Az Európai Bizottság egy új csomaggal, a Digital Omnibusszal lép színre, amely alapjaiban rajzolja át az EU digitális szabályrendszerét: későbbre tolja az AI Act legkeményebb, „magas kockázatú” előírásait, lazít bizonyos adatvédelmi szabályokon, egyszerűsíti a cookie-kezelést, és általában véve könnyebbé akarja tenni az életet a techcégeknek. A magas kockázatú AI-rendszerekre vonatkozó szigorú követelmények nem 2026-ban, hanem csak 2027 vége körül lépnének életbe, miközben a GDPR-t is úgy módosítanák, hogy a cégek könnyebben használhassák az európai felhasználói adatokat mesterséges intelligencia modellek tanítására. A hivatalos narratíva: kevesebb adminisztráció, erősebb európai versenyképesség. A kritikus narratíva: az EU az eddigi szigorú digitális jogvédelemből lép vissza, és túl sokat enged a Big Tech-nek.
Mit jelent a magas kockázatú AI-szabályok halasztása?
Az AI Act lényege, hogy kockázati szintek alapján szabályozza az AI-rendszereket. A „magas kockázatú” kategóriába tartoznak például:
-
biometrikus azonosítási rendszerek (arc, hang, ujjlenyomat),
-
egészségügyi diagnosztikai AI-megoldások,
-
hitelképesség-vizsgáló algoritmusok,
-
munkaerő-felvételt támogató AI,
-
közlekedésbiztonsághoz kapcsolódó rendszerek,
-
egyes rendészeti, igazságszolgáltatási alkalmazások.
Ezekre eddig az volt a menetrend, hogy 2026-tól komoly dokumentációs, kockázatértékelési, átláthatósági és audit-követelmények lépnek életbe. A mostani javaslat viszont:
-
kitolja a kötelező megfelelési határidőt 2027 vége felé,
-
bizonyos szektoroknál (pl. orvostechnika, gépipar) akár 2028-ig is csúszhatnak a szigorú szabályok,
-
és közben a felügyeleti, ellenőrzési mechanizmusokat is rugalmasabbá teszi.
A hivatalos indoklás szerint a halasztásra azért van szükség, mert nem állnak készen a technikai szabványok és a támogató eszközök, és a mostani tempó mellett a kisebb cégek egyszerűen belefulladnának a megfelelésbe.
Lazább adat- és cookie-szabályok: kevesebb kattintás, több adat
A csomag nem csak az AI Act-hez nyúl hozzá, hanem a digitális keretrendszer több eleméhez is. A terv nagy vonalakban ez:
-
Cookie-k: kevesebb idegölő cookie-banner, több „globális” beállítás, ahol a felhasználó egyszer dönt, és azt a döntést több oldal tiszteletben tartja;
-
Adatvédelem (GDPR): pontosítják, mikor tekinthető egy adat valóban anonimizáltnak – a gyakorlatban ez könnyebbé teheti az anonimnak minősített adatok felhasználását AI-tréningre;
-
AI-tréning adatok: bizonyos esetekben szélesebb mozgásteret kapnának a cégek, hogy az európai felhasználói adatokat modelltanításhoz használják, szigorúbb dokumentáció mellett, de kevesebb egyedi hozzájárulás-kényszerrel.
Papíron a cél az, hogy ne legyen minden kattintás egy külön GDPR-drámává felskálázva, és az AI-fejlesztés ne fulladjon bele az adatkezelési papírmunkába. A kritikusok viszont attól tartanak, hogy ezzel gyengül a felhasználók feletti kontroll, és a cégek könnyebben nyúlhatnak a nagy adatvödrökhöz.
Miért csinálja ezt az EU? Versenyképesség vs. jogvédelem
A háttér ok kb. két mondatban összefoglalható: Európa le van maradva AI-ban, és közben az európai gazdaság is gyengélkedik.
Az EU eddig arról volt híres, hogy:
-
a világ egyik legkeményebb adatvédelmi szabályrendszerét vitte (GDPR),
-
a Big Tech-cégeket központilag próbálta kordában tartani (DMA, DSA, stb.),
-
az AI Act-tel pedig az első „nagy” átfogó AI-szabályt hozta.
Most viszont egyre több jel mutat arra, hogy ez a modell:
-
versenyhátrányt okoz az európai startupoknak és kkv-knak,
-
adminisztrációval terheli a kísérletezők, innovátorok jelentős részét,
-
miközben az USA és Kína agresszívebben tolja az AI-fejlesztést.
A Digital Omnibus lényegében egy politikai hátralépés: a Bizottság azt üzeni, hogy továbbra is fontosak a jogok és az adatvédelem, de realistább tempóban szeretnék bevezetni a szabályokat, és egy kicsit „fellazítani” a rendszert, hogy ne ölje meg a versenyképességet.
Mit jelent ez a magyar cégeknek és AI-fejlesztőknek?
Magyar szemmel nézve a sztori nem csak elvont brüsszeli vita, hanem nagyon is gyakorlati kérdés:
-
Több idő a megfelelésre – aki magas kockázatú AI-t fejleszt (pl. orvosi, HR-szűrő, pénzügyi scoring, ipari biztonság), az legalább egy év plusz időt kap arra, hogy az AI Act-nek megfeleljen. Ez különösen a kisebb fejlesztő cégeknek, startupoknak jó hír.
-
Kevesebb papír egy csomó „nem high-risk” megoldásnál – az egyszerűbb, belső folyamatokat támogató AI-k (pl. ügyfélszolgálati chatbot, belső analitika) esetében a megfelelési súly nagy része inkább GDPR-szinten marad, nem ugrik át full AI Act-hardcore módba.
-
Adat-hozzáférés – ha valóban könnyebbé válik az anonimizált vagy részben feldolgozott adatok használata modelltanításhoz, az magyar fejlesztőknek is nagy segítség lehet. Ugyanakkor nő a felelősség is: nagyon világosan kell tudni dokumentálni, honnan jön az adat, milyen jogalapon használják, és hogyan védik a felhasználókat.
-
Ügyfélkommunikáció – aki ügyfeleknek fejleszt AI-t (pl. HR-szoftvert, pénzügyi rendszert, marketing-automatizációt), annak a következő két év arról fog szólni, hogy újraírja a szerződéseket, adatkezelési tájékoztatókat, és közben figyeli, hogy a Digital Omnibus végleges verziója pontosan mit ír elő.
Magyar kkv-knak, akik kiszervezett AI-megoldást vesznek (pl. SaaS alapú HR-szűrő, scoring, chatbot), ez főleg abban jelenik meg, hogy a szolgáltatás mögött álló külföldi beszállító később, fokozatosabban szigorodik, és a szerződéses papírok is ennek megfelelően lassabban szigorodnak.
