Az AI Act nem csupán a modellszolgáltatókat és a nagy technológiai vállalatokat érinti. Érinti a hétköznapi vállalatokat is, amelyek AI-t használnak az ügyfélkommunikációban, a HR-ben, a belső munkafolyamatokban, a marketingben és a döntési folyamatokban.
A gyakorlati első lépés nem egy 80 oldalas jogi feljegyzés. Hanem egy AI-nyilvántartás, vagyis az eszközök, célok, adatok, tulajdonosok, szállítók, kockázatok, naplózás és emberi felülvizsgálat listája. E lista nélkül a vállalat gyakran azt sem tudja, mit kell értékelnie.
Ez a cikk nem jogi tanácsadás. Ez egy technikai és szervezési ellenőrzőlista a vezetőség, az IT és a termékfelelősök számára.
Az ütemterv, amelyet ismerni kell
Az AI Act 2024. augusztus 1-jén lépett hatályba, kötelezettségei azonban fokozatosan lépnek életbe. A tiltott gyakorlatokra és az AI-jártasságra vonatkozó kötelezettségek 2025. február 2-a óta alkalmazandók. Az általános célú AI-modellekre vonatkozó szabályok 2025. augusztus 2-a óta alkalmazandók. Az átláthatósági szabályok, beleértve a chatbotokra és a kiválasztott AI által generált tartalmakra vonatkozó követelményeket, 2026. augusztus 2-ától alkalmazandók.
A 2026. május 7-i politikai megállapodást követően a kiválasztott magas kockázatú rendszerekre, köztük a foglalkoztatási felhasználási esetekre vonatkozó kötelezettségek várhatóan 2027. december 2-ától lesznek alkalmazandók. A szabályozott termékekbe beépített magas kockázatú rendszerek várhatóan 2028. augusztus 2-án követik. Ezek a hosszabbítások nem indokolják az AI-nyilvántartás, a munkatársak képzése vagy az átláthatósági intézkedések elhalasztását, amelyekre a vállalatnak már most szüksége van.
Mely AI-felhasználásokat érdemes először ellenőrizni
Kezdje ott, ahol az AI emberekkel kommunikál, személyes adatokat dolgoz fel, vagy befolyásolhat egy döntést.
Tipikus területek:
- chatbot a webhelyen vagy az alkalmazásban,
- AI az ügyfélszolgálatban,
- önéletrajzok szűrése, pályázatok rangsorolása vagy munkavállalók irányítása,
- belső ügynök, amely hozzáfér a CRM-hez, ERP-hez, e-mailhez vagy dokumentumokhoz,
- generált marketingtartalom, kép, hang vagy videó,
- ügyfelek, prioritások, kockázatok vagy szolgáltatáshoz való hozzáférés pontozása.
A HR külön figyelmet érdemel. Ha AI-t használ a toborzásban vagy a foglalkoztatásban, olvassa el cikkünket az AI Actról és a magas kockázatú HR-AI-ról.
Az AI-nyilvántartás mint minimum
| Tétel | Mit kell rögzíteni |
|---|
| Az eszköz neve | például webes chatbot, CRM-ügynök, HR-szűrés |
| Tulajdonos | üzleti tulajdonos és technikai tulajdonos |
| Cél | mit csinál az eszköz és miért |
| Adatok | bemenetek, személyes adatok, érzékeny adatok, források |
| Szállító | egyedi megoldás, SaaS, API-szolgáltató, modellszolgáltató |
| Felhasználók | alkalmazottak, ügyfelek, jelöltek, partnerek |
| Kockázat | alacsony, közepes, magas és miért |
| Emberi felülvizsgálat | ahol egy személy ellenőrzi vagy jóváhagyja a kimenetet |
| Átláthatóság | hogyan tájékoztatják a felhasználót |
| Naplózás | mit naplóznak és mennyi ideig |
| Állapot | ötlet, pilot, éles üzem, letiltva |
Az AI-nyilvántartás a megfelelőségen kívül is hasznos. A vezetőség láthatja, hol duplikálódik az AI, hol szivároghatnak ki adatok, és hol hiányoznak a technikai kontrollok.
Technikai kontrollok egy AI-munkafolyamathoz
Tegye fel ezeket a kérdéseket minden belső AI-munkafolyamat esetében:
- Van-e az eszköznek egyértelmű tulajdonosa?
- Dokumentálva van-e a cél és a hatókör?
- Tudjuk-e, milyen adatokat dolgoz fel?
- Tájékoztatják-e a felhasználót, amikor AI-val lép kapcsolatba, vagy amikor az AI érdemben hozzájárul a kimenethez?
- A jogosultságok a minimumra korlátozottak-e?
- Naplózzák-e a bemeneteket, kimeneteket, eszközöket és döntéseket?
- Meg tud-e állítani vagy módosítani egy személy egy kockázatos kimenetet?
- Van-e eljárás az incidensekre?
- Tud-e a szállító dokumentációt biztosítani?
- Vannak-e a vállalatnak szabályai a generált tartalomra?
Egyedi szoftver esetén ezek a kontrollok az elejétől megtervezhetők. SaaS-eszközök esetén meg kell kérdeznie, mit tud a szállító ténylegesen biztosítani.
Mit tegyen az első 30 napban
- Térképezze fel a vállalat összes AI-eszközét.
- Rendeljen tulajdonost minden eszközhöz.
- Ossza fel a felhasználási eseteket kockázat szerint.
- Jelölje meg az ügyfélkapcsolatban, a HR-ben és a döntésekben használt AI-t.
- Vizsgálja felül a szállítókat és az adatokat.
- Helyezze jóváhagyás mögé a kockázatos ügynöki műveleteket.
- Vezessen be alapszintű naplózást.
- Készítsen szabályokat a generált tartalomra.
- Képezze a felhasználókat a biztonságos AI-használatra.
- Válasszon egy munkafolyamatot, amelyet először megerősít.
Ahol a RISE segíthet
A RISE nem jár el jogi tanácsadóként. Az értékünk a technikai megvalósításban rejlik: AI-nyilvántartások, naplózás, jóváhagyási munkafolyamatok, szerepkörkezelés, biztonságos integrációk, meglévő eszközök auditja és alacsonyabb kockázatú pilotok tervezése.
A megvalósítás nélküli megfelelőség dokumentum marad. Az irányítás nélküli megvalósítás kockázat. A vállalatnak mindkettőre szüksége van. Ha fel szeretné térképezni az AI-eszközeit és technikai kontrollokat szeretne hozzáadni, kezdje az AI-automatizálással vagy a kapcsolatfelvétellel.
Források
FAQ
Vonatkozik-e az AI Act azokra a vállalatokra, amelyek csak használják az AI-t?
Igen. A felhasználási esettől függően az AI-rendszerek üzemeltetőinek vagy felhasználóinak is lehetnek kötelezettségei. A hatókör a céltól és a kockázati kategóriától függ.
Az AI-ügynökök külön kategóriát alkotnak?
Az AI Act Service Desk szerint az AI-ügynökök nem alkotnak külön kategóriát. A szabályok attól függenek, mit csinál az ügynök, és melyik kockázati kategóriába tartozik a felhasználás.
Meg kell-e jelölni a chatbotot AI-ként?
A természetes személyekkel kommunikáló rendszereknek átláthatóságra van szükségük. A vonatkozó szabályok 2026. augusztus 2-ától alkalmazandók. A pontos megfogalmazás és formátum a megvalósítástól függ.
Jogi tanácsadás ez a cikk?
Nem. Ez egy technikai és szervezési ellenőrzőlista. Jogi értékeléshez vonjon be ügyvédet vagy megfelelőségi szakértőt.