Ez nem csupán technológiai, hanem súlyos jogi, üzleti és kibervédelmi kockázat is, amely akár több tízmillió eurós bírságot is eredményezhet az AI Act vagy a GDPR megsértése miatt – figyelmeztet Dr. Kopasz János, a Taylor Wessing nemzetközi ügyvédi iroda adatvédelmi és AI-szabályozási szakértője.
A „Shadow AI” – magyarul árnyék MI – minden olyan mesterséges intelligencia-eszköz vállalati használatát jelenti, amely kívül esik a hivatalosan jóváhagyott, IT- és jogi kontroll alatt álló rendszereken. Ide tartozik például, ha egy marketinges nyilvános AI-chatbotot vet be kampányszöveg írására, egy fejlesztő generatív AI-t használ kódrészletek előállításához, egy pénzügyes online AI-táblázatkezelővel dolgozza fel a belső adatokat, vagy egy HR-es nyílt AI-eszközzel szűri az önéletrajzokat – mindezt úgy, hogy erről sem az informatikai, sem a jogi részlegnek nincs tudomása.
Az ilyen gyakorlat jellemzően semmilyen belső nyilvántartásban nem jelenik meg, így egy adatvédelmi incidens vagy hatósági vizsgálat esetén a vállalat könnyen patthelyzetbe kerülhet: nem tudja igazolni, hogy a feldolgozás jogszerű volt, és hogy az alkalmazott AI-eszköz megfelelt az uniós előírásoknak.
Bizalmas céges információk kerülhetnek nyílt AI-platformokra, harmadik országba, ellenőrizetlen garanciák mellett. Kibervédelmi szempontból a felügyelet nélküli AI-használat új támadási felületet nyit: a platformok sérülékenységein, API-kapcsolatain keresztül adatszivárgás, rosszindulatú kód vagy phishing-támadás is bekövetkezhet. Szellemi tulajdon szempontjából is veszélyes, ha belső know-how vagy ügyféladat AI-modellekbe jut, mivel később tanítóadatként újra felhasználható lehet. Ha a munkavállalók saját privát fiókjukkal használnak nem engedélyezett AI-eszközöket, a céges kontroll teljesen megszűnik, és a vállalat semmilyen módon nem tudja biztosítani a jogi és biztonsági követelményeknek való megfelelést.
A megoldás nem a tiltás, hanem a szabályozott integráció, amely egyszerre biztosítja az átlátható és biztonságos AI-használatot, miközben lehetővé teszi az üzleti előnyök kiaknázását. Ez a gyakorlatban egy több elemből álló keretrendszert jelent. Első lépésként világos, részletes AI-használati szabályzatot (AI Acceptable Use Policy – AI AUP) kell kialakítani, amely nemcsak felsorolja, milyen adattípusok bevitele tilos, hanem konkrét példákkal is szemlélteti a biztonságos és jogszerű gyakorlatot, valamint rögzíti az új AI-eszközök jóváhagyási folyamatát. A magas kockázatú eseteknél kötelező adatvédelmi hatásvizsgálatot (DPIA) kell végezni, amely kiterjed az adattovábbítási útvonalakra, a hozzáférés-kezelésre, valamint az AI Act szerinti emberi felügyeleti és átláthatósági követelményekre. Lényeges a belső adatfolyamok feltérképezése és a beszállítói szerződések frissítése is, hogy az AI-használat szerződéses szinten is megfeleljen az adatbiztonsági elvárásoknak.
Kulcsszerepe van a célzott, gyakorlati AI-képzésnek is, amely nem áll meg az alapfogalmaknál, hanem konkrét promptolási technikákat, adatbiztonsági szempontokat és jogi korlátokat is bemutat. 2025. februárjától az AI Act értelmében minden, AI-t használó szervezet számára kötelezettség, hogy megfelelő AI-jártasságot (AI literacy) biztosítson a munkatársainak.
Forrás: GP Gazdaság Portál (https://gazdasagportal.hu/index.php/titokban-ai-t-hasznalnak-a-kollegak-sulyos-arat-fizethet-erte-a-ceg/#google_vignette)