Harmadik fél MI-rendszerek és LLM-ek használata: alkalmazói kötelezettségek az EU MI-törvény alapján

Az MI-t használó szervezetek 90%-a harmadik fél modelleket integráló alkalmazó — OpenAI, Anthropic, Azure AI vagy MI SaaS eszközök. Értse meg kötelezettségeit: mit kell a szolgáltatónak megadnia, mit kell tennie, és mikor válik Ön maga is szolgáltatóvá.

A harmadik fél MI valósága: a szervezetek többsége alkalmazó

Az MI-t használó európai szervezetek többsége sem az OpenAI, sem a Mistral, sem egy kutatólaboratórium. Meglévő modelleket integrálnak — API-n keresztül, SaaS platformon, Azure AI összetevőn keresztül vagy üzleti eszköz beépülő modulján. Salesforce Einstein, Copilot for Microsoft 365, nagy nyelvi modellel működő HR chatbot, speciális szállítótól vásárolt hitelminősítő megoldás: mindezekben az esetekben Ön valaki más által épített MI-rendszer alkalmazója.

Ezt a pozíciót foglalja el az EU MI-törvény által érintett szervezetek túlnyomó többsége. Pontos kötelezettségeket ró rá — különbözőeket a szolgáltatóétól, de nem elhanyagolhatókat. Fejlődhet is: ha módosítja a rendszert vagy továbbeladja azt, jogi státusza megváltozik.

Az MI értékláncban elfoglalt pozíciójának megértése minden megfelelési erőfeszítés első lépése.

Kötelezettségei alkalmazóként

Az alkalmazói kötelezettségek attól függnek, hogy milyen kockázati szintű MI-rendszert alkalmaz.

Magas kockázatú MI-rendszerek esetén (III. melléklet)

Ha olyan harmadik fél MI-rendszert alkalmaz, amely magas kockázatúnak minősül (hitelképesség-értékelés, biometrikus azonosítás, toborzási szűrés, kritikus infrastruktúra kezelése stb.), az Art. 26 szerinti kötelezettségei:

1. Kövesse a használati utasítást A rendszert kizárólag rendeltetési céljára és a szolgáltató által biztosítandó utasításoknak megfelelően szabad használni. Egy magas kockázatú MI-rendszer validált hatókörén kívüli használata akkor is megfelelési hiba, ha Ön csak alkalmazó.

2. Rendelje hozzá az emberi felügyeletet Jelöljön ki olyan kompetenciával, hatáskörrel és erőforrásokkal rendelkező természetes személyt, aki értelmes emberi felügyeletet tud ellátni az MI-rendszer kimenete felett. Ennek a személynek képesnek kell lennie megérteni, mit csinál a rendszer, rendellenességeket észlelni, és szükség esetén felülbírálni vagy leállítani a rendszert.

3. Biztosítsa a bemeneti adatok minőségét Biztosítsa, hogy a rendszernek adott adatok relevánsak, kellően reprezentatívak és megfelelők legyenek a konkrét telepítési kontextusban a rendeltetési célhoz. Egy populációra validált rendszer az Ön populációján esetleg eltérően teljesít — ez az Ön által kezelendő kockázat.

4. Kövesse az üzemeltetést és észlelje a rendellenességeket Aktívan figyelje a rendszer üzemeltetését rendellenességek, váratlan kimenetek vagy teljesítményromlás szempontjából. Ez nem a szolgáltató felelőssége a telepítésben — hanem az Öné.

5. Őrizze meg a naplókat Aktiválja és őrizze meg a rendszer által előállított automatizált naplókat a törvény által előírt (és minden alkalmazandó ágazati szabályozás által előírt) ideig. Ne kapcsolja ki a naplózást tárhely megtakarítás céljából.

6. Jelentse be a súlyos incidenseket Ha súlyos incidensről vagy meghibásodásról — amely halált, súlyos kárt, alapvető jogok megsértését vagy jelentős vagyoni kárt okozott vagy okozhatott — értesül, értesítse a szolgáltatót indokolatlan késedelem nélkül. Bizonyos esetekben (különösen ahol a telepítés nyilvánosság előtti szolgáltatásokat vagy bűnüldözéssel szomszédos tevékenységeket érint) a nemzeti piacfelügyeleti hatóságnak való közvetlen bejelentés is szükséges lehet.

7. Alapvető jogi hatásvizsgálat (közintézmények) Ha Ön közintézmény, vagy magánszervezetként olyan területen (egészségügy, szociális szolgáltatások, oktatás, bűnüldözés) alkalmaz MI-rendszereket, amelyek valószínűleg érintik az alapvető jogokat, telepítés előtt alapvető jogi hatásvizsgálatot kell elvégeznie (Art. 27).

Kizárólag átláthatósági kötelezettségű MI-rendszerek esetén (Art. 50)

Ha chatbotot, MI által generált tartalomrendszert vagy érzelemfelismerő eszközt alkalmaz, amely nem magas kockázatú, hanem az Art. 50 átláthatósági kötelezettségek alá esik, köteles:

Tájékoztatni a felhasználókat, hogy MI-rendszerrel lépnek interakcióba (Art. 50(1))
Biztosítani az MI által generált tartalom műszaki megjelölését (Art. 50(4)), ahol alkalmazandó
Tájékoztatni az érintett személyeket, amikor érzelemfelismerés vagy biometrikus kategorizálás folyik (Art. 50(2)–(3))

Ezek a kötelezettségek akkor is alkalmazandók, ha harmadik fél API-t vagy SaaS eszközt használ. A szolgáltató felelős a műszaki lehetőség megépítéséért; Ön felelős annak aktiválásáért és annak biztosításáért, hogy a közzététel valóban eljusson a felhasználókhoz.

Minimális kockázatú MI-rendszerek esetén

Nincsenek konkrét jogi kötelezettségek az MI-törvény alapján. Önkéntes magatartási kódexek alkalmazandók. A jó irányítási gyakorlat mindazonáltal javasolja a használt MI-rendszerek alapvető dokumentálását és teljesítményük időszakos felülvizsgálatát.

Mit kell követelnie harmadik fél MI-szolgáltatójától?

Alkalmazói kötelezettségei teljesítésének képessége közvetlenül függ attól, hogy a szolgáltató mit ad meg Önnek. Az EU MI-törvény megköveteli, hogy a magas kockázatú MI-rendszerek szolgáltatói konkrét tájékoztatást nyújtsanak — és a GPAI-modell-szolgáltatóknak párhuzamos dokumentációs kötelezettségeik vannak. Használja ezt az ellenőrzőlistát harmadik fél MI beszerzésekor:

Bármely MI-rendszerhez

Rendszerleírás: Mit csinál a rendszer, milyen bemeneteket vesz fel, milyen kimeneteket állít elő, és milyen döntéseket befolyásolhat?
Rendeltetési cél: Pontosan milyen felhasználási esetekre lett a rendszer tervezve, validálva és jóváhagyva?
Ismert korlátok: Milyen feltételek mellett teljesít rosszul a rendszer? Milyen populációk, nyelvek vagy adattípusok kívül esnek validált hatókörén?
Használati utasítás: A szolgáltató által az Art. 13 alapján magas kockázatú rendszerekhez biztosítandó utasítások teljes készlete

Különösen magas kockázatú rendszerekhez

Megfelelőségi nyilatkozat vagy a megfelelőségértékelési eredmények összefoglalója
Kockázatkezelési dokumentáció — mely kockázatokat azonosítottak és hogyan csökkentették azokat?
Elfogultság és méltányossági tesztelési eredmények — mely védett jellemzőket tesztelték, milyen mutatókat alkalmaztak, és milyen eredményeket kaptak?
Teljesítménymutatók — pontosság, hamis pozitív/negatív arányok és releváns demográfiai csoportok szerinti lebontott teljesítmény
Naplózási lehetőség — annak megerősítése, hogy a rendszer az Art. 12 által előírt naplókat generálja, és azok elérésére és megőrzésére vonatkozó utasítások
Incidensértesítési folyamat — kit, milyen határidőn belül, és milyen csatornán értesítsen súlyos incidens esetén
Frissítési politika — hogyan értesíti a szolgáltató az anyagi frissítésekről, és milyen újravalidálás szükséges a frissítések után?

GPAI-modelleknél (API-k és alapmodell hozzáférés)

Modellkártya vagy műszaki összefoglaló — képességek, korlátok, betanítási adatok összefoglalója, értékelési eredmények
Szerzői jogi megfelelési nyilatkozat — hogyan kezeli a szolgáltató a betanítási adatok és kimenetek szerzői jogát?
Elfogadható felhasználási politika — milyen felhasználási eseteket tilt a szolgáltató, és mi történik, ha Ön megszegi azokat?
Adatkezelési feltételek — hogyan kezeli a szolgáltató a bemeneti adatait? Felhasználja-e azt további betanításhoz?

Mikor válik Ön szolgáltatóvá?

Az EU MI-törvény Art. 25 kulcsfontosságú a harmadik fél MI-felhasználók számára: meghatározza, mikor vált át az alkalmazó szolgáltatóvá és veszi át az összes szolgáltatói kötelezettséget.

Ön szolgáltatóvá válik, ha:

1. Lényegesen módosít egy magas kockázatú MI-rendszert

Ha magas kockázatú MI-rendszert vesz át és lényeges, a szolgáltató által szándékolton túlmenő változtatásokat végez — módosítja a modellt, saját adatain újrabetanítja, megváltoztatja az alaplogikát —, Ön most egy új vagy lényegesen módosított rendszer szolgáltatója. Az összes szolgáltatói kötelezettség alkalmazandó: megfelelőségértékelés, műszaki dokumentáció, CE-jelölés, EU adatbázis regisztráció.

Kulcskérdés: A testreszabás „a tervezett paramétereken belüli felhasználás" vagy „új képesség fejlesztése"? A modell finomhangolása saját területi adatain lényeges módosítást jelenthet vagy sem, a változás mértékétől és attól függően, hogy érinti-e a kockázati profilt.

2. A rendeltetési célt magas kockázatúvá változtatja

Ha nem magas kockázatú rendszert magas kockázatú felhasználási esetre alkalmaz — például általános szövegosztályozót foglalkoztatási döntéshozatalra használ —, a rendeltetési célt oly módon változtatta meg, hogy az kiváltja a magas kockázatú besorolást. Ön magas kockázatú MI-rendszer szolgáltatójává válik, és meg kell felelnie az összes szolgáltatói kötelezettségnek arra a telepítésre vonatkozóan.

3. Saját neve alatt helyezi piacra a rendszert

Ha MI-rendszert vásárol vagy licencbe vesz és saját termékeként értékesíti vagy másoknak nyújtja (fehér márkázás), saját neve alatt helyezi piacra és szolgáltatóvá válik. Ez gyakori a SaaS szektorban: egy harmadik fél modell integrálása saját termékajánlatába szolgáltatóvá teszi Önt annak a terméknek vonatkozásában.

4. Lényeges változtatásokat végez egy GPAI-modellen

Ha GPAI-modellt vesz át és lényeges módosításokat végez képességein vagy felhasználási esetein — a szolgáltató által szándékolt paramétereken belüli finomhangoláson túl —, egy új GPAI-modell szolgáltatójává válhat saját V. fejezet kötelezettségekkel.

Szerződéses védelem alkalmazók számára

Mivel megfelelése attól függ, hogy a szolgáltató mit ad meg Önnek, harmadik fél MI-szállítókkal kötött szerződései kritikus megfelelési eszközök. Kulcsfontosságú záradékok:

Tájékoztatási jogok

Jog a használati utasítás fogadására és rendszeresen frissített verziójára
Jog a megfelelőségi nyilatkozat és a megfelelőségértékelés összefoglalójának elérésére
Jog az elfogultság-tesztelési eredmények és teljesítménymutatók fogadására
Jog az anyagi modellfrissítések dokumentációjának fogadására a telepítés előtt

Incidenskezelés

A szolgáltató kötelezettsége, hogy az általa tudomására jutott súlyos incidensekről vagy sérülékenységekről meghatározott határidőn belül értesítse Önt
Egyértelmű csatorna és folyamat az incidensek Önnek való bejelentéséhez a szolgáltató felé
A szolgáltató vállalása az incidensek kivizsgálásának és hatósági megkeresések kezelésének támogatására

Audit-jogok

Jog a szolgáltató MI-törvény kötelezettségek betartásának auditálására vagy audit-jelentések fogadására
Jog frissített dokumentáció kérésére lényeges változások esetén

Frissítési kötelezettségek

A szolgáltatónak értesítenie kell Önt az MI-rendszer anyagi frissítéseinek telepítése előtt
A szolgáltatónak tanácsot kell adnia, hogy egy frissítés lényeges módosítást jelent-e, amelyhez újravalidáció szükséges
Dokumentáció folytonossága — frissített műszaki dokumentációt kell biztosítani minden anyagi frissítéssel

Felelősségelosztás

Egyértelműség arról, hogy melyik fél melyik kötelezettségért felelős az Art. 25 alapján
Kártalanítás a szállítói kötelezettségek nem teljesítéséből eredő veszteségekért
Felelősségkorlátozási rendelkezések, amelyek nem ásják alá a szabályozási kötelezettségek teljesítési képességét

A szállítói MI piac: mire figyeljen

Az MI-eszközök és -szolgáltatások piaca gyorsan fejlődik, és a szállítók EU MI-törvény megfelelési pozíciója jelentősen változó:

Fő felhő- és MI-szolgáltatók (Microsoft, Google, AWS, OpenAI, Anthropic) jelentősen befektettek az MI-irányításba és a GPAI-megfelelési dokumentációba. Felhasználási feltételeik és modellkártyáik több tájékoztatást nyújtanak, mint a legtöbb más szállítóé.
Speciális vertikális MI-szállítók (HR-tech, jogi tech, fintech, egészségügyi tech) eltérő EU MI-törvény felkészültségi szinten állnak. Sokan KKV-k, amelyek még nem teljes mértékben térképezték fel kötelezettségeiket.
SaaS eszközökbe ágyazott MI (MI-funkciók CRM-ben, ERP-ben, termelékenységi eszközökben) esetleg nem kerülnek „MI-termékként" marketingre — de ha döntéseket hoznak vagy befolyásolnak az egyénekről, az EU MI-törvény kötelezettségek alkalmazandók.

A beszerzési csapatoknak MI-törvény megfelelési szűrést kell hozzáadniuk a szállítói átvilágításhoz — kérjék a szállítóktól megfelelési státuszuk igazolását, a magas kockázatú rendszerek megfelelőségi dokumentációjának biztosítását, és vállalásokat a szabályozási környezet fejlődésével folyamatos tájékoztatásra.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-19 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Ha API-n keresztül használjuk a ChatGPT-t vagy a Claude-ot, az EU MI-törvény hatálya alá esünk-e?

Igen, alkalmazóként. Az API-szolgáltató (OpenAI, Anthropic) a GPAI-modell szolgáltatója és viseli a GPAI-kötelezettségeket. Ha az API-jukra alkalmazást épít és azt felhasználóknak bocsátja rendelkezésre, Ön lesz az alkalmazás (MI-rendszer) szolgáltatója. Alkalmazói kötelezettségei vannak az alapul fekvő GPAI-modellre vonatkozóan, és szolgáltatói kötelezettségei saját MI-rendszerére vonatkozóan.

Milyen dokumentációt kérjünk a harmadik fél MI-szállítótól?

Magas kockázatú MI-rendszereknél: a szállítónak (mint szolgáltatónak) biztosítania kell a használati utasítást (Art. 13), és a megfelelőségértékelés összefoglalóját vagy a megfelelőségi nyilatkozatot. GPAI-modelleknél: a szolgáltatóknak műszaki dokumentációt és az alsóbb szintű megfeleléshez szükséges tájékoztatást kell nyújtaniuk. Szerződésben kérje: rendszerleírást, ismert korlátokat, elfogultság-tesztelési eredményeket, teljesítménymutatókat és incidensbejelentési eljárásokat.

A szállítóval kötött szerződés felmenthet-e minket az EU MI-törvény kötelezettségek alól?

Szerződésileg eloszthatja a felelősséget a felek között — de a szabályozási felelősség szerződéssel nem ruházható át. Ha magas kockázatú MI-rendszert telepít, alkalmazói kötelezettségei vannak, függetlenül megállapodásától. A szerződéseket arra használja, hogy a szolgáltató megadja Önnek, amire szüksége van kötelezettségei teljesítéséhez, nem azok alóli menekülésre.

Mi a helyzet, ha a harmadik fél MI-szállító nem EU-ban van letelepedve?

Az EU MI-törvény az EU piacon forgalomba hozott MI-rendszerekre vonatkozik, függetlenül attól, hogy a szolgáltató hol van letelepedve. A nem EU-beli szolgáltatóknak az EU-ban meghatalmazott képviselőt kell kijelölniük (Art. 22), akinek ugyanolyan jogi kötelezettségei vannak, mint az EU-ban letelepedett szolgáltatónak. A telepítés előtt ellenőrizze, hogy a szállítónak van-e meghatalmazott képviselője.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.