság és a megfelelőség terén. Már az AI-beszerzési politikában érdemes előírni, hogy a beszállítók rendszeresen végezzenek auditokat, nyilvános jelentéseket készítsenek a frissítésekről és a kockázatkezelési lépésekről.
Így a külső AI-modellek használata sem jelenthet jogi és üzleti vakfoltot, és biztosítható, hogy a vállalat megfelel a szabályozásoknak.
CT: Az AI Act már hatályos, és más országok is dolgoznak saját AI-szabályozásaikon. Milyen gyakorlati lépéseket kell már most megtenniük a vállalatoknak a megfelelés érdekében?
Kopasz János: Az EU AI Act kockázatalapú megközelítést vezet be, amely alapjaiban határozza meg, hogyan kell az AI-t fejleszteni és alkalmazni. Bár a teljes szabályrendszer jelentős része csak 2026-tól lesz teljes körűen alkalmazandó, a vállalatoknak már most el kell kezdeniük a felkészülést. Aki kivár, az jelentős üzleti és jogi hátrányba kerülhet, hiszen az AI-megfelelés nem csupán jogi kötelezettség, hanem egyre inkább versenyelőny is.
Az első lépés a vállalat által használt AI-rendszerek feltérképezése és kockázati besorolása. Fontos tisztán látni, hogy milyen AI-megoldásokat alkalmaz a szervezet - ideértve a saját fejlesztésű és a harmadik féltől származó rendszereket is -, majd ezeket az AI Act alapján kockázati kategóriákba kell sorolni. Nem mindegy, hogy egy adott rendszer minimális, korlátozott vagy nagy kockázatú besorolást kap, hiszen az eltérő megfelelőségi követelményeket von maga után.
Ezt követően részletes kockázatértékelést kell végezni, amely azonosítja az egyes AI-rendszerekkel járó jogi és működési kockázatokat. A nagy kockázatú rendszereknél biztosítani kell az emberi felügyeletet, az adatminőséget, a diszkrimináció-mentességet, valamint az átlátható dokumentációt. Nem elegendő pusztán formálisan megfelelni ezeknek az előírásoknak, a megfelelőségi kontrollokat ténylegesen be kell építeni az AI fejlesztési és üzemeltetési folyamataiba.
A szabályozás technikai aspektusaira is fel kell készülni. Az AI Act az elkövetkező években számos új műszaki szabványt hoz, amelyeket az európai szabványügyi szervezetek dolgoznak ki. A vállalatoknak folyamatosan figyelemmel kell kísérniük ezeket a változásokat, és frissíteniük kell fejlesztési és dokumentációs irányelveiket annak érdekében, hogy megfeleljenek az új követelményeknek.
A megfelelőségi folyamat nem csupán a jogi osztály feladata. Az AI governance és etikai felügyelet erősítése érdekében érdemes egy keresztfunkcionális AI-irányítási bizottságot létrehozni, amelyben jogi, IT, adatvédelmi és kiberbiztonsági szakemberek egyaránt részt vesznek. Kiemelten fontos az AI Etikai Bizottság szerepe is, amely felügyelheti a nagy kockázatú AI-rendszereket, biztosítva, hogy a méltányosság, átláthatóság és az emberi méltóság védelme érvényesüljön a fejlesztési és alkalmazási folyamatokban.
Nem szabad megfeledkezni a beszállítói és szerződéses kockázatok kezeléséről sem. Az AI Act nem csupán a vállalat saját fejlesztéseire, hanem a harmadik féltől beszerzett AI-megoldásokra is kiterjed. Éppen ezért érdemes felülvizsgálni a beszállítói szerződéseket, és olyan kikötéseket beépíteni, amelyek garantálják az AI-rendszerek transzparenciáját. A szolgáltatóknak például kötelességük legyen előre jelezni a modellfrissítéseket, világosan dokumentálni a tréningadatok eredetét, valamint biztosítani, hogy a vállalat saját adatait ne használják fel engedély nélkül a rendszer továbbfejlesztésére. Szerződéses szinten is egyértelművé kell tenni a felelősségi kérdéseket: egy AI-hiba esetén ne legyen vita arról, hogy ki viseli a jogi és pénzügyi következményeket.
Végül, de nem utolsósorban, az AI-jogszabályok dinamikusan fejlődnek, így a szabályozási környezet folyamatos monitorozása kulcsfontosságú. Az AI Act végrehajtása során az Európai Bizottság várhatóan további iránymutatásokat, magatartási kódexeket és pontosításokat tesz közzé. Emellett a világ más régióiban is új szabályozások jelennek meg: az Egyesült Államok, az Egyesült Királyság és több ázsiai ország már dolgozik saját AI-szabályozási keretein. Azok a vállalatok, amelyek proaktívan követik a jogszabályi változásokat, nemcsak a bírságokat kerülhetik el, hanem üzleti előnyt is szerezhetnek: a szabálykövető, transzparens és felelős AI-megoldások erősítik az ügyfelek és partnerek bizalmát, ami hosszú távon piaci versenyelőnyt jelenthet.
CT: Összefoglalva tehát az AI jogi megfeleltetése egy folyamatos erőfeszítés, amely nemcsak technológiai, hanem vállalati elköteleződést is igényel. Mindez elsőre tehernek tűnhet, de hosszú távon kifizetődő lehet...
Kopasz János: Pontosan. Azok a vállalatok, amelyek az AI-megfelelőséget stratégiai prioritásként kezelik, nem csupán a bírságokat és jogi kockázatokat kerülik el, hanem versenyelőnyt is szereznek. Egy dinamikus, valós idejű AI governance rendszer nemcsak a szabályozásoknak való megfelelést biztosítja, hanem az ügyfelek és üzleti partnerek bizalmát is növeli.
A jogi megfelelés tehát nem akadálya, hanem katalizátora is lehet az innovációnak, ha a vállalat okosan építi be a folyamataiba. Azok, akik időben lépnek, és tudatosan alakítják ki AI-stratégiájukat, nemcsak a szabályoknak fognak megfelelni, hanem az új, szabályozott AI-korszak nyertesei is lehetnek.