04 · AI és automatizáció

AI és adatvédelem: mire figyeljünk?

↑ Rövid válasz

AI használatnál figyelni kell arra, milyen adat kerül a rendszerbe, ki fér hozzá, mire használja az eszköz, van-e szerződéses vagy jogi alap, és hogyan ellenőrizzük a folyamatot.

Részletes magyarázat

Az AI használatánál az adatbiztonság nem utólagos apróság. A vállalkozásnak tudnia kell, milyen adatot, milyen rendszerbe és milyen célból ad meg. Az AI nem mentesít az adatvédelmi felelősség alól. Ha ügyféladat, munkavállalói adat vagy üzleti titok kerül egy rendszerbe, azt tudatosan kell kezelni. Érdemes belső szabályt írni: milyen adatok mehetnek AI-ba, mit kell anonimizálni, ki használhatja, milyen eszközben és milyen célra. Az EU AI Act (2024/1689 rendelet) 2024 augusztusban hatályba lépett. Időzítés: 2025 február — tiltott AI gyakorlatok lépnek életbe; 2025 augusztus — generatív modellekre (foundation model) vonatkozó kötelezettségek; 2026 augusztus — magas kockázatú rendszerek teljes szabályozása. Egy kkv-nak nagy ChatGPT/Claude/Gemini-használat mellett egyszerű ChatGPT-asszisztens NEM magas kockázatú, de az átláthatóság ("ezt AI generálta") kötelezettség mindenkire vonatkozik. GDPR oldalon: NAIH 2024-óta DPIA-t (adatvédelmi hatásvizsgálat) vár el AI-alapú profilalkotásnál, automatizált döntésnél. AI-szolgáltatóval DPA (adatfeldolgozói szerződés) és sub-processor lista kell. Amerikai szolgáltatóhoz adattovábbítás (OpenAI, Anthropic, Google) Schrems II óta SCC vagy Data Privacy Framework alapon történhet.

↑ Szakmai megjegyzés

AI használatnál az adatvédelem nem apró betűs rész. Egy vállalkozás bizalmat épít vagy veszít azzal, hogyan kezeli az ügyféladatait. Ezért előbb a szabályokat és felelősségeket kell tisztázni, utána jöhet az eszközhasználat.

Tipikus hibák

  • Az EU AI Act-tel csak akkor foglalkoznak, amikor már szankcióval fenyeget — pedig 2025 augusztustól több kötelezettség él.
  • Nincs jelölve a céges weboldalon vagy posztokon, hogy AI-generált tartalom — pedig ezt az AI Act átláthatósági része megköveteli.
  • Az AI-szolgáltatóval kötött szerződés nem tartalmaz DPA-t, sub-processor listát.
  • Az amerikai AI-szolgáltatóhoz adattovábbítás SCC vagy DPF nélkül megy.

Mit érdemes tenni?

  1. Írd össze, milyen adatok kerülhetnek AI-eszközökbe.
  2. Válaszd szét a publikus, belső és érzékeny adatokat.
  3. Készíts rövid AI használati szabályzatot.
  4. Tanítsd meg a csapatnak, mit tilos bemásolni.
  5. Kritikus esetben kérj jogi vagy adatvédelmi kontrollt.
Beszéljünk