27. cikk — Az alapvető jogokra gyakorolt hatás értékelése a nagy kockázatú mesterséges intelligencia rendszerek esetében (EU MI Rendelet)

Az (EU) 2024/1689 rendelet 27. cikke — Az alapvető jogokra gyakorolt hatás értékelése a nagy kockázatú MI rendszerek esetében. Hivatalos szöveg, gyakorlati értelmezés, főbb kötelezettségek és megfelelési következmények.

A hivatalos szöveg összefoglalója

Az (EU) 2024/1689 rendelet 27. cikke kötelezettséget állapít meg bizonyos, nagy kockázatú MI rendszereket üzemeltető szervek számára, hogy az ilyen rendszerek üzembe helyezése előtt alapvető jogokra gyakorolt hatásvizsgálatot (AJHV) végezzenek. A kötelezettség vonatkozik a 2014/24/EU irányelv értelmében közjog által szabályozott szervként minősülő üzemeltetőkre, valamint azokra az üzemeltetőkre, amelyek közszolgáltatást nyújtó magánjogi szervezetek — különösen a banki, biztosítási, egészségügyi, oktatási és szakképzési, foglalkoztatási és munkásirányítási, valamint kritikus infrastruktúra igazgatási területeken.

A vizsgálatot az üzembe helyezés előtt kell elvégezni, és az alábbi elemeket kell lefednie: az üzemeltető azon folyamatainak leírása, amelyekben a nagy kockázatú MI rendszert használni fogják, és azok célja; az érintett természetes személyek és csoportok kategóriái; a használatból eredő konkrét alapvető jogi kockázatok; az üzemeltető által az e kockázatok mérséklése érdekében végrehajtani kívánt konkrét intézkedések; annak jelzése, hogy léteznek-e panasz- vagy jogorvoslati mechanizmusok; és adott esetben a gyermekekre gyakorolt hatás leírása.

A kötelezettség hatálya alá tartozó üzemeltetőknek az üzembe helyezés előtt értesíteniük kell az illetékes piacfelügyeleti hatóságot a III. mellékletben felsorolt, nagy kockázatú MI rendszerek egyes kategóriáinak üzembe helyezésekor is. A vizsgálatnak a 13. cikk szerint a szolgáltató által nyújtott tájékoztatásra kell épülnie, és azt dokumentálni kell, valamint az illetékes hatóságok rendelkezésére kell bocsátani.

Mit jelent ez a gyakorlatban

A hatály alá tartozó szervezetek számára a 27. cikk megköveteli a strukturált, dokumentált folyamatot, mielőtt bármely nagy kockázatú MI rendszer üzembe lép. Ez nem egy alkalommal elvégzendő ellenőrző feladat — az AJHV-nek tükröznie kell a tényleges üzemeltetési körülményeket, és felül kell vizsgálni azt, amikor e körülmények lényegesen megváltoznak.

Egy MI-alapú diagnosztikai vagy triázs rendszert bevezető állami kórháznak fel kell mérnie, hogy mely betegcsoportokat érinthet aránytalanul, milyen jogok forognak kockán (méltóság, diszkrimináció tilalma, egészségügyi ellátáshoz való hozzáférés), és milyen biztosítékok léteznek, ha a rendszer helytelen ajánlásokat ad. A szociális juttatások jogosultságának szűrésére MI rendszert alkalmazó helyi önkormányzatnak azonosítania kell a szociális védelemhez és a tisztességes eljáráshoz való jog kockázatait, és dokumentálnia kell, hogyan fog a humán felügyelet a gyakorlatban működni.

A nyilvánosságnak szánt pénzügyi szolgáltatásokat nyújtó magánjogi szervezetek — mint a hitelminősítő vagy biztosítási kockázat-átvállalási platformok — a hatály alá esnek, ha a III. melléklet szerinti nagy kockázatú rendszerek üzemeltetőiként minősülnek. A hiteligénylések értékelésére MI modellt alkalmazó fintech vállalatnak fel kell térképeznie az algoritmikus döntéseknek kitett demográfiai csoportokat, értékelnie kell a diszkriminatív eredmények kockázatát, és dokumentált jogorvoslati útvonalat kell kialakítania.

Gyakorlatilag az üzemeltetőknek az AJHV-t be kell építeniük meglévő, a GDPR szerinti adatvédelmi hatásvizsgálati (AVHV) munkafolyamataikba, ahol ez releváns, mivel a 27. cikk (4) bekezdése kifejezetten lehetővé teszi a két vizsgálat együttes elvégzését. A szervezeteknek ki kell jelölniük a vizsgálat felelős gazdáját, a szolgáltató műszaki dokumentációját és használati útmutatóját kell felhasználniuk bemenetként, és egy verzióval ellátott nyilvántartást kell létrehozniuk, amely igény esetén bemutatható a felügyeleti hatóságoknak.

Főbb kötelezettségek

Alapvető jogokra gyakorolt hatásvizsgálatot kell végezni az üzemeltető hatálya alá tartozó bármely nagy kockázatú MI rendszer üzembe helyezése előtt, lefedve a tervezett felhasználást, az érintett személyeket, az azonosított kockázatokat és a tervezett mérséklési intézkedéseket.
A vizsgálatot írásban kell dokumentálni, és azt az illetékes hatóságok, valamint a piacfelügyeleti hatóságok kérésére ellenőrzés céljából meg kell őrizni.
Az illetékes piacfelügyeleti hatóságot értesíteni kell az üzembe helyezés előtt, ha a III. mellékletben felsorolt nagy kockázatú MI rendszer adott kategóriája ezt megköveteli.
A 13. cikk szerint az MI rendszer szolgáltatója által nyújtott tájékoztatást és használati útmutatót kötelező bemenetként kell felhasználni a vizsgálathoz.
A vizsgálatot frissíteni kell, ha az üzemeltetési körülmények lényegesen megváltoznak, beleértve az érintett személyek kategóriáiban, a felhasználás céljában vagy a rendszer kockázati profiljában bekövetkező változásokat.
Ha a GDPR 35. cikke szerinti adatvédelmi hatásvizsgálat is szükséges, a két vizsgálat együttesen is elvégezhető az adminisztratív terhek csökkentése érdekében, feltéve, hogy mindkettő valamennyi eleme le van fedve.

Kapcsolat más cikkekkel

A 27. cikk a III. cím 3. fejezetébe tartozik, amely megosztoztatja a kötelezettségeket a szolgáltatók és az üzemeltetők között. A 26. cikkel (az üzemeltetők kötelezettségei általában) együtt kell értelmezni, amely megállapítja az üzemeltetők általános kötelezettségét arra, hogy a nagy kockázatú rendszereket a szolgáltató útmutatásainak megfelelően használják, és humán felügyeletet alkalmazzanak. Az AJHV közvetlenül a 13. cikk (átláthatóság és tájékoztatás az üzemeltetők számára) és a 16. cikk d) pontja (a szolgáltató kötelezettségei a műszaki dokumentáció elkészítésére) alapján a szolgáltató által nyújtandó tájékoztatásra épül.

A 27. cikk (4) bekezdése közvetlen eljárási kapcsolatot hoz létre a GDPR-ral: ha az (EU) 2016/679 rendelet 35. cikke szerinti AVHV is szükséges, a két vizsgálat összevonható. Ez a kapcsolat különösen releváns a személyes adatokat kezelő üzemeltetők számára, ami a III. melléklet által lefedett legtöbb szabályozott összefüggésben előfordul.

A 27. cikk a 72. cikkhez (piacfelügyelet) és a 74. cikkhez (adatokhoz való hozzáférés) is kapcsolódik, mivel az elvégzett vizsgálatnak hozzáférhetőnek kell lennie a felügyeleti feladatokat ellátó illetékes hatóságok számára.

Megfelelési időterv

Az EU MI Rendelete 2024. augusztus 1-jén lépett hatályba (húsz nappal a 2024. július 12-én az Hivatalos Lapban való kihirdetés után). Rendelkezései szakaszosan alkalmazandók:

2025. február 2. — A nem elfogadható kockázatú MI gyakorlatokra vonatkozó tilalmak (5. cikk) alkalmazandóvá váltak.
2025. augusztus 2. — Az általános célú MI modellekre vonatkozó kötelezettségek (VIII. cím, 2. fejezet) és az irányítási rendelkezések alkalmazandóvá váltak.
2026. december 2. — Az I. mellékletben (termékbiztonsági jogszabályok) felsorolt nagy kockázatú MI rendszerekre vonatkozó kötelezettségek alkalmazandóvá válnak.
2027. augusztus 2. — A III. mellékletben felsorolt nagy kockázatú MI rendszerekre vonatkozó kötelezettségek (önálló nagy kockázatú rendszerek, beleértve azokat, amelyek legvalószínűbben aktiválják a 27. cikk szerinti AJHV-kat olyan területeken, mint a foglalkoztatás, az oktatás, a biometrikus azonosítás és a közszolgáltatásokhoz való hozzáférés) alkalmazandóvá válnak.

A 27. cikk a nagy kockázatú rendszerek üzemeltetőire vonatkozó kötelezettségek keretébe tartozik, és ezért 2027. augusztus 2-án válik érvényesíthetővé a III. melléklet szerinti rendszerekre, és 2026. december 2-án az I. melléklet szerinti rendszerekre. Az üzemeltetőknek nem szabad megvárniuk ezeket a határidőket: az AJHV-folyamatok mostani kiépítése lehetővé teszi a szervezetek számára, hogy az érvényesítés megkezdése előtt azonosítsák és orvosolják az alapvető jogokra vonatkozó kockázatokat, és összehangolják az értékeléseket a folyamatban lévő GDPR-AVHV programokkal.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Kinek kell alapvető jogokra gyakorolt hatásvizsgálatot lefolytatnia a 27. cikk alapján?

A 27. cikk kifejezetten a nagy kockázatú MI rendszerek azon üzemeltetőire vonatkozik, amelyek a 2014/24/EU irányelv szerinti közjog által szabályozott szervek, vagy magánjogi szervezetek, amelyek közszolgáltatást nyújtanak — különösen a banki, biztosítási, egészségügyi vagy oktatási területeken. Nem minden üzemeltető érintett — a kizárólag kereskedelmi összefüggésben, közszolgáltatási dimenzió nélkül működő magáncégek általában nem tartoznak e konkrét kötelezettség hatálya alá, bár az MI-rendelet szerinti egyéb üzemeltetői kötelezettségek továbbra is vonatkoznak rájuk.

Mikor kell elvégezni az alapvető jogokra gyakorolt hatásvizsgálatot?

A vizsgálatot a nagy kockázatú MI rendszer üzembe helyezése előtt kell elvégezni. Ez egy telepítés előtti kötelezettség, ami azt jelenti, hogy az üzemeltetőnek a rendszer használatba vétele előtt el kell végeznie és dokumentálnia kell a vizsgálatot. Azt frissíteni kell, ha az üzemeltetési körülményekben vagy a rendszer használatában jelentős változások következnek be.

Mi a különbség a 27. cikk szerinti AJHV és a 43. cikk szerinti megfelelőség-értékelés között?

A 43. cikk szerinti megfelelőség-értékelést a szolgáltató vagy nevében eljáró személy végzi annak ellenőrzésére, hogy az MI rendszer megfelel-e a 2. fejezet technikai követelményeinek a piaci forgalomba hozatal előtt. A 27. cikk szerinti AJHV-t az üzemeltető végzi az alapvető jogokra gyakorolt konkrét hatás értékelésére az adott üzemeltetési összefüggésben. Ezek kiegészítik egymást: a megfelelőség-értékelés a rendszer belső megfelelőségét vizsgálja, míg az AJHV az egyénekre gyakorolt valós hatást egy adott felhasználási esetben.

A 27. cikk külső könyvvizsgálókat ír elő, vagy elvégezhető belső úton?

A 27. cikk nem írja elő kifejezetten a külső könyvvizsgálatot. Az értékelést az üzemeltető belső úton elvégezheti. Az üzemeltetőknek azonban bizonyos esetekben az üzembe helyezés előtt értesíteniük kell az illetékes piacfelügyeleti hatóságot, és a dokumentált értékelést kérésre hozzáférhetővé kell tenniük az illetékes hatóságok számára. A külső szakértelem bevonása bevált gyakorlatnak számít, különösen összetett vagy érzékeny üzemeltetési körülmények esetén.

Milyen, a szolgáltatótól származó információkat kell az üzemeltetőnek felhasználnia az AJHV lefolytatásakor?

Az üzemeltetőknek a 13. cikk (átláthatóság és tájékoztatás) alapján a szolgáltató által rendelkezésre bocsátott információkat és a használati útmutatót kell felhasználniuk. A szolgáltatók kötelesek elegendő tájékoztatást nyújtani a rendszer rendeltetéséről, képességeiről, korlátairól és kockázatairól, hogy az üzemeltetők érdemi értékelést tudjanak végezni az alapvető jogokra gyakorolt hatásokról.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.