Az árnyék-MI és a rejtett adatfeldolgozás mindent felforgat
Komoly problémát jelent, hogy az MI-szolgáltatásokat nyújtó szoftvercégek 63 százaléka nem tüntet fel harmadik fél MI-alapú feldolgozót a jogi dokumentumaiban. Vagyis: ha egy vállalat MI-funkciókkal rendelkező szolgáltatást vásárol, könnyedén előfordulhat, hogy ügyfeleinek adatait olyan MI-modellek kezelik, amelyekről nincs hivatalos említés.
A DataGrail szakértői nemcsak a szerződéseket vizsgálták át, hanem elemezték a vállalatok termékleírásait, fejlesztői platformjait, API-integrációit is, és itt gyakran találtak olyan MI-beszállítókat, amelyeket a szerződésekben nem tüntettek fel. Tipikus példa, hogy egy toborzó szoftver DPA-jában egyetlen MI-modell szerepel, valójában viszont a termék további MI-partnereket is használ a háttérben – a megrendelő cég tudta nélkül. Ezek a rejtett MI-rendszerek akár érzékeny személyes adatokat – lakcímeket, pénzügyi vagy társadalombiztosítási információkat – dolgoznak fel, miközben a vásárló vállalat úgy érzi, minden a szabályok szerint zajlik.
Mindazonáltal a jelentés szerint a helyzet talán ennél is rosszabb: a tényleges kockázatok száma jóval meghaladja a hivatalosan bevallottakat.
Egyharmaduk érzékeny adatokat is kezel
A cégek helyzete tovább súlyosbodik, hiszen az MI-szoftverek nagyjából egyharmada nemcsak hagyományos adatokat, hanem különösen érzékeny információkat (például egészségügyi, pénzügyi vagy biometrikus adatokat) is kezel. Ezek az adatok gyakran kerülhetnek olyan automatizált döntéshozatali rendszerekhez, amelyek felett gyakorlatilag senki nem gyakorol valódi ellenőrzést.
Ez hamarosan komoly szabályozói következményekkel járhat. Az Egyesült Államokban 2026-tól életbe lépő adatvédelmi törvények például előírják, hogy minden olyan vállalatnak, amely MI-t használ érzékeny adatokhoz kötődően vagy automatizált döntések meghozatalára, szigorú és dokumentált kockázatértékelést kell készítenie, amelyet az illetékes hatóságoknak is be kell nyújtania.
A legérdekesebb rész még csak ezután jön: az MI-projekteket indító cégek 42 százaléka végül visszalépett az adatvédelmi aggályok miatt – vagyis a vállalatok egy része ma inkább nem vállalja a kockázatot, ha nem tudja garantálni az adatbiztonságot.
A felhasználók többsége csak legyint a sütikre, de a bírságok egyre nőnek
A hagyományos adatvédelmi kihívások sem enyhülnek: 2025-ben a beleegyezéskezelés volt az adatvédelmi szabályozók legfontosabb csatatere. Kaliforniában például 4,3 millió dollár (kb. 1,5 milliárd forint) összértékű CCPA-büntetést szabtak ki csak a beleegyező felületek szabálytalan működése miatt. Országos szinten több mint 1400 kollektív per indult, főleg mivel sok weboldal ma sem kezeli megfelelően az opt-out (visszautasítási) opciókat.
A felhasználók viselkedése sem segíti az adatvédelmet: noha a törvény által előírt leiratkozási mechanizmusokat egyre többen bevezetik, a felhasználók 48 százaléka egyszerűen minden sütit elfogad, és kevesebb mint 15 százalékuk választja az alapvető adatgyűjtést vagy szabja testre engedélyeit.
Az adatletörlési kérelmek száma 5 év alatt hatszorosára nőtt
Rekordot dönt az adatkezelési kérelmek mennyisége: ma már az összes ilyen kérés 87 százaléka adatletörlési kérelem. A cégek számára ezek kezelése komoly költséget jelent: egy közepes vállalat számára, amely évi 5 millió látogatót szolgál ki, a kérelmek manuális feldolgozása évente 540 millió forintba kerül. Az átlagos költség 2021-ben még csupán 86 millió forint volt, mostanra azonban több mint hatszorosára nőtt.
A vállalatok többsége – függetlenül attól, hogy az adott államban van-e adatvédelmi törvény – teljesíti a törlési kérelmeket, mert lehetetlen lenne eldönteni, melyik felhasználóra éppen mi vonatkozik.
Megdöbbentő mértékben szigorodtak az amerikai szabályozások
Az állami szabályozók 2025-ben 3,4 milliárd dollárnyi (kb. 1 139 milliárd forintnyi) adatvédelmi bírságot szabtak ki, és a törvényi környezet ma már nem a felvilágosításról, hanem a büntetésről szól. Már csaknem minden második amerikai államban átfogó adatvédelmi törvény van érvényben, és a várakozások szerint öt éven belül további 24 állam követi a példát.
Nem meglepő, hogy a vállalatok döntéshozói részlegeiben jelentős változások indultak el, miközben az MI irányításához szükséges humán kapacitások csökkennek: a magánszektorban az adatvédelmi csapatok létszáma akár 30 százalékkal is csökkent, miközben a feladatok száma csak nő, részben azért, mert a cégek inkább MI-alapú megoldásokat vetnek be a rutinfeladatok automatizálására.
Az autonóm MI-ügynökök elterjedése új korszakot nyithat
És ez még nem minden: jövőre várhatóan a nagyobb vállalatok több mint fele konkrét feladatokra szakosodott MI-ügynököket fog felhasználni. Ezek az ügynökök képesek lehetnek teljesen függetlenül, akár emberi ellenőrzés nélkül feldolgozni és más rendszerekbe továbbítani a begyűjtött adatokat. Nem kizárt, hogy így az árnyék-MI-probléma többszörösére nő, hiszen az ügynökök tevékenysége egy nagy szervezeten belül szinte átláthatatlanná teheti, ki mit tesz érzékeny ügyfélinformációkkal.
Öt éve az adatvédelmi trendekről szóló jelentések csak felhívták a figyelmet a veszélyek növekedésére – ma viszont már adott a kérlelhetetlen valóság: a szerződések és folyamatok, amelyekre éveken át támaszkodni lehetett, pillanatok alatt elavulhatnak. Az adatvédelem új kora kezdődött – amelyben az nyer, aki képes adaptálódni a szédületes tempójú változásokhoz.
