Milyen adatokat ne adjunk meg AI-nak?

Részletes magyarázat

Az AI használatánál az adatbiztonság nem utólagos apróság. A vállalkozásnak tudnia kell, milyen adatot, milyen rendszerbe és milyen célból ad meg. Az adatvédelem nem azon múlik, hogy kényelmes-e bemásolni valamit. A cég felelőssége, hogy tudja, milyen adat hova kerül. Különösen óvatosan kell bánni ügyféllistákkal, egészségügyi adatokkal, pénzügyi adatokkal, ajánlatokkal, belső stratégiával és nem publikus dokumentumokkal. A felület (ingyenes ChatGPT, Claude.ai web, Gemini app) és az üzleti változat (Team, Enterprise, API) eltérő adatkezelést ad. A consumer felület alapból tanít a beadott adatból (ki kell kapcsolni a beállításokban), a Team/Enterprise és az API alapból nem tanít. Az OpenAI API és az Anthropic API kínál Zero Data Retention (ZDR) opciót is — ekkor az adat egy másodperccel sem marad a szervereken. EU adatkezelési szempontból az Azure OpenAI Service és a Mistral EU-s régiókban tárolja az adatot. A 2024 augusztusban hatályba lépett EU AI Act 2025 februárjától tiltja a magas kockázatú használatokat, 2025 augusztusától generatív modellekre specifikus kötelezettségeket ír elő, 2026 augusztusától teljes körű. Tipikus kockázatok: prompt injection (az AI külső adatból kap utasítást), data exfiltration (az AI a beadott adatot egy kimenetben véletlenül kiteszi).

Tipikus hibák

• Ügyfél személyes adatát (név, cím, e-mail) ingyenes ChatGPT-be teszik tréning-opt-in mellett.
• Pénzügyi szám, ügyfél-jelszó, API kulcs is bekerül a promptba — később a memory funkcióban lehet, hogy meg is marad.
• Nem kötnek DPA-t (adatfeldolgozói szerződést) az AI-szolgáltatóval, pedig GDPR alapján kötelező.
• Nem nézik, hogy az adott AI Magyarországon / EU-ban hol tárolja az adatot (Azure OpenAI Region, Mistral EU).