Ugrás a fő tartalomhoz
UseAIEasily Logó
UseAIEasily
Kapcsolat

AI compliance Magyarországon — GDPR, DORA, MDR és a magyar hatóságok

DM

Írta Dezső Mező

AI architekt, UseAIEasily alapító

· 11 perc olvasás

Az AI compliance Magyarországon 2026-ban nem egyetlen keretrendszer — hanem 5–6 átfedő szabályozás, amik attól függnek, milyen iparágban és milyen adattal dolgozol. A legtöbb Big4-es compliance slide deck attól rossz, hogy általánosít: „GDPR-kompatibilis” pecsét nem elég, ha pénzügyi szektorban vagy. Ez a poszt sorba rendezi, mit kell ismerned és miért.

GDPR — a baseline

Minden AI-t bevezető cég első kötelezettsége. Az LLM-nek átadott személyes adat (név, e-mail, cím, pénzügyi adat, diagnózis) „feldolgozás” a GDPR értelmében. Három dolog nem alkuképes: zero-retention DPA az LLM szállítóval (Anthropic / OpenAI enterprise tier, nem a public API), EU-régió hosting (vector store és LLM gateway is), és PII redaction az LLM prompt ELŐTT — nem a válasz utáni szűréssel, mert addigra az adat már kint volt.

Magyar specifikum: a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) 2024 óta aktívan figyeli az automatizált döntéshozatal és a profilalkotás területét. Ha az AI-d dönt vagy „javaslást ad” egy személyről (kredit-scoring, HR-szűrés, biztosítási ügy), a rendszerbe be kell építeni a tiltakozás és emberi felülbírálat jogát.

DORA — pénzügyi szektor, 2025-től

A Digital Operational Resilience Act az EU 2025-ös pénzügyi szabályozása. Banknak, biztosítónak, fintech-nek érinti az AI-t is. Kulcs-elvárások: ICT third-party risk register (minden vendor, köztük az AI szállító szerepel benne), incident reporting 24 órán belül ha „jelentős incidens” történik (LLM-halucináció regulated válaszban ilyen), és threat-led penetration testing — ami LLM-specifikus red-team tesztet is jelent.

Praktikusan: ha banknak / biztosítónak szállítasz AI-t Magyarországon 2026-ban, DORA-kész dokumentációt és incident response runbook-ot kell adnod az első naptól. Ha ezt utólag csinálod, 3 hónapos re-engineering vár rád, mielőtt production-ba mehet.

MDR — egészségügy, CE jelölés

Medical Device Regulation (EU 2017/745). Ha az AI-d klinikai döntést befolyásol (triage, diagnózis-támogatás, orvosi dokumentáció-generálás), valószínűleg orvosi eszköznek minősül. CE jelölés szükséges. A dokumentációs teher: 50–80 oldalas technical file, STRIDE + LLM-specifikus threat model, clinical evaluation, post-market surveillance plan.

A Magyar Notified Body (NB) a GYEMSZI-n keresztül elérhető. Tapasztalatunk szerint a technical file első körös átnézése 4–6 hét. Érdemes az MDR-dokumentációt már a projekt indításakor elkezdeni, nem a végén — különben a release dátum 3 hónapot csúszik.

MNB AI útmutató — pénzügyi, kiegészítés

A Magyar Nemzeti Bank 2024-ben kiadta „AI útmutató a pénzügyi szektorban” dokumentumát. Részben DORA-kompatibilis, de magyar specifikumokkal: hangsúlyos a kockázat-alapú governance, algorithmic auditability (minden LLM-hívás visszavezethető és reprodukálható kell legyen), és az ügyfél tájékoztatási kötelezettség (ha AI döntött az ügyében, tudnia kell).

EU AI Act — 2026-tól mindenkit érint

2026 augusztusában lép teljes hatályba. High-risk AI rendszerek conformity assessment + CE jelölés. A legtöbb enterprise LLM use-case ide esik: HR-döntések, oktatási értékelés, kredit-scoring, biometrikus azonosítás. Tiltott: social scoring, real-time biometrikus azonosítás a nyilvánosságban, manipulatív AI.

Az EU AI Act rétegelt: prohibited → high-risk → limited risk → minimal risk. A high-risk réteg a leginkább dokumentáció-igényes. Ha 2026 Q3-ban éles rendszert indítasz, már most tervezned kell az Act-re — mert a CE assessment 4–6 hónap.

Iparágonkénti gyors ránézés

  • Pénzügy (bank, biztosító, fintech): GDPR + DORA + MNB útmutató + EU AI Act
  • Egészségügy (klinika, healthtech): GDPR + MDR + EU AI Act + helyi orvosi adat-rendelet
  • Jogi (ügyvédi iroda): GDPR + ügyvédi titoktartás + EU AI Act (ha a rendszer döntést befolyásol)
  • HR / toborzás: GDPR + EU AI Act high-risk besorolás (szinte biztos)
  • Gyártás: GDPR (alkalmazotti adat) + NIS2 (kritikus infrastruktúrán)
  • E-kereskedelem: GDPR + fogyasztóvédelem + EU AI Act limited risk

Mit adj hozzá a projekthez kezdéskor?

  • Compliance térkép — mely keretek vonatkoznak rád, prioritás szerint
  • DPA a fő LLM szállítóval (zero-retention, EU-régió)
  • PII redaction layer prompt előtt — nem utána
  • Threat model STRIDE + LLM-specifikus (prompt injection, data exfiltration)
  • Audit log write-only külső bucketbe, nem ugyanazon rendszeren
  • Incident response runbook — ki, hogyan, mennyi időn belül
  • Kezdeti technical file az MDR / DORA / Act-nek, amit projekt végén kiegészítesz

A compliance-t utólag megcsinálni mindig 3–5× drágább, mint kezdéstől beletervezni. A projekt-kockázat csökkentése ezen múlik.

Megosztás

Hasznos volt ez a cikk?

Kapcsolódó cikkek

DORA

MNB DORA AI compliance — mit jelent ez magyar bankoknak?

DORA (Digital Operational Resilience Act) és AI rendszerek: mit kell most tenniük a magyar bankoknak és fintech-eknek. Incident reporting, vendor management, audit.

EU AI Act

Az EU AI Act gyakorlati útmutató magyar cégeknek (2026)

Mit követel valójában az EU AI Act — a négy kockázati szint, mi számít magas kockázatúnak, a 2026-os ütemterv, és gyakorlati checklist AI-t használó cégeknek.

AI biztonság

AI adatvédelem: hová kerül valójában a céged adata?

Amikor egy AI rendszer feldolgozza a céges adatot, hová kerül, ki látja, és meddig marad meg? Zero-retention, EU hosting, PII redaction — a gyakorlati adatvédelmi kép.

Kapcsolódó szolgáltatás

Szolgáltatás

AI biztonsági audit

Indulás előtti red-team audit — prompt injection, adatszivárgás, RBAC, OWASP LLM Top-10. €1 500-tól.