2. cikk — Hatály (EU MI-rendelet)

Az (EU) 2024/1689 rendelet 2. cikke — Hatály. Hivatalos szöveg, gyakorlati értelmezés, főbb kötelezettségek és megfelelőségi következmények.

A hivatalos szöveg összefoglalása

Az (EU) 2024/1689 rendelet 2. cikke meghatározza az EU MI-rendelete tárgyi és területi hatályát. Megállapítja, hogy mely szereplők, rendszerek és körülmények esnek a rendelet hatókörébe.

Ratione personae, a rendelet vonatkozik: (1) azokra a szolgáltatókra, akik MI-rendszereket hoznak forgalomba az Unió piacán, vagy az EU-ban szolgáltatásba állítják azokat, függetlenül letelepedési helyüktől; (2) azokra az MI-rendszer-üzemeltetőkre, akik az EU-ban telepedtek le vagy tartózkodnak; (3) harmadik országokban letelepedett szolgáltatókra és üzemeltetőkre, amennyiben az MI-rendszer kimenete az Unióban kerül felhasználásra; (4) MI-rendszerek importőreire és forgalmazóira; valamint (5) azokra a termékgyártókra, akik MI-rendszereket mint szabályozott termékek biztonsági összetevőit hozzák forgalomba az Unió piacán.

A 2. cikk továbbá pontosítja, hogy a rendelet nem vonatkozik a kizárólag katonai, nemzetbiztonsági vagy védelmi célokra fejlesztett vagy használt MI-rendszerekre, sem a harmadik országok közhatóságai vagy nemzetközi szervezetek által bűnüldözési és igazságügyi együttműködésről szóló nemzetközi megállapodások keretében használt MI-rendszerekre. A még forgalomba nem hozott, kutatási és fejlesztési fázisban lévő, felhasználók számára elérhetővé tétel előtt álló MI-rendszerek szintén kívül esnek a hatályon.

Amennyiben az üzemeltető vagy a szolgáltató az EU-n kívül telepedett le, de az MI-rendszer kimenete az EU-ban kerül felhasználásra, a rendelet mégis alkalmazandó, a GDPR-modellhez hasonlítható erős területenkívüli hatályt megállapítva.

Mit jelent ez a gyakorlatban

A 2. cikk meghatározza, hogy szervezetének egyáltalán meg kell-e felelnie az EU MI-rendeletének — ez az a küszöbkérdés, amelyet minden jogi és megfelelőségi csapatnak meg kell válaszolnia, mielőtt bármilyen kötelezettséget fel lehetne mérni.

Az EU-ban letelepedett vállalatok számára az elemzés egyértelmű: ha az EU-ban elérhető termékekben vagy szolgáltatásokban MI-rendszereket fejleszt, bevezet, importál, forgalmaz vagy integrál, a hatály alá esik. Ez magában foglalja a MI-alapú funkciókat kínáló SaaS-szolgáltatókat, a HR-ben, hitelezésben vagy egészségügyben MI-eszközöket bevezető vállalatokat, valamint a meglévő uniós termékbiztonsági jogszabályok hatálya alá tartozó fizikai termékekbe MI-t beépítő gyártókat.

Az EU-n kívüli vállalatok számára a döntő teszt az, hogy az MI-rendszer kimenete eléri-e vagy érinti-e az EU-ban lévő egyéneket vagy szervezeteket. Például egy olyan amerikai vállalat, amely a multinacionális vállalatok európai leányvállalatai által használt, MI-alapú munkáltatói szűrési eszközt nyújt, a hatály alá esik, még akkor is, ha magának a vállalatnak nincs uniós jelenléte. Az ilyen szolgáltatóknak az Unióban meghatalmazott képviselőt kell kijelölniük.

A gyakorlatban a megfelelőségi csapatoknak először fel kell térképezniük minden használatban lévő vagy fejlesztés alatt álló MI-rendszert, majd alkalmazniuk kell a 2. cikk kritériumait mindegyikre. A kizárólag belső K+F-re használt — végfelhasználók számára nem bevezetett — rendszerek hatályon kívülként dokumentálhatók, de ezt az állapotot aktívan fenn kell tartani és a bevezetéskor felül kell vizsgálni. A katonai és nemzetbiztonsági kivételek szűkek, és nem szabad feltételezni, hogy kettős felhasználású rendszerekre vagy bűnüldözési eszközökre vonatkoznak gondos jogi felülvizsgálat nélkül.

A nyílt forráskódú modell-szolgáltatók néhány enyhített kötelezettségtől profitálnak, de a tiltott gyakorlatok és a magas kockázatú besorolások tekintetében továbbra is a hatály alá esnek.

Főbb kötelezettségek

• Hatály meghatározása: A szervezeteknek pozitívan meg kell állapítaniuk, hogy a meghatározott szereplői kategóriák egyikébe esnek-e (szolgáltató, üzemeltető, importőr, forgalmazó vagy termékgyártó), mielőtt felmérik, mely kötelezettségi szint vonatkozik rájuk.
• Területenkívüli megfelelőség: Az EU-n kívüli azon szolgáltatóknak, amelyek MI-rendszereinek kimenete az Unióban kerül felhasználásra, meg kell felelniük a rendeletnek, és az EU-ban letelepedett meghatalmazott képviselőt kell kijelölniük.
• Szerepek egyértelműsége: Amennyiben ugyanaz a szervezet egyidejűleg szolgáltatóként és üzemeltetőként is eljár, mindkét kötelezettségsorozat kumulatívan alkalmazandó; a szervezeteknek minden egyes szerepet külön kell dokumentálniuk és kezelniük.
• K+F-határdokumentáció: A kutatási és fejlesztési mentességre támaszkodó szervezeteknek egyértelmű nyilvántartást kell vezetniük, amely igazolja, hogy a rendszert nem hozták forgalomba és nem állították szolgáltatásba, és a fejlesztés minden szakaszában újra kell értékelniük a hatályt.
• Kivételek szűk értelmezése: A katonai, nemzetbiztonsági és védelmi kivételeket szigorúan kell alkalmazni; a kettős felhasználású MI-rendszerek vagy az általános bűnüldözési összefüggésekben használt rendszerek nem minősülnek automatikusan kivételnek.
• Meghatalmazott képviselő kijelölése: A hatály alá eső harmadik országbeli szolgáltatóknak formálisan ki kell jelölniük és dokumentálniuk kell az EU-ban lévő meghatalmazott képviselőjüket megfelelőségi infrastruktúrájuk részeként.

Kapcsolat más cikkekkel

A 2. cikk a teljes szabályozási keret belépési pontja, és számos alapvető rendelkezéssel együtt kell olvasni. A 3. cikk (Fogalommeghatározások) elengedhetetlen a 2. cikkben használt kulcsfogalmak értelmezéséhez, különösen az „MI-rendszer," a „szolgáltató" és az „üzemeltető" meghatározásaihoz, amelyek meghatározzák a hatályt. Az 5. cikk (Tiltott MI-gyakorlatok) a hatály alá eső összes szereplőre vonatkozik kockázati szintjüktől függetlenül, ami a 2. cikk szerinti helyes hatálymeghatározást a legsúlyosabb kötelezettségek értékelésének előfeltételévé teszi. A 6. cikk (Magas kockázatú MI-rendszerek osztályozása) és az 51. cikk (GPAI-modellek osztályozása) csak a 2. cikk szerinti hatály megerősítése után válik relevánsabbá. A harmadik országbeli szolgáltatói útvonalra támaszkodó szervezetek számára a 2. cikk közvetlenül kapcsolódik a 25. cikkhez (Importőrök kötelezettségei) és a 26. cikkhez (Forgalmazók kötelezettségei). A 2. cikkben megállapított területenkívüli hatály a GDPR 3. cikkének logikáját tükrözi, és a szabályozó hatóságok megerősítették, hogy ezeket a rendelkezéseket következetesen kell értelmezni.

Megfelelőségi ütemterv

A 2. cikk 2024. augusztus 1-jén lépett hatályba, a rendelet az EU Hivatalos Lapjában való közzétételét követő huszadik napon. Azonban gyakorlati kötelezettségei a rendelet lépcsőzetes alkalmazási menetrendje szerint aktiválódnak:

• 2025. február 2.: A 2. cikk hatálya teljesen alkalmazandó az 5. cikk szerinti tiltott MI-gyakorlatok tekintetében — a szervezeteknek eddig a dátumig el kell végezniük hatálymeghatározásukat, hogy felmérjék, vajon valamelyik rendszerük tiltott kategóriákba esik-e.
• 2025. augusztus 2.: A hatály vonatkozik az általános célú MI (GPAI) modell-szolgáltatókra a VIII. cím (51–56. cikkek) alapján, beleértve a rendszerszintű kockázatértékeléseket és az átláthatósági kötelezettségeket.
• 2026. augusztus 2.: A 2. cikk (1) bekezdésének h) pontja alapján MI-rendszereket használó uniós intézmények és szervek kötelezettségei alkalmazandóvá válnak.
• 2026. december 2.: A 2. cikk hatálya vonatkozik az I. mellékletben felsorolt magas kockázatú MI-rendszerekre (szabályozott termékek biztonsági összetevői).
• 2027. augusztus 2.: Teljes alkalmazás a III. mellékletben felsorolt magas kockázatú MI-rendszerekre (önálló magas kockázatú alkalmazások olyan területeken, mint a foglalkoztatás, oktatás, kritikus infrastruktúra és bűnüldözés).

A szervezeteknek 2024. augusztusát kell kezelniük azon időpontként, amelytől a hatályfelmérési gyakorlatoknak meg kellett volna kezdődniük, és minden egymást követő határidő egy megfelelő megfelelőségi munkafolyamatot indít el.