Az Európai Parlament és a Tanács (EU) 2024/1689 rendelete átfogó szabályozást vezet be a mesterséges intelligencia alkalmazására vonatkozóan az Európai Unióban. A rendelet hatályba lépésének dátuma 2024. augusztus 1. napjával kezdődött, azonban a tényleges alkalmazása lépcsőzetesen valósul meg.
A tiltott rendszerek használatának 2025. február 2. napjától kezdődő tilalmán felül az alábbi határidők az irányadóak:
- augusztus 2. napjától az általános célú AI modellekre vonatkozó kötelezettségek és a kormányzási keretrendszer is hatályba lép.
- augusztus 2. a rendelet általános hatálybalépésének dátuma, a gyakorlatban ez jelenti a fő compliance határidőt: a magas kockázatú MI rendszereket fejlesztő vagy használó vállalatoknak eddigre kell megfelelniük a rendelet szerinti kötelezettségeknek.
- augusztus 2. napjáig tart a kiterjesztett határidő bizonyos beágyazott AI rendszerekre. Azoknál a magas kockázatú, integrált AI-rendszereknél, amelyek már meglévő, más uniós termékszabályozás alá eső termékek részei (pl. orvostechnikai eszközben vagy gépjárműben lévő AI komponens), egy évvel hosszabb türelmi idő került meghatározásra.
Bár a szabályozás elsősorban a szolgáltatókra, forgalmazókra és importőrökre vonatkozik, nem hagyhatók figyelmen kívül azok a rendelkezések sem, amelyek a mesterséges intelligencián alapuló rendszerek alkalmazóit érintik, tekintettel a tényre, hogy a rendeletből származó kötelezettségek be nem tartása esetén – többek között – akár az alábbi bírságok kiszabására is jogosult az illetékes hatóság:
- tiltott MI-gyakorlatok tilalmának be nem tartása esetén 35 000 000 EUR összegű, vagy ha az elkövető vállalkozás, az előző pénzügyi év teljes globális éves árbevételének legfeljebb 7 %-át kitevő összegű közigazgatási bírsággal sújtandó, a kettő közül a magasabb összegűt figyelembe véve;
- Ha az MI-rendszer nem felel meg a gazdasági szereplőkkel vagy a bejelentett szervezetekkel kapcsolatos – alkalmazók esetén a rendelet 26. és 50. cikkében foglalt – előírásoknak 15 000 000 EUR összegű, vagy ha az elkövető vállalkozás, az előző pénzügyi év teljes globális éves árbevételének legfeljebb 3 %-át kitevő összegű közigazgatási bírsággal sújtandó, a kettő közül a magasabb összegűt figyelembe véve.
A rendelet alapján alkalmazónak minősül minden olyan természetes vagy jogi személy, aki, illetve amely a felügyelete alá tartozó MI-rendszert szakmai jellegű tevékenység keretében használja, így azon munkáltatók is, akik például toborzás, teljesítményértékelés, munkaszervezés vagy megfigyelés céljából alkalmaznak mesterséges intelligenciát.
Az MI rendszerek alkalmazói kötelesek biztosítani, hogy személyzetük, valamint a nevükben az MI-rendszerek működtetésével és használatával foglalkozó bármely más személy mesterséges intelligencia terén szerzett megfelelő szintű MI-jártasságát.
Az MI rendszerek között a rendelet kockázatalapú megközelítés alapján különbséget tesz az alábbi kockázati kategóriák között:
- elfogadhatatlan (tiltott) kockázatú,
- nagy kockázatú,
- korlátozott (átláthatósági) kockázatú,
- minimális kockázatú.
Az elfogadhatatlan kockázatú MI rendszerek alkalmazását 2025. február 2.-i hatállyal kezdődően a rendelet kifejezetten megtiltja, ide sorolja a jogszabály azokat a használati eseteket, amelyek egyértelműen sértik az alapvető jogokat vagy veszélyeztetik az embereket, mint például:
- polgárok szociális pontozása (social scoring) kormányzati vagy kereskedelmi szereplők által,
- bizonyos valós idejű, tömeges biometrikus megfigyelő rendszerek használata.
Nagy kockázatú MI rendszernek minősülnek azok a rendszerek, amelyek felhasználása súlyos kockázatot jelenthetnek az egészségre, biztonságra, valamint az alapvető jogokra nézve, ilyen felhasználási esetek lehetnek többek között például a következő esetek:
- kritikus infrastruktúrák MI-val kapcsolatos egyes biztonsági elemei,
- egyes oktatáshoz való hozzáférést, szakmai életpályát meghatározó MI megoldások,
- foglalkoztatáshoz, munkavállalók irányításához kapcsolódó MI eszközök,
- hitelpontozás, amely alapján akár a hitelfelvétel lehetőségéről is döntenek,
- távoli biometrikus azonosítás, érzelemfelismerés céljából használt MI rendszerek.
A nagy kockázatú rendszerek alkalmazói számos konkrét kötelezettségnek kötelesek eleget tenni, többek között például az alábbiaknak meghatározottaknak:
- Gondoskodnia kell arról, hogy a használt MI-rendszer a mellékelt használati utasításnak megfelelően működjön, ehhez megfelelő technikai és szervezeti intézkedések bevezetése szükséges.
- Megfelelő emberi felügyelet biztosítása.
- Ha a munkáltató ellenőrzést gyakorol a bemeneti adatok felett, biztosítania kell, hogy azok relevánsak és kellően reprezentatívak legyenek.
- A rendszer által automatikusan generált naplókat legalább hat hónapig meg kell őriznie, amennyiben ezek az ellenőrzése alatt állnak. Ettől csak akkor térhet el, ha azt más uniós vagy nemzeti jogszabály – különösen adatvédelmi – kifejezetten előírja.
- A munkavállalókat és képviselőiket a rendszer bevezetését megelőzően tájékoztatni kell, ha nagy kockázatú MI-rendszer kerül munkahelyi bevezetésre.
Bizonyos alkalmazóknak további kötelezettségeket ír elő a rendelet például bankoknak, biztosítóknak vagy közszolgáltatást nyújtó magánszervezeteknek a rendszer használata előtt alapvetőjogi hatásvizsgálatot kell készíteniük. MI-t alkalmazó közjogi szerveknek és hatóságoknak emellett kötelező regisztrálniuk az általuk használt rendszert az uniós nyilvántartásban, és meg kell adniuk többek között az alkalmazó adatait, valamint az elvégzett hatásvizsgálatok összefoglalóját is.
Az alkalmazókat fentieken felül értesítési kötelezettség is terheli, ha úgy ítéli meg, hogy az MI-rendszer a használati utasítás szerinti alkalmazás ellenére kockázatot jelenthet, vagy súlyos váratlan eseményt tapasztal, haladéktalanul értesítenie kell a szolgáltatót, forgalmazót és a piacfelügyeleti hatóságot is.
Korlátozott (átláthatósági) kockázatú rendszerek esetében átláthatósági követelményeket vezet be a rendelet, mint például:
- chatbotoknak egyértelműen jelezniük kell a felhasználó felé, hogy nem ember, hanem gép az interakció alanya,
- MI által generált tartalmak (pl. deepfake videók) esetében megfelelően fel kell tüntetni, hogy azok MI által készültek.
A rendelet nem ír elő külön kötelezettséget a minimális kockázatú MI rendszereket alkalmazói részére, azonban véleményünk szerint MI alkalmazása esetén a kockázati besorolásának megállapítását célszerű megfelelően dokumentálni minden MI rendszert alkalmazó vállalkozásnak.
A rendelet fentieken felül az érintett személyek részére is tartalmaz jogokat, mint például az érintett személy egyéni döntéshozatal magyarázatához való joga arra vonatkozóan, hogy MI hogyan vett részt a döntés meghozatalában, abban az esetben, ha a döntés hátrányosan érinti.
Bár a rendelet nem ír elő kötelező belső szabályzatalkotást, az alkalmazók számára, azonban a Kapolyi Ügyvédi Iroda, dr. Humbert Kitti véleménye szerint célszerű lehet belső eljárásrendek kialakítása annak érdekében, hogy az átláthatósági, adminisztrációs és tájékoztatási kötelezettségek teljesítése ténylegesen megvalósuljon a gyakorlatban – különösen akkor, ha a rendszer közvetlenül érinti a munkavállalókat.
( onBRANDS )