Egy AI-alapú HR-eszköz, ügyfélszolgálati chatbot vagy marketingautomatizálás első látásra technológiai döntésnek tűnhet. A szervezet kiválaszt egy megoldást, beállítja a jogosultságokat, betanítja a felhasználókat, majd várja a hatékonyságjavulást.
A valóságban azonban az AI-használat gyakran egyszerre vet fel AI-szabályozási, adatvédelmi, működési, etikai és auditálhatósági kérdéseket. Az AI Act kockázatalapú logikája, a GDPR adatvédelmi követelményei és az ISO/IEC 42001 alapú AI irányítási rendszer nem ugyanazt szabályozzák, mégis ugyanannak a szervezeti problémának különböző oldalait világítják meg: hogyan lehet az AI-t úgy használni, hogy az üzletileg értékes, jogilag átgondolt, érintetti szempontból kezelhető és ellenőrizhető legyen.
Az AIMS nem jogszabályhelyettesítő eszköz. Nem mondja meg önmagában, hogy egy konkrét AI-használat megfelel-e az AI Actnek vagy a GDPR-nak. Arra viszont keretet ad, hogy a megfelelési kérdések ne elszigetelt jogi véleményként, hanem szervezeti folyamattá, felelősséggé, döntési ponttá és auditálható gyakorlattá váljanak.
Az AI Act kockázatalapú logikája
Az AI Act az AI-rendszereket nem egyetlen egységes követelménycsomag alapján kezeli, hanem kockázatalapú szabályozási logikát alkalmaz. Ez azt jelenti, hogy a jogi elvárás mértéke attól függ, milyen típusú AI-rendszerről van szó, milyen célra használják, milyen érintettekre hat, és milyen következménnyel járhat a működése. Az AI Act hivatalos szövege a harmonizált uniós AI-szabályok keretét adja meg, külön követelményekkel például a tiltott, magas kockázatú és átláthatósági kötelezettséggel érintett AI-használatokra (European Parliament & Council of the European Union, 2024).
Ez a megközelítés vállalati szempontból azért fontos, mert ugyanaz a technológia eltérő megfelelési súlyt kaphat különböző használati helyzetekben. Egy nyelvi modell belső ötletelésre, ügyfélkommunikáció előkészítésére vagy HR-előszűrés támogatására is használható. A technológiai alap hasonló lehet, de a jogi kockázatot a használati kontextus határozza meg. Ezért nem elég azt vizsgálni, milyen modellről van szó; azt is látni kell, mire használják, kiket érint, és milyen döntési hatást vált ki.
Az AI Act logikája különösen erősen kapcsolódik azokhoz a rendszerekhez, amelyek emberek lehetőségeire, hozzáférésére, értékelésére vagy elbánására hathatnak. Ilyen lehet például egy HR-rangsoroló eszköz, egy ügyfélkockázati pontszám, egy szolgáltatáshoz való hozzáférést támogató modell vagy egy automatikus döntési folyamat. Ezekben a helyzetekben az AI nem pusztán informatikai komponens, hanem döntési infrastruktúra. A megfelelési kérdés ezért nem áll meg a rendszer beszerzésénél vagy bevezetésénél.
A kockázatalapú szabályozás szervezeti következménye, hogy minden AI-használati esetet először besorolási és hatásvizsgálati szemmel kell nézni. A szervezetnek meg kell kérdeznie, hogy az adott AI-eszköz tiltott kockázatú, magas kockázatú, átláthatósági kötelezettséggel érintett vagy más kategóriába eső használatot valósít-e meg. A pontos minősítés jogi feladat, de a minősítéshez szükséges tényeket az üzleti és technikai területnek kell láthatóvá tennie. Ha nincs használatieset-leírás, adatáramlási kép és döntési hatásleírás, a jogi értékelés is bizonytalan marad.
Az AI Act nem ugyanazt kéri minden szervezettől és minden AI-használattól. Ez arányosságot tesz lehetővé, de fegyelmet is igényel. Egy alacsony hatású belső asszisztensnél más kontroll indokolt, mint egy olyan rendszer esetében, amely munkavállalói vagy ügyféloldali döntést támogat. Itt az arányos megfelelés előfeltétele a pontos kockázati térkép. A szervezetnek tudnia kell, mely AI-használatok jelentősek, melyek periférikusak, és melyek igényelnek részletes jogi, adatvédelmi vagy vezetői vizsgálatot.
Az AIMS ebben a logikában nem maga az AI Act-megfelelés, hanem az a szervezeti mechanizmus, amely képes összegyűjteni, rendszerezni és naprakészen tartani a megfelelési döntésekhez szükséges információt. Ide tartozik az AI-nyilvántartás, a használati eset leírása, a felelősségi rend, a kockázatértékelés, a kontrollok, a jóváhagyások és a változáskezelés. Egy jól működő AI irányítási rendszerben a jogi megfelelés nem utólagos ellenőrzés, hanem beépített döntési pont. Ez csökkenti annak kockázatát, hogy egy AI-eszköz már üzemszerűen működjön, mire a szervezet felismeri a szabályozási érintettségét.
Az AI Act kockázatalapú logikája tehát arra kényszeríti a szervezetet, hogy ne általánosságban beszéljen „AI-használatról”. Konkrét használati eseteket kell látni: cél, felhasználók, adatok, kimenet, döntési hatás, érintetti kör és felelősségi pontok szerint. Ezzel kezdődik a szabályozási előszűrés, és erre épülhet az AIMS-ben kezelhető kontrollrendszer.
A GDPR kapcsolódási pontjai AI-rendszereknél
A GDPR akkor válik közvetlenül relevánssá AI-rendszereknél, ha a megoldás személyes adatot kezel. Ez lehet tanítóadat, bemeneti adat, felhasználói interakció, naplóadat, profiladat, ügyféladat, munkavállalói adat vagy a rendszer által előállított következtetés. A GDPR általános adatvédelmi keretet ad a személyes adatok kezelésére, beleértve az alapelveket, jogalapokat, átláthatóságot, érintetti jogokat és az adatkezelői felelősséget (European Parliament & Council of the European Union, 2016).
AI-környezetben különösen fontos felismerni, hogy a személyes adat nemcsak a rendszerbe bevitt eredeti adat lehet. Egy modell által létrehozott pontszám, kategória, profil, ajánlás vagy kockázati jelzés is kapcsolódhat azonosítható személyhez. Ezért az AI-kimenet is lehet adatvédelmi jelentőségű információ. Ha egy ügyfélről vagy munkavállalóról a rendszer értékelést, rangsort vagy viselkedési következtetést állít elő, akkor az adatvédelmi kérdés nem zárul le a bemeneti adat vizsgálatával.
A GDPR egyik legfontosabb kapcsolódási pontja a jogalap. A szervezetnek meg kell tudnia indokolni, milyen jogalapon kezel személyes adatot az adott AI-használat során. Másként kell vizsgálni egy szerződés teljesítéséhez szükséges ügyfélszolgálati folyamatot, egy jogos érdeken alapuló csalásfelderítést, egy hozzájáruláson alapuló marketingelemzést vagy egy munkavállalói adatokra épülő HR-eszközt. Itt a technikai hasznosság nem helyettesíti az adatkezelési jogalapot. Az, hogy egy adat javítja a modell teljesítményét, önmagában nem teszi jogszerűvé a felhasználását.
A második kulcspont az átláthatóság. Az érintetteknek érthető tájékoztatást kell kapniuk arról, hogy személyes adataikat milyen célból, milyen módon és milyen következményekkel kezelik. AI-rendszereknél ez azért nehéz, mert a feldolgozás gyakran komplex, több rendszerhez és szolgáltatóhoz kapcsolódik, a kimenet pedig következtetés vagy döntéstámogatás formájában jelenik meg. Az EDPB hozzáférési jogról szóló iránymutatása hangsúlyozza, hogy a hozzáférési jog célja az érintettek kontrolljának biztosítása saját személyes adataik felett, beleértve annak megértését is, hogyan kezelik az adataikat (European Data Protection Board, 2023).
Az AI-használatnál az átláthatóság nem pusztán adatvédelmi szöveg, hanem érthető működési magyarázat. Nem feltétlenül kell minden modelltechnikai részletet feltárni, de az érintettnek és a szervezetnek is értenie kell, hogy az AI milyen szerepet játszik a folyamatban. Ez különösen akkor fontos, ha az AI-kimenet döntést befolyásol, prioritást állít fel, személyre szabott ajánlatot készít vagy valamilyen kockázati kategóriába sorol.
A GDPR harmadik kiemelt kapcsolódási pontja az automatizált döntéshozatal és profilalkotás. A GDPR 22. cikke külön szabályt tartalmaz azokra a kizárólag automatizált adatkezelésen alapuló döntésekre, ideértve a profilalkotást is, amelyek joghatással járnak vagy az érintettet hasonlóan jelentős mértékben érintik. Ez nem minden AI-alapú döntéstámogatásra alkalmazandó automatikusan, de a jelentős hatású automatizálás külön adatvédelmi vizsgálatot igényel. A kérdés mindig az, van-e valódi emberi közreműködés, milyen hatása van a döntésnek, és milyen garanciák védik az érintettet.
A GDPR-kapcsolódás gyakran adatvédelmi hatásvizsgálatot is felvethet, különösen akkor, ha az AI-használat magas kockázatot jelenthet az érintettek jogaira és szabadságaira. Ilyen lehet például a nagyléptékű profilalkotás, érzékeny adatok használata, munkavállalók monitorozása vagy olyan döntéstámogatás, amely jelentős hatást gyakorol természetes személyekre. Ebben a helyzetben az adatvédelmi kockázat az érintetti hatásból következik, nem a rendszer újdonságából. Egy kevésbé látványos pontozó modell is magasabb figyelmet igényelhet, ha emberek lehetőségeit befolyásolja.
A GDPR tehát nem az AI-rendszert mint technológiát szabályozza, hanem a személyes adatok kezelését. Ez a különbség kulcsfontosságú. Egy AI-eszköz lehet AI Act szempontból releváns akkor is, ha kevés vagy semmilyen személyes adatot nem kezel; és lehet GDPR szempontból jelentős akkor is, ha AI Act alatt nem minősül magas kockázatúnak. A szervezetnek ezért minden AI-használati esetnél külön kell vizsgálnia az AI-szabályozási és adatvédelmi dimenziót.
A jogi megfelelés és az AIMS különbsége
Az AI Act és a GDPR jogi kötelezettségeket határoz meg. Az ISO/IEC 42001 alapú AIMS ezzel szemben menedzsmentrendszer: azt segíti, hogy a szervezet az AI-val kapcsolatos felelősségeket, folyamatokat, kockázatokat és kontrollokat következetesen működtesse. Az ISO hivatalos leírása szerint az ISO/IEC 42001 strukturált módot ad az AI-hoz kapcsolódó kockázatok és lehetőségek kezelésére, miközben az innováció és az irányítás közötti egyensúlyt keresi (ISO, 2023).
Ez azt jelenti, hogy az AIMS nem mondja ki automatikusan, hogy egy konkrét AI-használat jogszerű. A jogi megfeleléshez továbbra is szükség van jogi, adatvédelmi és adott esetben ágazati szakértői értékelésre. Ugyanakkor a menedzsmentrendszer nélkül a megfelelés könnyen eseti döntések halmaza marad. Egy-egy jogi vélemény hasznos lehet, de ha nincs AI-nyilvántartás, változáskezelés és felelősségi rend, a szervezet nem tudja biztosítani, hogy a megfelelés működés közben is fennmaradjon.
Az AIMS gyakorlati értéke abban áll, hogy összeköti a jogi vizsgálatot a szervezeti működéssel. Ha egy AI-használati eset GDPR-vizsgálatot igényel, akkor ennek legyen felelőse, határideje, dokumentuma, döntési következménye és felülvizsgálati pontja. Ha AI Act szerinti előszűrés szükséges, akkor legyen rögzítve, milyen adatok alapján történt a besorolás, ki végezte, mikor kell újraértékelni, és milyen kontrollokat kell alkalmazni. Ebben a működésben a megfelelés nem dokumentum, hanem ismételhető szervezeti rutin.
A különbség egy egyszerű példán jól látható. Egy HR-előszűrő AI-eszköznél a jogi vizsgálat kérdezheti, milyen AI Act kategória merül fel, milyen GDPR-jogalap használható, történik-e profilalkotás, szükséges-e adatvédelmi hatásvizsgálat, és milyen érintetti jogok biztosítandók. Az AIMS ezzel párhuzamosan azt kérdezi, ki a folyamatgazda, hol szerepel az eszköz a nyilvántartásban, milyen kontrollok kapcsolódnak hozzá, ki hagyta jóvá, hogyan történik az emberi felülvizsgálat, és milyen bizonyíték marad az audit számára.
Ezért a jogi megfelelés tartalmi döntés, az AIMS pedig működési rendszer. Az egyik meghatározza, mit kell teljesíteni; a másik segít abban, hogy a szervezet ezt következetesen, nyomon követhetően és javíthatóan tegye. A kettő egymás nélkül gyenge: a jogi elemzés működési beépítés nélkül elszigetelődik, a menedzsmentrendszer jogi tartalom nélkül formálissá válik.
A NIST AI Risk Management Framework hasonló szervezeti logikát erősít. A keretrendszer célja, hogy a szervezetek jobban kezeljék az AI-rendszerek egyénekre, szervezetekre és társadalomra gyakorolt kockázatait, és a Govern, Map, Measure és Manage funkciókon keresztül ismételhető kockázatkezelési működést alakítsanak ki (NIST, 2023).
Az AIMS-ben a jogi megfelelési kontrollok nem különálló mellékletként jelennek meg, hanem beépülnek az AI-életciklusba. Már a használati eset azonosításakor felmerül az előszűrés. Az adatkiválasztásnál megjelenik a GDPR-jogalap és adatminimalizálás. A validálásnál előkerülhet az átláthatóság és emberi felügyelet. Az élesítésnél jóváhagyási döntés szükséges. A változáskezelésnél pedig újra kell vizsgálni, hogy a módosítás érinti-e az AI Act vagy GDPR szerinti minősítést.
Itt a megfelelés életciklus-folyamat, nem egyszeri bevezetési akadály. Egy AI-rendszer célja, adatköre, felhasználói köre, beszállítója vagy döntési hatása változhat. Ha a szervezet csak bevezetéskor vizsgálja a jogi kérdéseket, könnyen előfordulhat, hogy a későbbi használat már más kockázati kategóriába kerül, miközben a kontrollok nem változnak.
Az AIMS tehát a jogi megfelelés szervezeti hordozója. Nem helyettesíti a jogi elemzést, de megteremti annak működési feltételeit: nyilvántartás, felelősség, kockázatértékelés, jóváhagyás, dokumentáció, audit és folyamatos fejlesztés formájában. Ez teszi lehetővé, hogy az AI Act és a GDPR ne csak külső követelményként jelenjen meg, hanem a mindennapi AI-irányítás részeként.
Átláthatóság, jogalap és érintetti hatás
Az AI-használati esetek jogi és irányítási vizsgálatában három fogalom különösen gyakran találkozik: átláthatóság, jogalap és érintetti hatás. Ezek nem kizárólag jogi kifejezések. Mindhárom olyan szervezeti kérdés is, amely meghatározza, hogy az AI-használat felelősen kezelhető-e.
Az átláthatóság AI-környezetben több szinten jelenik meg. Az érintett szintjén azt jelenti, hogy az érintett érthető tájékoztatást kap az adatkezelésről és az AI szerepéről. A felhasználó szintjén azt jelenti, hogy a munkatárs tudja, mire használható a rendszer, mikor kell ellenőriznie a kimenetet, és mikor nem szabad arra támaszkodnia. A vezetés és audit szintjén azt jelenti, hogy a rendszer célja, kockázata, kontrollja és működési bizonyítéka visszakereshető. Ebben az értelemben az átláthatóság több szereplőnek ad cselekvőképességet.
Az AI Act és a GDPR eltérő átláthatósági célokat hangsúlyozhatnak. Az AI Act bizonyos AI-rendszerek esetében kifejezett átláthatósági kötelezettségeket állapít meg, például egyes emberrel interakcióba lépő vagy tartalmat előállító rendszerekre. A GDPR pedig az adatkezelés átláthatóságát, az érintetti tájékoztatást és az érintetti jogok gyakorlását helyezi előtérbe. Ugyanaz a tájékoztatási hiány egyszerre lehet bizalmi és megfelelőségi probléma. Ha az érintett vagy a felhasználó nem érti az AI szerepét, a szervezet döntési és reputációs kockázatot is vállal.
A jogalap a GDPR egyik alapvető kérdése, de AI management szempontból is gyakorlati kontrollpont. A szervezetnek már a használati eset tervezésekor tisztáznia kell, milyen személyes adatokra van szükség, milyen célból, milyen jogalapon, milyen ideig és milyen hozzáférési rendben. Itt az adatminimalizálás irányítási döntés is, nem csak adatvédelmi elv. Ha egy AI-rendszer több adatot kér be, mint amennyi a célhoz szükséges, az nemcsak jogi, hanem működési és bizalmi kockázatot is növel.
Az érintetti hatás azt mutatja meg, hogy az AI-kimenet kikre és hogyan hat. Egy belső marketingötlet-generáló eszköz érintetti hatása általában korlátozottabb, mint egy ügyfélpanaszokat priorizáló vagy munkavállalói teljesítményértékelést támogató rendszeré. Az AI-kockázat súlyát az érintett következmény adja meg. Ha a kimenet valakit kedvezőtlen kategóriába sorol, szolgáltatástól távolít, lehetőségből kizár vagy jelentősen befolyásol, akkor a kontrolligény nő.
Az EDPB automatizált döntéshozatalról és profilalkotásról szóló iránymutatása azért különösen releváns, mert nemcsak a technikai automatizálást, hanem az érintett személyre gyakorolt jelentős hatást is vizsgálja. A valódi emberi közreműködés kérdése ilyenkor központi: nem elég, hogy formálisan van ember a folyamatban, ha a gyakorlatban nincs érdemi befolyása a döntésre (Article 29 Working Party, 2018).
Ez a szervezeti gyakorlatban azt jelenti, hogy az emberi felügyelet nem lehet puszta jóváhagyó kattintás. A felhasználónak értenie kell a kimenetet, lehetősége kell legyen eltérni tőle, és az eltérést szakmailag, szervezetileg is vállalható módon kell dokumentálni. Ha a rendszer javaslata a gyakorlatban automatikusan elfogadott döntéssé válik, akkor a szervezetnek ezt a tényleges működést kell értékelnie, nem a folyamatábrán szereplő formális szerepet.
Az átláthatóság, jogalap és érintetti hatás közös pontja az, hogy mindhárom a használati eset pontos leírását igényli. Nem lehet általánosságban megmondani, hogy egy chatbot, prediktív modell vagy generatív AI-eszköz milyen megfelelési vizsgálatot igényel. Tudni kell, kik használják, kikkel kommunikál, milyen adatokat kezel, milyen kimenetet ad, és ez a kimenet milyen döntésre vagy folyamatra hat.
A gyakorlatban ezért minden AI-használati esetnél érdemes rögzíteni:
kezeli-e a rendszer személyes adatot;
milyen jogalap merül fel;
van-e profilalkotás vagy automatizált döntési elem;
milyen érintetti jogok lehetnek relevánsak;
kell-e külön átláthatósági tájékoztatás;
milyen emberi felügyelet szükséges;
milyen AI Act szerinti előszűrés indokolt;
történhet-e jelentős hatás természetes személyekre.
A lista célja nem az, hogy a nem jogász szereplők jogi minősítést végezzenek. A cél az, hogy a megfelelési vizsgálathoz szükséges tények ne vesszenek el a technikai leírásban. Az üzleti, IT, jogi, adatvédelmi és compliance szereplők csak akkor tudnak érdemi döntést hozni, ha ugyanarról a használati valóságról beszélnek.
AI-használati esetek jogi előszűrése
Az AI-használati esetek jogi előszűrése az AIMS egyik legfontosabb gyakorlati funkciója. Nem minden AI-eszközhöz kell azonos mélységű jogi elemzés, de minden azonosított használati esetnél el kell tudni dönteni, felmerül-e AI Act, GDPR vagy mindkét típusú megfelelőségi kérdés. Ez a szűrés nem a jogi részleg magánügye: a tényeket az üzleti, technikai és folyamatgazdai szereplőknek kell biztosítaniuk.
Az előszűrés első kérdése az, hogy az adott megoldás AI-rendszerként kezelendő-e szervezeti irányítási szempontból. Ha adatokból, szabályokból vagy modellekből következtetést, ajánlást, döntéstámogatást, tartalmat vagy automatizált kimenetet állít elő, akkor legalább vizsgálni kell az AI management relevanciáját. Itt a szervezeti hatás fontosabb, mint a marketingcímke. Nem az a döntő, hogy a beszállító AI-nak nevezi-e a funkciót, hanem hogy a kimenet milyen folyamatot vagy döntést befolyásol.
A második kérdés az AI Act szerinti előzetes kockázati jelleg. A szervezetnek tisztáznia kell, hogy a használati eset kapcsolódhat-e tiltott vagy magas kockázatú kategóriákhoz, illetve felmerül-e külön átláthatósági kötelezettség. HR, oktatás, alapvető szolgáltatásokhoz való hozzáférés, munkavállalói menedzsment, biometrikus alkalmazások vagy jelentős döntéstámogatás esetén fokozott figyelem indokolt. Ebben a lépésben a cél nem végleges jogi ítélet, hanem a további vizsgálat szükségességének felismerése.
A harmadik kérdés a GDPR-érintettség. Kezel-e a rendszer személyes adatot? Ha igen, milyen adatot, milyen célból, milyen jogalapon, milyen érintetti körrel, milyen szolgáltatóval és milyen megőrzési szabállyal? Van-e profilalkotás? Van-e kizárólag automatizált döntés vagy jelentős hatás? Szükséges-e adatvédelmi hatásvizsgálat? Ezek a kérdések azért lényegesek, mert az AI-használat adatvédelmi kockázata gyakran a másodlagos következtetésekben jelenik meg. Nemcsak a bemenet számít, hanem az is, milyen értékelést vagy kategóriát hoz létre a rendszer.
A negyedik kérdés az érintetti és társadalmi hatás. Egy AI-alapú marketingmegoldás például személyre szabhat ajánlatokat, szegmentálhat ügyfeleket vagy generálhat tartalmat. Egy ügyfélszolgálati rendszer rangsorolhat panaszokat, automatikus választ küldhet vagy javaslatot adhat a munkatársnak. Egy HR-eszköz önéletrajzokat előszűrhet vagy interjúösszefoglalót készíthet. Ezeknél az érintetti hatás dönti el, mennyire erős kontrollra van szükség. Ahol emberek lehetősége, hozzáférése vagy megítélése változhat, ott a szervezetnek óvatosabban kell eljárnia.
Az ötödik kérdés az emberi felügyelet. Ki látja a kimenetet? Ki dönt? Lehet-e eltérni a javaslattól? Dokumentálják-e az eltérést? Kapott-e a felhasználó képzést? Tudja-e, mikor nem támaszkodhat a rendszerre? Itt a felügyelet minősége fontosabb, mint a felügyelet formális léte. Egy emberi jóváhagyási pont nem jelent valódi kontrollt, ha a felhasználó nem érti a kimenetet, nincs ideje ellenőrizni, vagy szervezeti nyomás alatt automatikusan elfogadja.
Egy gyakorlati előszűrési lap legalább az alábbi mezőket tartalmazhatja:
Előszűrési szempont
Mit kell tisztázni?
Tipikus felelős
Használati cél
mire szolgál az AI-kimenet
üzleti folyamatgazda
AI-kimenet
ajánlás, rangsor, tartalom, döntéstámogatás vagy automatizálás
üzleti és IT-terület
Érintett adatok
személyes, bizalmas vagy érzékeny adatok
adatgazda, DPO, IT
Döntési hatás
milyen folyamatot vagy döntést befolyásol
folyamatgazda
AI Act előszűrés
felmerül-e magasabb szabályozási kategória
jogi/compliance
GDPR előszűrés
jogalap, tájékoztatás, érintetti jogok, DPIA
DPO/jogi terület
Emberi felügyelet
ki ellenőriz és mikor avatkozhat be
folyamatgazda
Bizonyíték
milyen dokumentum marad az értékelésről
AIMS-felelős
Ez a táblázat nem jogi vélemény, hanem működési eszköz. Segít abban, hogy az AI Act és GDPR kérdései ne későn, véletlenszerűen vagy hiányos információval kerüljenek a megfelelő szereplőkhöz. Az előszűrés a megfelelési munka kapuja, nem a megfelelés végállomása. Ha a szűrés kockázatot jelez, részletesebb jogi, adatvédelmi, információbiztonsági vagy etikai vizsgálatra lehet szükség.
A gyakorló feladatban egy HR-, ügyfélszolgálati vagy marketingmegoldás kiválasztása különösen hasznos. HR esetben felmerülhet jelöltek rangsorolása, munkavállalói adatok kezelése, jelentős érintetti hatás és emberi felülvizsgálat. Ügyfélszolgálatnál kérdés lehet az automatikus válasz, ügyféladatok feldolgozása, panaszok priorizálása és tájékoztatás. Marketingnél megjelenhet személyre szabás, profilalkotás, hozzájárulás vagy jogos érdek vizsgálata, valamint generált tartalom átláthatósága.
Az AIMS akkor működik jól, ha ezek a kérdések nem utólag merülnek fel. Már az AI-eszköz kiválasztásakor, a beszerzésnél, a pilotnál, az adatkapcsolatok kialakításánál és az élesítés előtt láthatónak kell lenniük. Így a megfelelés nem fékezi az AI-használatot, hanem biztonságos döntési pályára állítja. A szervezet gyorsabban tud haladni, ha tudja, mely használati eset igényel részletesebb vizsgálatot, és melyik kezelhető egyszerűbb kontrollokkal.
Az AI Act, a GDPR és az ISO/IEC 42001 kapcsolódási pontjainak megértése végső soron egyetlen gyakorlati képességet épít: a szervezet képes lesz felismerni, mikor milyen típusú vizsgálat szükséges. Az AI Act az AI-rendszer kockázati és szabályozási szerepére irányítja a figyelmet. A GDPR a személyes adatok, jogalapok, átláthatóság és érintetti jogok felől vizsgál. Az AIMS pedig mindezt szervezeti folyamattá, felelősséggé és auditálható bizonyítékká alakítja. A felelős AI-irányítás nem ott kezdődik, hogy mindenre azonnal teljes jogi elemzés készül, hanem ott, hogy a szervezet időben felismeri, melyik AI-használati eset milyen megfelelési kérdést vet fel.
További olvasnivaló
EU AI Act teljes szöveg: https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng
GDPR teljes szöveg: https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
ISO/IEC 42001:2023 áttekintés: https://www.iso.org/standard/42001
EDPB – Automated decision-making and profiling: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/automated-decision-making-and-profiling_en
NIST AI Risk Management Framework: https://www.nist.gov/itl/ai-risk-management-framework
NIST AI RMF 1.0 explainer video: https://www.nist.gov/video/introduction-nist-ai-risk-management-framework-ai-rmf-10-explainer-video
Felhasznált szakirodalom
Article 29 Data Protection Working Party. (2018). Guidelines on automated individual decision-making and profiling for the purposes of Regulation 2016/679 (WP251 rev.01). European Data Protection Board. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/automated-decision-making-and-profiling_en
European Data Protection Board. (2023). Guidelines 01/2022 on data subject rights – Right of access, version 2.1. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_en
European Parliament & Council of the European Union. (2016). Regulation (EU) 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data. Official Journal of the European Union. https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
European Parliament & Council of the European Union. (2024). Regulation (EU) 2024/1689 laying down harmonised rules on artificial intelligence. Official Journal of the European Union. https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng
High-Level Expert Group on Artificial Intelligence. (2019). Ethics guidelines for trustworthy AI. European Commission. https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai
International Organization for Standardization. (2023). ISO/IEC 42001:2023: Information technology — Artificial intelligence — Management system. ISO. https://www.iso.org/standard/42001
National Institute of Standards and Technology. (2023). Artificial Intelligence Risk Management Framework (AI RMF 1.0). U.S. Department of Commerce. https://doi.org/10.6028/NIST.AI.100-1