Skip to content

Hogyan építsen MI-nyilvántartást 90 perc alatt (EU MI-rendelet)

90 perces, ötlépéses felépítés ahhoz az MI-nyilvántartáshoz, amelyre az európai kkv-knak az MI-rendelet 26. cikke és az ICO iránymutatása alapján szükségük van. Kezdő oszlopok, buktatók, felelősségi szabályok.

Hogyan építsen MI-nyilvántartást 90 perc alatt (EU MI-rendelet)
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

A legtöbb európai kkv nehézsúlyú teljesítendőként tekint az MI-nyilvántartásra, amelyet majd akkor állít elő, amikor az MI-rendelet kikényszerítése foganatossá válik. Ez kategóriatévedés. Egy működő v1 kilencven percet vesz igénybe, ha alkalmazói oldali leltárként határolja körül, nem pedig megfelelési termékként. Az alábbiakban az az ötlépéses felépítés következik, amelyet auditmegbízásainkban az üzemeltetési vezetőkkel végigviszünk — ugyanaz, amely péntek délutánra egy oldalon összefoglalja a III. melléklet szerinti kockázati képet, és teret nyer ahhoz, hogy utána rendesen elvégezhessük a lassabb munkát.

Gyors válasz. Az MI-nyilvántartás a szervezetében működő minden MI-rendszer alkalmazói oldali leltára, amelyet az MI-rendelet 26. cikke szerinti alkalmazói kötelezettségek feltételeznek [1], és amely az UK GDPR szerinti ICO-iránymutatáshoz igazodik [2]. Egy működő v1 kilencven percet vesz igénybe a 200 főnél kisebb kkv-knak: 15 perc a számbavétel, 20 a kockázati szint szerinti besorolás a III. melléklet alapján, 25 az alapvető oszlopok kitöltése, és 30 a felelősök kijelölése és a felügyelet szúrópróbaszerű ellenőrzése.

Mi az MI-nyilvántartás?

Az MI-nyilvántartás úgy viszonyul a 26. cikk szerinti alkalmazói kötelezettségekhez, ahogyan az adatkezelési tevékenységek nyilvántartása (ROPA) az UK GDPR Article 30 kötelezettségéhez: élő leltár, amely megnevez minden rendszert, besorolja a kockázati szintjét, és felelős személyt rendel hozzá. Ez az a dokumentum, amelyet egy ICO-vizsgáló, egy beszerzési részleg vagy egy vállalati ügyfél beszállító-biztonsági csapata először kér be.

Az MI-rendelet a jogszöveg szintjén nem írja elő a nyilvántartás formátumát. A 26. cikk (5) bekezdése előírja, hogy a nagy kockázatú rendszerek alkalmazói egy kijelölt, hozzáértő személy révén biztosítsák az emberi felügyeletet; a 26. cikk (6) bekezdése előírja a nagy kockázatú felhasználások naplóinak legalább hat hónapig történő megőrzését [1]. A nyilvántartás az a működési alap, amely mindkettőt láthatóvá teszi. Az ICO 2023 óta egyértelmű abban, hogy az UK GDPR alá tartozó, személyes adatokat kezelő MI adatvédelmi hatásvizsgálati (DPIA) fegyelmet és elszámoltathatósági kötelezettségeket vált ki [2], az ICO MI-auditeszköztára pedig felsorolja, milyen strukturált nyilvántartásokra lesz szüksége egy kkv-nak [3]. Egyetlen hatóság sem ír elő konkrét eszközt. Egy olyan táblázat, amely a megfelelő oszlopokat nevezi meg és a megfelelő felelősöket rendeli hozzá, kiállja a próbát.

Miért működik a kilencven perc (és mit nem vásárol meg)

A nyilvántartás nem a célállomás. Hanem a térkép. Kilencven perc elég ahhoz, hogy felszínre kerüljön, milyen MI van használatban, besorolódjon a kockázati szintje, és kiosztásra kerüljön a felelősség — annak a három ténynek a hármasa, amelyet minden alkalmazónak igazolnia kell, mielőtt egy hatóság, ügyfél vagy igazgatóság rákérdez. Amit a kilencven perc nem vásárol meg: alapvető jogi hatásvizsgálatot (FRIA) a 27. cikk alapján minden egyes III. melléklet szerinti rendszerhez, szerephez arányosított, a 4. cikk szerinti MI-jártassági tantervet, a szerződéseket és a modellkártyákat lefedő beszállító-átvilágítási csomagot, vagy egy teljesen kidolgozott emberifelügyelet-protokollt [1]. Ezek a nyilvántartásra építő, a nyomában következő munkaszálak, amelyeket az határol körül, amit a nyilvántartás felszínre hoz.

Az időkeretezés fegyelme többet számít a csiszoltságnál. Auditmegbízásainkban azok a kkv-k, amelyek többhetes projektként kezelik a nyilvántartást, jellemzően nem állítanak elő egyet sem; azok a kkv-k, amelyek a v1-et kilencven percbe keretezik, már az első napon előállítanak egy nyilvántartást, majd iterálják azt. A 26. cikk szerinti kötelezettségek folyamatosak, nem egy időpontra szólnak, ezért egy v1, amelyet frissíteni tud, szigorúan többet ér egy v3-nál, amelyhez hozzá sem kezdett.

Hogyan zajlik a 90 perces MI-nyilvántartás munkafolyamata?

1. lépés — Vegye számba az összes használt MI-rendszert (15 perc)

Három forrás lefedi annak nagy részét, amit találni fog. A fizetett SaaS-előfizetéseket a pénzügyi nyilvántartásából vagy a költségkártyájáról emelje ki — minden olyan szállító, amelynek a terméknevében szerepel az „AI", „ML", „Copilot", „Assistant" vagy „Insight", a listára tartozik. A beépített MI-t a meglévő platformjaiból emelje ki — a Microsoft 365 Copilot, a Google Workspace Gemini-funkciói, a Salesforce Einstein, a HubSpot Breeze, az Outlook automatikus válaszai, a Teams megbeszélés-összefoglalói mind a hatály alá tartoznak, fizetett vagy sem. A shadow AI-t (árnyék-MI, azaz nem engedélyezett MI) egy egybekezdéses, mindenkihez szóló üzenetből emelje ki, amelyben rákérdez, milyen MI-eszközöket használnak a munkatársak a napi munkában, beleértve a nem fizetett lakossági fiókokat is.

Az árnyék-MI-t kezelje a hatály részeként. Ha egy munkatárs egy önéletrajzot illeszt be egy ingyenes ChatGPT-fiókba, az a kkv-t az MI-rendelet foglalkoztatási rendelkezései szerint nagy kockázatú alkalmazóvá teszi [1], és az adat az UK GDPR hatálya alatt elhagyja a környezetét [2]. A nyilvántartás dolga az, hogy ezt felszínre hozza, nem az, hogy rendet tegyen benne. A rendrakás a 4. lépésben jön, miután már tudja, mi van ott.

2. lépés — Sorolja kockázati szint szerint az egyes rendszereket a III. melléklet alapján (20 perc)

Az MI-rendelet III. melléklete nyolc nagy kockázatú területet sorol fel [1]: biometrikus azonosítás, kritikus infrastruktúra, oktatás és szakképzés, foglalkoztatás és munkavállalói menedzsment, alapvető szolgáltatásokhoz való hozzáférés, bűnüldözés, migráció és határigazgatás, valamint igazságszolgáltatás. A kkv-knál az élő kiváltó okok rendszerint a foglalkoztatás (önéletrajz-szűrés, teljesítményrangsorolás, automatikus időbeosztás), a szolgáltatásokhoz való hozzáférés (hiteldöntések, biztosítási árazás) és az oktatás (képzési értékelések, tanúsítások).

A listáján szereplő minden rendszert címkézzen fel az alábbiak egyikeként: nagy kockázatú (III. melléklet szerinti egyezés), korlátozott kockázatú (átláthatósági kötelezettségek az 50. cikk alapján), minimális kockázatú (a 4. cikk szerinti jártasságon túl nincs konkrét kötelezettség), vagy általános célú MI-modell alkalmazója (egy általános célú MI-modellt használ egy chatbot vagy asszisztens gerinceként) [1]. A legtöbb kkv eszközkészlete két vagy három szintbe esik. A besorolás az alkalmazó döntése; nem ruházható át a szállítóra, és a vállalat mérete nem befolyásolja.

3. lépés — Töltse ki a tíz alapvető oszlopot (25 perc)

A helyüket egy alkalmazói nyilvántartáson kiérdemlő oszlopok:

  1. A rendszer neve — ahogy a munkatársai a napi munkában nevezik.
  2. Szállító — a termék mögött álló jogi személy.
  3. Modell vagy verzió — ahol ismert (pl. GPT-4o, Claude 3.5, Gemini 1.5, házon belüli).
  4. Felhasználási eset — egy mondat arról, mit dönt el vagy állít elő a rendszer.
  5. Kockázati szint — nagy / korlátozott / minimális / általános célú MI-modell alkalmazója.
  6. Érintett személyes adat — I/N, valamint az UK GDPR szerinti kategóriák.
  7. Jogalap — az UK GDPR Article 6 szerinti jogalap (jogos érdek, szerződés, hozzájárulás stb.).
  8. Felelős személy — egy megnevezett természetes személy, nem csapat vagy szerepkör.
  9. 26. cikk (6) bek. szerinti naplózás — I/N/nem releváns a nagy kockázatú üzembe helyezéseknél.
  10. Üzembe helyezés dátuma — legalább hónap és év.

Egy ilyen tíz oszloppal rendelkező táblázat megválaszolja az első kérdést, amelyet minden hatóság, ügyfél vagy igazgatósági tag fel fog tenni. Bármi ezen túl iteratív munka, nem v1-munka. Álljon ellen a késztetésnek, hogy oszlopokat adjon hozzá, amíg ki nem töltötte mind a tízet minden soron végig.

4. lépés — Jelöljön ki rendszerenként egy felelős személyt (15 perc)

A 26. cikk (5) bekezdése előírja, hogy a nagy kockázatú rendszerek alkalmazói egy hozzáértő, felelős, a rendszer leállítására vagy felülbírálására hatáskörrel rendelkező személy révén biztosítsák az emberi felügyeletet [1]. Ezt úgy ültesse át a nyilvántartásába, hogy minden III. melléklet szerinti sorhoz egy tényleges természetes személyt nevez meg — nem egy szerepkört, mint az „IT-vezető" vagy az „üzemeltetési vezető". A felelős személynek három tulajdonsággal kell rendelkeznie: el tudja olvasni a rendszer kimeneteit, hatásköre van a rendszer kikapcsolására, és név szerint elérhető a nyilvántartásában.

A nem III. melléklet szerinti rendszerekhez is nevezzen meg egy felelőst. A formális kötelezettség enyhébb; a fegyelem ugyanaz. Az üzemeltetési vezetők és a felső vezetők a természetes felelősök a legtöbb kkv-ban; CTO-ra vagy CDO-ra nincs szükség.

5. lépés — Ellenőrizze szúrópróbaszerűen az emberi felügyeletet egy nagy kockázatú rendszeren (15 perc)

A legnagyobb kockázatú, III. melléklet szerinti soránál menjen végig három kérdésen: vizsgál-e egy ember az MI kimenetét, mielőtt az érintene egy személyt (az ember-a-folyamatban teszt); felül tudja-e bírálni az a személy a gyakorlatban az MI döntését (a hatáskör-teszt); kapott-e az ember a 4. cikk szerinti, szerepéhez illeszkedő képzést (a jártasság-teszt) [1]? A válaszok egy szabadszöveges „emberifelügyelet-megjegyzések" oszlopba kerülnek a tíz alapvető oszlop mellé.

Tizenöt perc alatt nem fogja befejezni az emberifelügyelet-protokollt. A cél az, hogy felszínre kerüljön, hol a hiányosság, nem az, hogy lezárja. Egy „nincs emberi vizsgálat az önéletrajz-szűrésnél; a hiányt 30 napon belül kell lezárni" szövegű sor pontosan a megfelelő kimenet. A nyilvántartás dolga az, hogy láthatóvá tegye a hiányt; a lezárása külön munkaszál és külön költségvetés.

A 90 perces MI-nyilvántartás felépítése időkeretezett folyamatként: a rendszerek számbavétele 15 perc alatt, a kockázati szint szerinti besorolás a III. melléklet alapján 20 perc alatt, a tíz alapvető oszlop kitöltése 25 perc alatt, egy felelős kijelölése 15 perc alatt, és a felügyelet szúrópróbaszerű ellenőrzése 15 perc alatt.
A 90 perces MI-nyilvántartás felépítése időkeretezett munkafolyamatként.

Melyik öt buktató öli meg a v1 MI-nyilvántartást?

  • A nyilvántartás egyszeri dokumentumként kezelése. A 26. cikk szerinti kötelezettségek folyamatosak; a nyilvántartás élő dokumentum, amelyet legalább negyedévente felülvizsgálnak, és valahányszor új MI-rendszert helyeznek üzembe, vagy egy szállító jelentős modellváltást ad ki, frissítenek.
  • Az árnyék-MI kihagyása. A nem fizetett lakossági fiókok és a személyes Copilot-munkamenetek a legtöbb incidenst hozó, legkevésbé látható kategória. Ha a nyilvántartás nem hozza őket felszínre, hazudik.
  • „Megfelelési eszköz" vásárlása a számbavétel előtt. Egy szállító megfelelési SaaS-e nem fogja besorolni az Ön felhasználási eseteit — csak az Ön csapata tudja. Először táblázat, később eszköz (vagy soha; a 200 főnél kisebb kkv-knak egy karbantartott táblázat elegendő).
  • Szerepkör kijelölése személy helyett. Az „IT-csapatot" nem lehet riasztani. Egy megnevezett, telefonszámmal rendelkező természetes személyt igen. A 26. cikk (5) bekezdése az utóbbit feltételezi [1].
  • A 4. cikk szerinti jártasság teljes kihagyása. A 4. cikk 2025. február 2. óta minden, MI-t használó munkatársra alkalmazandó, a szerepéhez arányosítva [1]. Ez nem egy szint — minden rendszer felszínre hoz egy 4. cikk szerinti kötelezettséget. Jegyezze fel a nyilvántartásban akkor is, ha maga a tanterv a nyomában következő munka.

Mi a teendő a kilencven perc után

A nyilvántartás a feltáró réteg. Jellemzően három követő munkaszál emelkedik el róla:

  1. FRIA-körülhatárolás minden egyes III. melléklet szerinti sorhoz, az MI-rendelet 27. cikke alapján [1] — egy külön, mélyebb dokumentum, amelyet a nyilvántartás kockázati szint oszlopa kezdeményez, nem pedig helyettesít.
  2. A 4. cikk szerinti MI-jártassági tanterv — a szerephez arányosítva, a nyilvántartás felelős személy oszlopához, nem a létszámhoz körülhatárolva.
  3. Beszállító-átvilágítási csomag — adatfeldolgozói szerződések, modellkártyák, általános célú MI-modell eredete, a nyilvántartás szállító oszlopához körülhatárolva, és a beszerzés megújításakor frissítve.

Ezek azok a munkaszálak, amelyeket egy beépített megközelítés tapasztalataink szerint nagyjából tizenkét hét alatt, 18 000–32 000 £-ért fed le, és ugyanezek a munkaszálak azok, amelyeket egy utólagos megközelítés hat összesűrített hét alatt, 85 000–145 000 £-ért fed le — egy szorzó, amely összhangban van a MIT Sloan GDPR utáni adataival arról, hogy az uniós cégek a kikényszerítés nyomására 26%-kal csökkentették a tárolt adatokat és 15%-kal a számítást [4]. A nyilvántartás a lehető legolcsóbb első lépés ezzel a számtannal szemben.

Összefoglalás

AI Register in 90 Minutes — a deployer-side inventory
│
├─ The five-step build
│   ├─ List (15m) — paid, embedded, and shadow AI in scope
│   ├─ Risk-tier (20m) — match each system to Annex III
│   ├─ Ten columns (25m) — the audit-ready floor, no more
│   ├─ Name owners (15m) — a person per system, not a team
│   └─ Spot-check (15m) — surface the oversight gap, don't close it
│
├─ Why timebox v1
│   ├─ A living map — Article 26 duties are continuous
│   └─ v1 you update beats v3 you never start
│
└─ What it doesn't buy
    └─ Downstream — FRIA, Article 4 literacy, vendor due diligence

Kapcsolódó tartalmak


Utolsó frissítés: 2026. május. Verzió: 1.0.

Frequently Asked Questions

Az MI-nyilvántartás helyettesíti a GDPR szerinti ROPA-t?
Nem, ezek kiegészítő nyilvántartások, eltérő jogalapokkal. Az adatkezelési tevékenységek nyilvántartását (ROPA) az UK GDPR Article 30 írja elő, és a személyesadat-áramlásokat katalogizálja. Az MI-nyilvántartás ennek alkalmazói oldali párja az MI-rendelet 26. cikke és az ICO iránymutatása alapján: minden MI-rendszert katalogizál, függetlenül attól, hogy az kezel-e személyes adatokat. Sok rendszer mindkettőben szerepel, de a kereszthivatkozás mindkét irányban egy a többhöz jellegű.
A munkatársaink ingyenes ChatGPT-t és lakossági Copilotot használnak. Ezek számítanak a nyilvántartásba?
Igen. A 26. cikk szerinti alkalmazói kötelezettségek a kkv-ra attól függetlenül vonatkoznak, hogy az MI-előfizetés céges vagy lakossági, fizetett vagy ingyenes. Abban a pillanatban, hogy egy munkatárs munkavégzés során használ egy MI-eszközt, a kkv az alkalmazó, és a rendszer a nyilvántartásba tartozik. Az ingyenes lakossági fiókokból emellett rendszerint hiányzik az a vállalati szint biztosította adatfeldolgozói szerződés, ami inkább növeli, mintsem csökkenti az UK GDPR szerinti kitettséget.
A kkv-nk az EU-n kívül működik. Vonatkozik az MI-nyilvántartásunkra az MI-rendelet?
Az EU-n kívül működő kkv-k esetében a rendelet közvetlen alkalmazhatósága szűkebb, de ritkán nulla. A rendelet területen kívül is hatást fejt ki, ha a rendszer kimenetét az EU-n belül használják — ami a SaaS-termékeknél és a B2B-szolgáltatásoknál rendszeresen előfordul. EU-s kitettség nélkül is figyelik a nemzeti hatóságok a rendelet alkalmazói logikáját: az ICO 2023 óta ehhez igazítja a brit MI-iránymutatást, és hasonló, EU-n kívüli európai joghatóságok is követik. A 26. cikk szerint kialakított nyilvántartás ezeknek a nemzeti irányoknak is megfelel.
Kié legyen az MI-nyilvántartás egy CTO nélküli kkv-n belül?
Az üzemeltetési igazgatóé, a megfelelési vezetőé vagy egy, a vezérigazgatónak beszámoló vezető beosztású személyé. A nyilvántartás szerkesztői, nem műszaki munka: a sorok karbantartása, a kockázati szintek frissítése a rendszerek változásakor, és a felelős személyek negyedévenkénti megkeresése. Gyakori kkv-minta, hogy egy kijelölt felelős vezeti a nyilvántartást, negyedévente nagyjából három órában, a soronkénti felelős személy pedig a saját, rendszerspecifikus kötelezettségeit viszi.
Milyen gyakran frissítsük a nyilvántartást?
A negyedéves a reális minimum a kkv-k esetében, kiegészítve egy eseményvezérelt frissítéssel, valahányszor új MI-rendszert szereznek be, vagy jelentős modellváltás érkezik (például amikor egy szállító az egyik modellgenerációról a következőre vált). A III. melléklet szerinti nagy kockázatú soroknál a naplóbejegyzések a 26. cikk (6) bekezdése alapján folyamatosan frissülnek. Egy egyéves, statikus nyilvántartás megbukik az igazolhatósági teszten egy hatóság vagy egy vállalati beszerzési csapat előtt.
Elég egy táblázat, vagy dedikált GRC-eszközre van szükségünk?
A nagyjából 200 főnél kisebb kkv-knak elég egy táblázat. Az auditteher az oszlopokon, a kijelölt felelősökön és a negyedéves frissítési fegyelmen múlik, nem a platformon. A korlátozott hozzáféréssel és verziótörténettel ellátott Excel vagy Google Sheets megfelel az igazolhatósági követelménynek. A dedikált GRC-eszközök nagyjából 500 fő vagy tizenöt-plusz MI-rendszer felett válnak hasznossá; ez alatt az eszköz fenntartása meghaladja az időmegtakarítást.

Sources

  1. 1.Regulation (EU) 2024/1689 — Artificial Intelligence ActEuropean Parliament and of the Council · 2024
  2. 2.Guidance on AI and Data ProtectionInformation Commissioner's Office (ICO) · 2023
  3. 3.AI and Data Protection Risk Toolkit / AI Auditing FrameworkInformation Commissioner's Office (ICO) · 2023
  4. 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans)MIT Sloan · 2022

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.