2026-ra az adatvédelem végleg kilépett a jogi „háttértéma” szerepéből. A mesterséges intelligencia tömeges vállalati használatával ma már nem az a kérdés, hogy „megfelelünk-e a szabályoknak”, hanem az, hogy egy vitás helyzetben, hatósági eljárásnál vagy incidens után képesek vagyunk-e bizonyítani, mi történt az adatokkal, ki hozott döntést, és milyen kontroll mellett. Az AI korában a bizalom nem kommunikációs kérdés, hanem auditálható tény – és aki ezt nem tudja felmutatni, az előbb-utóbb nemcsak jogi, hanem üzleti hátrányba is kerül – figyelmeztet Kopasz János, a Taylor Wessing adatvédelmi és AI-szabályozási szakértője a január 28-ára eső Adatvédelem Nemzetközi Napja alkalmából készített elemzésében.
„Ma már nem arról beszélünk, hogy az adatvédelem fontos-e, hanem arról, hogy a digitális működés egyáltalán elképzelhető-e nélküle” – kezdi gondolatait Kopasz János, a Taylor Wessing adatvédelmi és AI-szabályozási szakértője. Meglátása szerint a mesterséges intelligencia megjelenése alapjaiban változtatta meg az adatvédelem szerepét: a jogterület mára szorosan összefonódott a kiberbiztonsággal, az IT-architektúrával és a vállalatirányítással.
AI-hype: lufi, slop és vibe coding
Az elmúlt években a mesterséges intelligencia körüli várakozások példátlan magasságokba emelkedtek. A technológiai részvénypiacokon sokan az „AI-forradalom” ígéretében árazzák újra a jövőt, miközben egyre több elemző figyelmeztet: az AI-hype könnyen túlértékelésbe fordulhat. A vita azonban félrevisz, ha pusztán pénzügyi lufiként vagy történelmi fordulatként tekintünk rá.
A vállalatok számára a kérdés jóval prózaibb:
Hogyan lehet a generatív AI-t biztonságosan, jogszerűen és üzletileg értelmesen integrálni, úgy, hogy közben ne nyissunk új kockázati frontokat adatvédelemben, szellemi tulajdonjogban, diszkriminációban, kiberbiztonságban vagy belső kontrollban?
Eközben az internetet és a tartalomipart elárasztotta a generatív AI „mellékterméke”: az „AI slop”, vagyis a kéretlen, gyenge minőségű, hibáktól hemzsegő AI-tartalom. A kapkodás a szoftverfejlesztésben is megjelent: a „vibe coding” azt a gyakorlatot írja le, amikor tervezés és kontroll helyett AI-eszközökkel generáltatunk kódrészleteket – gyors eredménnyel, de gyakran felszínes és megbízhatatlan végeredménnyel. A „működik” ebben a környezetben nem egyenlő azzal, hogy a megoldás auditálható, biztonságos és hosszú távon fenntartható lenne.
„Az AI-aranyláz közepette könnyű szem elől téveszteni a minőséget: az AI-projektek jelentős része kirakattermék – a mélyben adat-, kontroll- és felelősségi hiányosságokkal”
– fogalmaz Kopasz János ügyvéd.
A rideg valóság: nem a modell bukik el, hanem a kontrollkörnyezet
A generatív AI látványosan fejlődik – a vállalati bevezetések mégis gyakran tesztüzemben ragadnak. Ennek oka többnyire nem az, hogy „gyenge a technológia”, hanem az, hogy
éles környezetben az AI nem önmagában működik. Adatokra, jogosultságokra, folyamatokra és felelősségi láncra épül. Ami egy koncepcióigazolásban (proof of concept) működik, az a valós működésben csak akkor skálázható, ha visszakövethető, ellenőrizhető és igazolható.
„A leggyakoribb tévedés, hogy a szervezetek az AI-t IT-projektként kezelik, miközben a siker kulcsa tipikusan vállalatirányítási (governance) kérdés. Ilyenkor születik egy AI-szabályzat, kijelölnek egy felelőst – és azt várják, hogy „innentől minden magától megy”. Csakhogy a szabályzat önmagában nem pótolja a döntéshozatali kontrollpontokat: ki viseli a szakmai felelősséget, mi a pontos üzleti cél, mely adatforrás minősül hitelesnek, mikor kötelező az emberi felülvizsgálat vagy beavatkozás, hogyan definiáljuk és mérjük a tévesztést és a teljesítményt, és mi a vészforgatókönyv (rollback), ha a megoldás téved vagy nem várt kimenetet ad. Ha ezek nincsenek tisztázva, az AI nemcsak az üzleti folyamatokat gyorsítja – hanem a kockázatot is skálázza: gyorsabban, nagyobb hatással, és gyakran csak késleltetetten válik láthatóvá“ – teszi hozzá Kopasz János adatvédelmi szakértő.
Itt kapcsolódik össze nagyon konkrétan az AI az adatvédelemmel és a kiberbiztonsággal.
A későbbi viták és incidensek ritkán abból erednek, hogy „rossz volt a prompt”. Sokkal inkább abból, hogy nem volt átlátható és dokumentált, milyen adatok kerültek a rendszerbe, ki férhetett hozzá, mi alapján született egy javaslat vagy döntés, és hogyan működött az emberi felülvizsgálat a gyakorlatban. Márpedig
hatósági megkeresésnél, ügyfél-audit során, belső panasz esetén vagy munkajogi helyzetben végül mindig ugyanarra a kérdésre kell válaszolni: ki döntött, mi alapján, és ezt hogyan tudjuk igazolni utólag.
És innen vezet tovább a következő – 2026-ban megkerülhetetlen – kérdéshez: ha a számítási igény, az adatáramlás és az AI-használat skálázódik, milyen infrastruktúrára és energiára támaszkodik mindez, hol fut, és ki gyakorol felette tényleges kontrollt. Ez már az adatközpontok, a költség- és ellátási kitettség, valamint az „AI-szuverenitás” és a felhőfüggés (cloud exit) realitásának terepe.
Az AI éhsége: energiafogyasztás és ökológiai lábnyom
Miközben számos AI-projekt soha nem jut el a termelésig, a sikeresen működő rendszerek terjedésének van egy kézzelfogható mellékhatása: az adatközpontok energiaigénye ugrásszerűen nő. Az AI „láthatatlan költsége” egyre kevésbé hagyható figyelmen kívül, amikor digitális stratégiáról beszélünk. A fenntarthatósági dimenzió nem pusztán vállalati felelősségvállalási narratíva (CSR), hanem ESG-alapú kockázat- és megfelelési kérdés is: a költség, a kockázat és a szabályozói elvárások egyre gyakrabban futnak itt össze.
A szervezeteknek ezért ma már érdemes ugyanazzal a józansággal kezelni az AI-t, mint bármely kritikus infrastruktúrát: milyen számítási igényekkel jár, hogyan optimalizálható, milyen adatokat mozgatunk, és milyen architektúrával csökkenthető a „felesleges” terhelés.
„Nem mind arany, ami fénylik: az AI kényelmes felülete mögött infrastruktúra, energia és felelősség áll – ezt ma már governance-szinten kell kezelni” – fogalmaz Kopasz János ügyvéd.
Digitális szuverenitás és cloud exit: adatok feletti kontroll
Az adatvédelem és a biztonság kérdése ma már szorosan összefügg azzal, hogy ki rendelkezik az adatok felett – és ki üzemelteti azt az infrastruktúrát, amelyen az adatkezelés ténylegesen történik. Európában egyre gyakrabban kerül elő a digitális szuverenitás igénye: a cél nem elszigetelődés, hanem a külső függőségek tudatos kezelése és a technológiai önrendelkezés megőrzése. Vállalati és állami oldalon egyaránt erősödik az elvárás, hogy
a kritikus adatok „sorsa” felett valós kontroll legyen – ne csak papíron, hanem technikailag és kikényszeríthető szerződéses garanciák mentén is.
A vállalati gyakorlatban mindez gyakran cloud exit jelenségként jelenik meg: a szervezetek a nyilvános felhőből bizonyos munkaterheléseket visszamigrálnak saját környezetbe, vagy tudatosan hibrid modellt építenek. A motivációk vegyesek: költség, teljesítmény, lock-in kockázat, adatvédelmi és megfelelési szempontok. A tanulság azonban közös:
az infrastruktúra-választás ma már jogi és kockázatkezelési kérdés is.
Különösen igaz ez AI esetén, ahol a beszállítói lánc (modell- és API-szolgáltatók, alvállalkozók, modellüzemeltetés, monitorozás) könnyen átláthatatlanná válik, miközben a felelősség nem „tűnik el” – csak szétterül.
„Ahol adat van, ott hatalom van – és ahol AI van, ott ez a hatalom gyakran több szereplő között oszlik meg. A szuverenitás a gyakorlatban: átlátható beszállítói lánc, kontrollált adatáramlás, auditálható működés”
– foglalja össze dr. Kopasz János ügyvéd.
Felelős optimizmus és jövőbe tekintés
Az Adatvédelem Napja 2026 arra emlékeztet, hogy a digitális jövő alakításakor az innováció előnyeit és a kockázatokat egyszerre kell kézben tartani. A szakmai válasz nem pesszimizmus, hanem felelős és igazolható kontroll:
olyan governance, amelyben az AI nem „árnyékrendszerként” fut a szervezetben, hanem világos célokkal, kijelölt felelősökkel, döntési pontokkal, mérőszámokkal és rögzített felelősségi renddel.
A 2026-os üzenet ezért nem az, hogy az AI önmagában veszélyes, hanem az, hogy a kontroll nélküli AI-használat az. A bizalom nem PR-kampányból születik, hanem működésből: adatvédelemből, kiberbiztonságból, valamint abból, hogy egy vitás helyzetben vagy hatósági megkeresésnél utólag is értelmezhető és auditálható, mi történt, ki döntött, és milyen alapon.
Vállalati szinten mindez nagyon gyorsan lefordítható a gyakorlat nyelvére: a legtöbb szervezetnél az áttörést nem egy újabb policy hozza el, hanem egy működő irányítási és kontrollrendszer. Ennek kiindulópontja az AI-use case-ek tudatos priorizálása és kockázati besorolása – különösen a HR, az ügyfélszolgálat és a megfigyelés/monitoring területein –, majd az ehhez illeszkedő hatásvizsgálat (DPIA) vagy AI risk assessment elvégzése, és a „human oversight” valódi operationalizálása (nem elég kimondani: meg kell tervezni, ki, mikor, milyen információk alapján avatkozik be).
Ezzel párhuzamosan kulcskérdés a beszállítói lánc átvilágítása (SaaS/LLM/API), a szerződéses kontrollok megerősítése (DPA, adott esetben SCC-k, auditjogok, incidenskezelési kötelezettségek), valamint az adatfolyamok, megőrzési idők, naplózás és incident response összehangolása, hogy egy esemény ne „széteső” rendszerek között vesszen el.
„Végül mindezt belső governance-nak kell lezárnia: egyértelmű döntési jogkörökkel, változáskezeléssel (change control), és a „shadow AI” kordában tartásával – mert a legnagyobb kockázat sokszor nem az, amit a cég bevezet, hanem az, ami észrevétlenül már fut a szervezetben” – zárja gondolatait Kopasz János adatvédelmi szakértő.
Kopasz János, a Taylor Wessing adatvédelmi és AI-szabályozási szakértője:
