Az Európai Parlament 2024. március 13-án elfogadta a Mesterséges Intelligenciáról szóló Rendeletet (EU AI Act), amely az Általános Adatvédelmi Rendelettel (GDPR) szorosan összekapcsolódva szabályozza az AI rendszerek fejlesztését és használatát az EU-ban. Míg a GDPR elsősorban az alapvető jogok és a személyes adatok védelmére összpontosít, az EU AI Act szélesebb körű célokat szolgál, beleértve az egészség, biztonság, demokrácia, jogállamiság és környezetvédelem szempontjait is.
A két jogszabály közötti legjelentősebb különbségek a kockázatkezelési megközelítésben rejlenek. Az EU AI Act négyszintű kockázati kategorizálást vezet be (tiltott, magas, korlátozott és minimális kockázatú rendszerek), míg a GDPR általánosabb követelményeket támaszt. A szankciók tekintetében az EU AI Act szigorúbb, maximum az éves forgalom 7%-áig vagy 35 millió euróig terjedő bírságot tesz lehetővé, szemben a GDPR 4%-os vagy 20 millió eurós felső határával. Az EU AI Act különös figyelmet fordít az emberi felügyeletre: a 14. cikk előírja, hogy a magas kockázatú AI rendszereket úgy kell megtervezni, hogy azokat természetes személyek hatékonyan felügyelhessék, míg a GDPR 22. cikke tiltja a kizárólag automatizált döntéshozatalt jelentős joghatással járó esetekben. A jogszabályok hatálya is eltérő: míg a GDPR kizárólag a személyes adatok védelmét szabályozza, az EU AI Act akkor is alkalmazandó, ha nem történik személyes adatkezelés, ugyanakkor mindkét jogszabály extraterritoriális hatállyal bír az EU-n kívüli szervezetekre nézve is.
A megfelelőség bizonyítása szempontjából mindkét jogszabály hasonló eszközöket alkalmaz: az EU AI Act megfelelőségi értékelést és alapjogi hatásvizsgálatot (Fundamental Rights Impact Assessment, FRIA) ír elő a magas kockázatú rendszerekre. A FRIA célja annak biztosítása, hogy az adott AI rendszer ne sértse az alapvető jogokat, például a magánélethez való jogot, a megkülönböztetésmentességet vagy a tisztességes eljáráshoz való jogot. Ennek során elemzik a rendszer potenciális hatásait és azt, hogy megfelelő biztosítékok állnak-e rendelkezésre a jogsérelem elkerülésére.
A GDPR ezzel párhuzamosan az adatvédelmi hatásvizsgálatot (Data Protection Impact Assessment, DPIA) követeli meg a magas kockázatú adatkezelési műveletekre. A DPIA célja az adatkezelési folyamatokból eredő kockázatok azonosítása és kezelése, különös tekintettel az érintettek jogaira és szabadságaira. Ez különösen fontos, ha új technológiát alkalmaznak, nagymértékű személyes adatkezelés történik, vagy ha az érintettek jogai nagyobb veszélynek vannak kitéve.
Az átláthatóság és elszámoltathatóság alapelvei mindkét szabályozásban központi szerepet játszanak: az EU AI Act 13. cikke részletes követelményeket tartalmaz a magas kockázatú AI rendszerek átláthatóságára vonatkozóan, míg a GDPR 13. és 15. cikke az érintettek tájékoztatási és hozzáférési jogait szabályozza. A felügyeleti struktúra tekintetében minden tagállamnak ki kell jelölnie nemzeti hatóságokat az EU AI Act betartásának ellenőrzésére, amelyeket az Európai Mesterséges Intelligencia Testület és az Európai AI Hivatal támogat, hasonlóan a GDPR adatvédelmi hatóságaihoz és az Európai Adatvédelmi Testülethez.
Források:
James Clark, Muhammed Demircan, Kalyna Kettas
Jure Globocnik
Nils Hullen
