Hogyan építsen MI-nyilvántartást 90 perc alatt (EU MI-rendelet)
90 perces, ötlépéses felépítés ahhoz az MI-nyilvántartáshoz, amelyre az európai kkv-knak az MI-rendelet 26. cikke és az ICO iránymutatása alapján szükségük van. Kezdő oszlopok, buktatók, felelősségi szabályok.

A legtöbb európai kkv nehézsúlyú teljesítendőként tekint az MI-nyilvántartásra, amelyet majd akkor állít elő, amikor az MI-rendelet kikényszerítése foganatossá válik. Ez kategóriatévedés. Egy működő v1 kilencven percet vesz igénybe, ha alkalmazói oldali leltárként határolja körül, nem pedig megfelelési termékként. Az alábbiakban az az ötlépéses felépítés következik, amelyet auditmegbízásainkban az üzemeltetési vezetőkkel végigviszünk — ugyanaz, amely péntek délutánra egy oldalon összefoglalja a III. melléklet szerinti kockázati képet, és teret nyer ahhoz, hogy utána rendesen elvégezhessük a lassabb munkát.
Gyors válasz. Az MI-nyilvántartás a szervezetében működő minden MI-rendszer alkalmazói oldali leltára, amelyet az MI-rendelet 26. cikke szerinti alkalmazói kötelezettségek feltételeznek [1], és amely az UK GDPR szerinti ICO-iránymutatáshoz igazodik [2]. Egy működő v1 kilencven percet vesz igénybe a 200 főnél kisebb kkv-knak: 15 perc a számbavétel, 20 a kockázati szint szerinti besorolás a III. melléklet alapján, 25 az alapvető oszlopok kitöltése, és 30 a felelősök kijelölése és a felügyelet szúrópróbaszerű ellenőrzése.
Mi az MI-nyilvántartás?
Az MI-nyilvántartás úgy viszonyul a 26. cikk szerinti alkalmazói kötelezettségekhez, ahogyan az adatkezelési tevékenységek nyilvántartása (ROPA) az UK GDPR Article 30 kötelezettségéhez: élő leltár, amely megnevez minden rendszert, besorolja a kockázati szintjét, és felelős személyt rendel hozzá. Ez az a dokumentum, amelyet egy ICO-vizsgáló, egy beszerzési részleg vagy egy vállalati ügyfél beszállító-biztonsági csapata először kér be.
Az MI-rendelet a jogszöveg szintjén nem írja elő a nyilvántartás formátumát. A 26. cikk (5) bekezdése előírja, hogy a nagy kockázatú rendszerek alkalmazói egy kijelölt, hozzáértő személy révén biztosítsák az emberi felügyeletet; a 26. cikk (6) bekezdése előírja a nagy kockázatú felhasználások naplóinak legalább hat hónapig történő megőrzését [1]. A nyilvántartás az a működési alap, amely mindkettőt láthatóvá teszi. Az ICO 2023 óta egyértelmű abban, hogy az UK GDPR alá tartozó, személyes adatokat kezelő MI adatvédelmi hatásvizsgálati (DPIA) fegyelmet és elszámoltathatósági kötelezettségeket vált ki [2], az ICO MI-auditeszköztára pedig felsorolja, milyen strukturált nyilvántartásokra lesz szüksége egy kkv-nak [3]. Egyetlen hatóság sem ír elő konkrét eszközt. Egy olyan táblázat, amely a megfelelő oszlopokat nevezi meg és a megfelelő felelősöket rendeli hozzá, kiállja a próbát.
Miért működik a kilencven perc (és mit nem vásárol meg)
A nyilvántartás nem a célállomás. Hanem a térkép. Kilencven perc elég ahhoz, hogy felszínre kerüljön, milyen MI van használatban, besorolódjon a kockázati szintje, és kiosztásra kerüljön a felelősség — annak a három ténynek a hármasa, amelyet minden alkalmazónak igazolnia kell, mielőtt egy hatóság, ügyfél vagy igazgatóság rákérdez. Amit a kilencven perc nem vásárol meg: alapvető jogi hatásvizsgálatot (FRIA) a 27. cikk alapján minden egyes III. melléklet szerinti rendszerhez, szerephez arányosított, a 4. cikk szerinti MI-jártassági tantervet, a szerződéseket és a modellkártyákat lefedő beszállító-átvilágítási csomagot, vagy egy teljesen kidolgozott emberifelügyelet-protokollt [1]. Ezek a nyilvántartásra építő, a nyomában következő munkaszálak, amelyeket az határol körül, amit a nyilvántartás felszínre hoz.
Az időkeretezés fegyelme többet számít a csiszoltságnál. Auditmegbízásainkban azok a kkv-k, amelyek többhetes projektként kezelik a nyilvántartást, jellemzően nem állítanak elő egyet sem; azok a kkv-k, amelyek a v1-et kilencven percbe keretezik, már az első napon előállítanak egy nyilvántartást, majd iterálják azt. A 26. cikk szerinti kötelezettségek folyamatosak, nem egy időpontra szólnak, ezért egy v1, amelyet frissíteni tud, szigorúan többet ér egy v3-nál, amelyhez hozzá sem kezdett.
Hogyan zajlik a 90 perces MI-nyilvántartás munkafolyamata?
1. lépés — Vegye számba az összes használt MI-rendszert (15 perc)
Három forrás lefedi annak nagy részét, amit találni fog. A fizetett SaaS-előfizetéseket a pénzügyi nyilvántartásából vagy a költségkártyájáról emelje ki — minden olyan szállító, amelynek a terméknevében szerepel az „AI", „ML", „Copilot", „Assistant" vagy „Insight", a listára tartozik. A beépített MI-t a meglévő platformjaiból emelje ki — a Microsoft 365 Copilot, a Google Workspace Gemini-funkciói, a Salesforce Einstein, a HubSpot Breeze, az Outlook automatikus válaszai, a Teams megbeszélés-összefoglalói mind a hatály alá tartoznak, fizetett vagy sem. A shadow AI-t (árnyék-MI, azaz nem engedélyezett MI) egy egybekezdéses, mindenkihez szóló üzenetből emelje ki, amelyben rákérdez, milyen MI-eszközöket használnak a munkatársak a napi munkában, beleértve a nem fizetett lakossági fiókokat is.
Az árnyék-MI-t kezelje a hatály részeként. Ha egy munkatárs egy önéletrajzot illeszt be egy ingyenes ChatGPT-fiókba, az a kkv-t az MI-rendelet foglalkoztatási rendelkezései szerint nagy kockázatú alkalmazóvá teszi [1], és az adat az UK GDPR hatálya alatt elhagyja a környezetét [2]. A nyilvántartás dolga az, hogy ezt felszínre hozza, nem az, hogy rendet tegyen benne. A rendrakás a 4. lépésben jön, miután már tudja, mi van ott.
2. lépés — Sorolja kockázati szint szerint az egyes rendszereket a III. melléklet alapján (20 perc)
Az MI-rendelet III. melléklete nyolc nagy kockázatú területet sorol fel [1]: biometrikus azonosítás, kritikus infrastruktúra, oktatás és szakképzés, foglalkoztatás és munkavállalói menedzsment, alapvető szolgáltatásokhoz való hozzáférés, bűnüldözés, migráció és határigazgatás, valamint igazságszolgáltatás. A kkv-knál az élő kiváltó okok rendszerint a foglalkoztatás (önéletrajz-szűrés, teljesítményrangsorolás, automatikus időbeosztás), a szolgáltatásokhoz való hozzáférés (hiteldöntések, biztosítási árazás) és az oktatás (képzési értékelések, tanúsítások).
A listáján szereplő minden rendszert címkézzen fel az alábbiak egyikeként: nagy kockázatú (III. melléklet szerinti egyezés), korlátozott kockázatú (átláthatósági kötelezettségek az 50. cikk alapján), minimális kockázatú (a 4. cikk szerinti jártasságon túl nincs konkrét kötelezettség), vagy általános célú MI-modell alkalmazója (egy általános célú MI-modellt használ egy chatbot vagy asszisztens gerinceként) [1]. A legtöbb kkv eszközkészlete két vagy három szintbe esik. A besorolás az alkalmazó döntése; nem ruházható át a szállítóra, és a vállalat mérete nem befolyásolja.
3. lépés — Töltse ki a tíz alapvető oszlopot (25 perc)
A helyüket egy alkalmazói nyilvántartáson kiérdemlő oszlopok:
- A rendszer neve — ahogy a munkatársai a napi munkában nevezik.
- Szállító — a termék mögött álló jogi személy.
- Modell vagy verzió — ahol ismert (pl. GPT-4o, Claude 3.5, Gemini 1.5, házon belüli).
- Felhasználási eset — egy mondat arról, mit dönt el vagy állít elő a rendszer.
- Kockázati szint — nagy / korlátozott / minimális / általános célú MI-modell alkalmazója.
- Érintett személyes adat — I/N, valamint az UK GDPR szerinti kategóriák.
- Jogalap — az UK GDPR Article 6 szerinti jogalap (jogos érdek, szerződés, hozzájárulás stb.).
- Felelős személy — egy megnevezett természetes személy, nem csapat vagy szerepkör.
- 26. cikk (6) bek. szerinti naplózás — I/N/nem releváns a nagy kockázatú üzembe helyezéseknél.
- Üzembe helyezés dátuma — legalább hónap és év.
Egy ilyen tíz oszloppal rendelkező táblázat megválaszolja az első kérdést, amelyet minden hatóság, ügyfél vagy igazgatósági tag fel fog tenni. Bármi ezen túl iteratív munka, nem v1-munka. Álljon ellen a késztetésnek, hogy oszlopokat adjon hozzá, amíg ki nem töltötte mind a tízet minden soron végig.
4. lépés — Jelöljön ki rendszerenként egy felelős személyt (15 perc)
A 26. cikk (5) bekezdése előírja, hogy a nagy kockázatú rendszerek alkalmazói egy hozzáértő, felelős, a rendszer leállítására vagy felülbírálására hatáskörrel rendelkező személy révén biztosítsák az emberi felügyeletet [1]. Ezt úgy ültesse át a nyilvántartásába, hogy minden III. melléklet szerinti sorhoz egy tényleges természetes személyt nevez meg — nem egy szerepkört, mint az „IT-vezető" vagy az „üzemeltetési vezető". A felelős személynek három tulajdonsággal kell rendelkeznie: el tudja olvasni a rendszer kimeneteit, hatásköre van a rendszer kikapcsolására, és név szerint elérhető a nyilvántartásában.
A nem III. melléklet szerinti rendszerekhez is nevezzen meg egy felelőst. A formális kötelezettség enyhébb; a fegyelem ugyanaz. Az üzemeltetési vezetők és a felső vezetők a természetes felelősök a legtöbb kkv-ban; CTO-ra vagy CDO-ra nincs szükség.
5. lépés — Ellenőrizze szúrópróbaszerűen az emberi felügyeletet egy nagy kockázatú rendszeren (15 perc)
A legnagyobb kockázatú, III. melléklet szerinti soránál menjen végig három kérdésen: vizsgál-e egy ember az MI kimenetét, mielőtt az érintene egy személyt (az ember-a-folyamatban teszt); felül tudja-e bírálni az a személy a gyakorlatban az MI döntését (a hatáskör-teszt); kapott-e az ember a 4. cikk szerinti, szerepéhez illeszkedő képzést (a jártasság-teszt) [1]? A válaszok egy szabadszöveges „emberifelügyelet-megjegyzések" oszlopba kerülnek a tíz alapvető oszlop mellé.
Tizenöt perc alatt nem fogja befejezni az emberifelügyelet-protokollt. A cél az, hogy felszínre kerüljön, hol a hiányosság, nem az, hogy lezárja. Egy „nincs emberi vizsgálat az önéletrajz-szűrésnél; a hiányt 30 napon belül kell lezárni" szövegű sor pontosan a megfelelő kimenet. A nyilvántartás dolga az, hogy láthatóvá tegye a hiányt; a lezárása külön munkaszál és külön költségvetés.

Melyik öt buktató öli meg a v1 MI-nyilvántartást?
- A nyilvántartás egyszeri dokumentumként kezelése. A 26. cikk szerinti kötelezettségek folyamatosak; a nyilvántartás élő dokumentum, amelyet legalább negyedévente felülvizsgálnak, és valahányszor új MI-rendszert helyeznek üzembe, vagy egy szállító jelentős modellváltást ad ki, frissítenek.
- Az árnyék-MI kihagyása. A nem fizetett lakossági fiókok és a személyes Copilot-munkamenetek a legtöbb incidenst hozó, legkevésbé látható kategória. Ha a nyilvántartás nem hozza őket felszínre, hazudik.
- „Megfelelési eszköz" vásárlása a számbavétel előtt. Egy szállító megfelelési SaaS-e nem fogja besorolni az Ön felhasználási eseteit — csak az Ön csapata tudja. Először táblázat, később eszköz (vagy soha; a 200 főnél kisebb kkv-knak egy karbantartott táblázat elegendő).
- Szerepkör kijelölése személy helyett. Az „IT-csapatot" nem lehet riasztani. Egy megnevezett, telefonszámmal rendelkező természetes személyt igen. A 26. cikk (5) bekezdése az utóbbit feltételezi [1].
- A 4. cikk szerinti jártasság teljes kihagyása. A 4. cikk 2025. február 2. óta minden, MI-t használó munkatársra alkalmazandó, a szerepéhez arányosítva [1]. Ez nem egy szint — minden rendszer felszínre hoz egy 4. cikk szerinti kötelezettséget. Jegyezze fel a nyilvántartásban akkor is, ha maga a tanterv a nyomában következő munka.
Mi a teendő a kilencven perc után
A nyilvántartás a feltáró réteg. Jellemzően három követő munkaszál emelkedik el róla:
- FRIA-körülhatárolás minden egyes III. melléklet szerinti sorhoz, az MI-rendelet 27. cikke alapján [1] — egy külön, mélyebb dokumentum, amelyet a nyilvántartás kockázati szint oszlopa kezdeményez, nem pedig helyettesít.
- A 4. cikk szerinti MI-jártassági tanterv — a szerephez arányosítva, a nyilvántartás felelős személy oszlopához, nem a létszámhoz körülhatárolva.
- Beszállító-átvilágítási csomag — adatfeldolgozói szerződések, modellkártyák, általános célú MI-modell eredete, a nyilvántartás szállító oszlopához körülhatárolva, és a beszerzés megújításakor frissítve.
Ezek azok a munkaszálak, amelyeket egy beépített megközelítés tapasztalataink szerint nagyjából tizenkét hét alatt, 18 000–32 000 £-ért fed le, és ugyanezek a munkaszálak azok, amelyeket egy utólagos megközelítés hat összesűrített hét alatt, 85 000–145 000 £-ért fed le — egy szorzó, amely összhangban van a MIT Sloan GDPR utáni adataival arról, hogy az uniós cégek a kikényszerítés nyomására 26%-kal csökkentették a tárolt adatokat és 15%-kal a számítást [4]. A nyilvántartás a lehető legolcsóbb első lépés ezzel a számtannal szemben.
Összefoglalás
AI Register in 90 Minutes — a deployer-side inventory │ ├─ The five-step build │ ├─ List (15m) — paid, embedded, and shadow AI in scope │ ├─ Risk-tier (20m) — match each system to Annex III │ ├─ Ten columns (25m) — the audit-ready floor, no more │ ├─ Name owners (15m) — a person per system, not a team │ └─ Spot-check (15m) — surface the oversight gap, don't close it │ ├─ Why timebox v1 │ ├─ A living map — Article 26 duties are continuous │ └─ v1 you update beats v3 you never start │ └─ What it doesn't buy └─ Downstream — FRIA, Article 4 literacy, vendor due diligence
Kapcsolódó tartalmak
- MI-irányítás az első naptól: a megfelelés utólagos beépítésének kkv-költsége — a kiindulópont, amelyet ez az útmutató támogat. Olvassa el a költségszámtanért, a Northbridge-esetért és az első napi irányítás hét építőeleméért.
- Az Ön kkv-jának nem több MI-eszközre van szüksége. Hanem MI-stratégiára.EN — a megelőző cikk arról, miért számít egy engedélyezett MI-lista többet bármely egyedi előfizetésnél, és az audit-és-konszolidáció sorrend, amely egyet előállít.
Utolsó frissítés: 2026. május. Verzió: 1.0.
Frequently Asked Questions
Az MI-nyilvántartás helyettesíti a GDPR szerinti ROPA-t?
A munkatársaink ingyenes ChatGPT-t és lakossági Copilotot használnak. Ezek számítanak a nyilvántartásba?
A kkv-nk az EU-n kívül működik. Vonatkozik az MI-nyilvántartásunkra az MI-rendelet?
Kié legyen az MI-nyilvántartás egy CTO nélküli kkv-n belül?
Milyen gyakran frissítsük a nyilvántartást?
Elég egy táblázat, vagy dedikált GRC-eszközre van szükségünk?
Sources
- 1.Regulation (EU) 2024/1689 — Artificial Intelligence Act — European Parliament and of the Council · 2024
- 2.Guidance on AI and Data Protection — Information Commissioner's Office (ICO) · 2023
- 3.AI and Data Protection Risk Toolkit / AI Auditing Framework — Information Commissioner's Office (ICO) · 2023
- 4.GDPR's Effects on Firm Data and Computation Use (Bessen, Janßen, Peukert, Seamans) — MIT Sloan · 2022
Want this run on your business?
AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.
You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.