This article is also available in Hungarian.
By 2026, data protection has finally emerged from its role as a legal "background issue." With the widespread use of AI by companies, the question today is no longer whether we comply with the rules, but whether we are able to prove what happened to the data, who made the decision, and under what controls in the event of a dispute, official proceedings, or incident. In the age of AI, trust is not a matter of communication, but an auditable fact – and those who cannot demonstrate this will sooner or later find themselves at a disadvantage, not only legally but also commercially.
Az AI korában a bizalom már auditálható kérdés
2026-ra az adatvédelem végleg kilépett a jogi „háttértéma” szerepéből. A mesterséges intelligencia tömeges vállalati használatával ma már nem az a kérdés, hogy „megfelelünk-e a szabályoknak”, hanem az, hogy egy vitás helyzetben, hatósági eljárásnál vagy incidens után képesek vagyunk-e bizonyítani, mi történt az adatokkal, ki hozott döntést, és milyen kontroll mellett. Az AI korában a bizalom nem kommunikációs kérdés, hanem auditálható tény – és aki ezt nem tudja felmutatni, az előbb-utóbb nemcsak jogi, hanem üzleti hátrányba is kerül – figyelmeztet Dr. Kopasz János, a Taylor Wessing adatvédelmi és AI-szabályozási szakértője a január 28-ára eső Adatvédelem Nemzetközi Napja alkalmából készített elemzésében.
„Ma már nem arról beszélünk, hogy az adatvédelem fontos-e, hanem arról, hogy a digitális működés egyáltalán elképzelhető-e nélküle” – kezdi gondolatait Dr. Kopasz János, a Taylor Wessing adatvédelmi és AI-szabályozási szakértője. Meglátása szerint a mesterséges intelligencia megjelenése alapjaiban változtatta meg az adatvédelem szerepét: a jogterület mára szorosan összefonódott a kiberbiztonsággal, az IT-architektúrával és a vállalatirányítással.
AI-hype: lufi, slop és vibe coding
Az elmúlt években a mesterséges intelligencia körüli várakozások példátlan magasságokba emelkedtek. A technológiai részvénypiacokon sokan az „AI-forradalom” ígéretében árazzák újra a jövőt, miközben egyre több elemző figyelmeztet: az AI-hype könnyen túlértékelésbe fordulhat. A vita azonban félrevisz, ha pusztán pénzügyi lufiként vagy történelmi fordulatként tekintünk rá.
A vállalatok számára a kérdés jóval prózaibb: hogyan lehet a generatív AI-t biztonságosan, jogszerűen és üzletileg értelmesen integrálni, úgy, hogy közben ne nyissunk új kockázati frontokat adatvédelemben, szellemi tulajdonjogban, diszkriminációban, kiberbiztonságban vagy belső kontrollban.
Eközben az internetet és a tartalomipart elárasztotta a generatív AI „mellékterméke”: az „AI slop”, vagyis a kéretlen, gyenge minőségű, hibáktól hemzsegő AI-tartalom. A kapkodás a szoftverfejlesztésben is megjelent: a „vibe coding” azt a gyakorlatot írja le, amikor tervezés és kontroll helyett AI-eszközökkel generáltatunk kódrészleteket – gyors eredménnyel, de gyakran felszínes és megbízhatatlan végeredménnyel. A „működik” ebben a környezetben nem egyenlő azzal, hogy a megoldás auditálható, biztonságos és hosszú távon fenntartható lenne.
„Az AI-aranyláz közepette könnyű szem elől téveszteni a minőséget: az AI-projektek jelentős része kirakattermék – a mélyben adat-, kontroll- és felelősségi hiányosságokkal” – fogalmaz Dr. Kopasz János ügyvéd.
A rideg valóság: nem a modell bukik el, hanem a kontrollkörnyezet
A generatív AI látványosan fejlődik – a vállalati bevezetések mégis gyakran tesztüzemben ragadnak. Ennek oka többnyire nem az, hogy „gyenge a technológia”, hanem az, hogy éles környezetben az AI nem önmagában működik. Adatokra, jogosultságokra, folyamatokra és felelősségi láncra épül. Ami egy koncepcióigazolásban (proof of concept) működik, az a valós működésben csak akkor skálázható, ha visszakövethető, ellenőrizhető és igazolható.
„A leggyakoribb tévedés, hogy a szervezetek az AI-t IT-projektként kezelik, miközben a siker kulcsa tipikusan vállalatirányítási (governance) kérdés. Ilyenkor születik egy AI-szabályzat, kijelölnek egy felelőst – és azt várják, hogy „innentől minden magától megy”. Csakhogy a szabályzat önmagában nem pótolja a döntéshozatali kontrollpontokat: ki viseli a szakmai felelősséget, mi a pontos üzleti cél, mely adatforrás minősül hitelesnek, mikor kötelező az emberi felülvizsgálat vagy beavatkozás, hogyan definiáljuk és mérjük a tévesztést és a teljesítményt, és mi a vészforgatókönyv (rollback), ha a megoldás téved vagy nem várt kimenetet ad. Ha ezek nincsenek tisztázva, az AI nemcsak az üzleti folyamatokat gyorsítja – hanem a kockázatot is skálázza: gyorsabban, nagyobb hatással, és gyakran csak késleltetetten válik láthatóvá“ - teszi hozzá dr. Kopasz János adatvédelmi szakértő.
Itt kapcsolódik össze nagyon konkrétan az AI az adatvédelemmel és a kiberbiztonsággal. A későbbi viták és incidensek ritkán abból erednek, hogy „rossz volt a prompt”. Sokkal inkább abból, hogy nem volt átlátható és dokumentált, milyen adatok kerültek a rendszerbe, ki férhetett hozzá, mi alapján született egy javaslat vagy döntés, és hogyan működött az emberi felülvizsgálat a gyakorlatban. Márpedig hatósági megkeresésnél, ügyfél-audit során, belső panasz esetén vagy munkajogi helyzetben végül mindig ugyanarra a kérdésre kell válaszolni: ki döntött, mi alapján, és ezt hogyan tudjuk igazolni utólag.
És innen vezet tovább a következő – 2026-ban megkerülhetetlen – kérdéshez: ha a számítási igény, az adatáramlás és az AI-használat skálázódik, milyen infrastruktúrára és energiára támaszkodik mindez, hol fut, és ki gyakorol felette tényleges kontrollt. Ez már az adatközpontok, a költség- és ellátási kitettség, valamint az „AI-szuverenitás” és a felhőfüggés (cloud exit) realitásának terepe.
Az AI éhsége: energiafogyasztás és ökológiai lábnyom
Miközben számos AI-projekt soha nem jut el a termelésig, a sikeresen működő rendszerek terjedésének van egy kézzelfogható mellékhatása: az adatközpontok energiaigénye ugrásszerűen nő. Az AI „láthatatlan költsége” egyre kevésbé hagyható figyelmen kívül, amikor digitális stratégiáról beszélünk. A fenntarthatósági dimenzió nem pusztán vállalati felelősségvállalási narratíva (CSR), hanem ESG-alapú kockázat- és megfelelési kérdés is: a költség, a kockázat és a szabályozói elvárások egyre gyakrabban futnak itt össze.
A szervezeteknek ezért ma már érdemes ugyanazzal a józansággal kezelni az AI-t, mint bármely kritikus infrastruktúrát: milyen számítási igényekkel jár, hogyan optimalizálható, milyen adatokat mozgatunk, és milyen architektúrával csökkenthető a „felesleges” terhelés.
„Nem mind arany, ami fénylik: az AI kényelmes felülete mögött infrastruktúra, energia és felelősség áll – ezt ma már governance-szinten kell kezelni.” – fogalmaz dr. Kopasz János ügyvéd.
Digitális szuverenitás és cloud exit: adatok feletti kontroll
Az adatvédelem és a biztonság kérdése ma már szorosan összefügg azzal, hogy ki rendelkezik az adatok felett – és ki üzemelteti azt az infrastruktúrát, amelyen az adatkezelés ténylegesen történik. Európában egyre gyakrabban kerül elő a digitális szuverenitás igénye: a cél nem elszigetelődés, hanem a külső függőségek tudatos kezelése és a technológiai önrendelkezés megőrzése. Vállalati és állami oldalon egyaránt erősödik az elvárás, hogy a kritikus adatok „sorsa” felett valós kontroll legyen – ne csak papíron, hanem technikailag és kikényszeríthető szerződéses garanciák mentén is.
A vállalati gyakorlatban mindez gyakran cloud exit jelenségként jelenik meg: a szervezetek a nyilvános felhőből bizonyos munkaterheléseket visszamigrálnak saját környezetbe, vagy tudatosan hibrid modellt építenek. A motivációk vegyesek: költség, teljesítmény, lock-in kockázat, adatvédelmi és megfelelési szempontok. A tanulság azonban közös: az infrastruktúra-választás ma már jogi és kockázatkezelési kérdés is.
Különösen igaz ez AI esetén, ahol a beszállítói lánc (modell- és API-szolgáltatók, alvállalkozók, modellüzemeltetés, monitorozás) könnyen átláthatatlanná válik, miközben a felelősség nem „tűnik el” – csak szétterül.
„Ahol adat van, ott hatalom van – és ahol AI van, ott ez a hatalom gyakran több szereplő között oszlik meg. A szuverenitás a gyakorlatban: átlátható beszállítói lánc, kontrollált adatáramlás, auditálható működés.” – foglalja össze dr. Kopasz János ügyvéd.
Felelős optimizmus és jövőbe tekintés
Az Adatvédelem Napja 2026 arra emlékeztet, hogy a digitális jövő alakításakor az innováció előnyeit és a kockázatokat egyszerre kell kézben tartani. A szakmai válasz nem pesszimizmus, hanem felelős és igazolható kontroll: olyan governance, amelyben az AI nem „árnyékrendszerként” fut a szervezetben, hanem világos célokkal, kijelölt felelősökkel, döntési pontokkal, mérőszámokkal és rögzített felelősségi renddel.
A 2026-os üzenet ezért nem az, hogy az AI önmagában veszélyes, hanem az, hogy a kontroll nélküli AI-használat az. A bizalom nem PR-kampányból születik, hanem működésből: adatvédelemből, kiberbiztonságból, valamint abból, hogy egy vitás helyzetben vagy hatósági megkeresésnél utólag is értelmezhető és auditálható, mi történt, ki döntött, és milyen alapon.
Vállalati szinten mindez nagyon gyorsan lefordítható a gyakorlat nyelvére: a legtöbb szervezetnél az áttörést nem egy újabb policy hozza el, hanem egy működő irányítási és kontrollrendszer. Ennek kiindulópontja az AI-use case-ek tudatos priorizálása és kockázati besorolása – különösen a HR, az ügyfélszolgálat és a megfigyelés/monitoring területein –, majd az ehhez illeszkedő hatásvizsgálat (DPIA) vagy AI risk assessment elvégzése, és a „human oversight” valódi operationalizálása (nem elég kimondani: meg kell tervezni, ki, mikor, milyen információk alapján avatkozik be).
Ezzel párhuzamosan kulcskérdés a beszállítói lánc átvilágítása (SaaS/LLM/API), a szerződéses kontrollok megerősítése (DPA, adott esetben SCC-k, auditjogok, incidenskezelési kötelezettségek), valamint az adatfolyamok, megőrzési idők, naplózás és incident response összehangolása, hogy egy esemény ne „széteső” rendszerek között vesszen el.
„Végül mindezt belső governance-nak kell lezárnia: egyértelmű döntési jogkörökkel, változáskezeléssel (change control), és a „shadow AI” kordában tartásával – mert a legnagyobb kockázat sokszor nem az, amit a cég bevezet, hanem az, ami észrevétlenül már fut a szervezetben” – zárja gondolatait dr. Kopasz János adatvédelmi szakértő.
