Az év végéhez érve a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elhalmozza az érdeklődőket jelentésekkel. November végén a pártok és az online médiatartartalom-szolgáltatók adattölési gyakorlatáról készült jelentéseket publikálta, december végére pedig a magyar bankszektorban alkalmazott mesterséges intelligencia (MI) rendszerek személyesadat‑kezelésének gyakorlatát áttekintő jelentés látott napvilágot ("Jelentés").
A Jelentés többek között kitér az ügyfélazonosításra, a szöveges és hangalapú adatfeldolgozásra, a tanításra használt adatokra, a „shadow AI” kockázataira, a hitelképesség- és termékaffinitás-modellekre, valamint az anonimizálás szerepére. A Jelentés célja egy körkép készítése volt, nem adatvédelmi hatósági eljárás lefolytatása a tényállás bizonyítékokon alapuló feltárásával, ezért a Hatóság nem vizsgálta a bankoktól kapott válaszok pontosságát, és azokat kizárólag a jogszabály által védett információk kiszűrése céljából nézte át a Jelentésben történő felhasználás előtt. A Jerlentés elkészítésével kapcsolatban a NAIH megkereste a pénzügyi szektor felüghyeletét ellátó Magyar Nemzeti Bankot is.
A Jelentés bevezetéseként a NAIH áttekintést ad az MI-vel kapcsolatos jogi és intézményi háttérről, beleértve az MI Rendeletet, és a magyarországi kapcsolódó szabályozást, így különösen a 2025. december 1-től hatályos 2025. évi LXXV. törvényt (az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról), a kapcsolódó, 344/2025.(X.31.) Korm. rendeletet, amely alapján a Magyar Mesterséges Intelligencia Tanács jogosult az MI Rendelet végrehajtásával összefüggő iránymutatások, állásfoglalások kiadására, a piacfelügyeletért (MI Rendelet 70. cikk) a nemzetgazdasági miniszter felel, a bejelentő hatósági feladatokat (MI Rendelet 28. cikk) pedig a Nemzeti Akkreditáló Hatóság látja el.
A NAIH a bevezetőben hivatkozott arra is, hogy korábban (2022-ben), a Budapest Bankkal szemben 250 milió Ft bírságot szabott ki jogellenes adatkezelés miatt, amelyhez a bank mesterséges intelligenciát használt.
1. A Jelentés legfontosabb megállapításai
A képfeldolgozásnál (KYC/ügyfél-átvilágítás) kulcskérdés a tanításhoz használt adatok eredete, a pontosság mérése és a megőrzési idők beállítása, tekintettel arra, hogy az azonosítás a banki adatokhoz való hozzáférést alapozza meg. A gyakorlatban a bankok külső és belső megoldásokat is alkalmaznak, jellemző az MI‑komponens és az emberi felülvizsgálat kombinációja, a képmások csak átmenetileg kerülnek tárolásra, és a vonatkozó MNB-rendelet előírásai irányadók.
A szöveges és hangalapú feldolgozás körében a virtuális asszisztensek általános tájékoztatást, egyszerű kérdések kezelését és kalkulációkat végeznek. A kockázatot az jelenti, hogy a felhasználók szükségtelenül is megadhatnak személyes adatokat, ezért eljárások szükségesek a szükségtelen adatok kiszűrésére és a szükséges adatok biztonságos kezelésére. A megoldások között találunk saját fejlesztésű, felügyelt módon tanított rendszereket, valamint harmadik fél által biztosított nyelvi modelleket, banki „tudástár” mögötti közvetítő architektúrával és ügyfél‑azonosítók elfedésével. Ha a rendszer nem tud válaszolni, ügyintézőhöz irányít.
A tanításra használt adatoknál elsődleges az adattakarékosság és az anonimitás, ahol csak lehetséges. Ha más célból gyűjtött adatok kerülnek felhasználásra, az csak megfelelő jogalappal vagy a GDPR 6. cikk (4) szerinti feltételek (eredeti céllal összeegyeztethető adatkezelés) mellett és tájékoztatással történhet, mivel maga az anonimizálás elvégzése is adatkezelésnek minősül. A gyakorlatban a bankok gyakran nem ügyféladatokkal tanítanak, vagy az adatokat manuálisan anonimizálják; harmadik fél modelljeihez nem biztosítanak hozzáférést belső személyes adatokhoz.
A „shadow AI” mindenütt tiltott vagy erősen korlátozott, mivel az ellenőrizetlen MI‑használat a személyes és védett adatok kikerülésével járhat. A bankok technikai tiltásokkal, SSO‑val (egységes bejelentkezélsi rendszerrel), adatszeparációval, tartalomszűrőkkel, dedikált engedélyezési modellekkel és testre szabott szabályokkal kezelik a kockázatot; egyes esetekben vállalati szerződések biztosítják, hogy a használati adatok ne kerüljenek modell‑tanításra.
A hitelképesség- és termékaffinitás‑modellek esetén a GDPR technológiasemlegessége miatt az adatvédelmi követelmények az eszköz technikai besorolásától függetlenül alkalmazandók. A bankok eltérő megközelítéseket követnek: van, ahol gépi tanulás és szabályalapú modellek kombinációjával készül marketing‑ és affinitási pontszám, amely csak döntéstámogató, nem kötelező erejű; a hitelképességi score sem önálló döntési pont, emberi felügyelet és monitoring kíséri. Más bankok nem alkalmaznak MI‑t marketing profilalkotásra, vagy a modellek kizárólag szakértői döntést támogatnak.
Az anonimizálás és álnevesítés közötti különbségtétel kiemelt jelentőséggel bír. A bankok a chat‑naplókat és beszélgetéseket előre paraméterezett NLP‑alapú eljárásokkal anonimizálják, az álnevesítő azonosítók (chat ID) később eltávolításra kerülnek; a fejlesztéshez csak személyes adatot nem tartalmazó mondatok maradnak.
2. A Jelentésben szereplő legfontosabb ajánlások, jó gyakorlatok
A Jelentés általános üzenete, hogy az MI‑alkalmazásoknál a transzparens tájékoztatás, a jogalap‑kezelés és az adatminőség kulcstényezők, mert az MI alkalmazása – különösen a banki környezetben – fokozott kockázatot hordoz, így többlet erőfeszítést igényelhet az adatvédelmi megfelelés biztosítása. Ennek megfelelően ajánlott a tanító adatforrások dokumentálása, a modellek pontosságának mérése és a megőrzési idők gondos meghatározása, továbbá az érintetti jogok tényleges érvényesíthetősége (pl. tiltakozás), különösen jogos érdek jogalap alkalmazása esetén.
Az ügyfélazonosítás kapcsán kiemelést érdemel jó gyakorlatként az MI‑alapú képfelismerés és az emberi ellenőrzés kombinációja és a képmások átmeneti, célhoz kötött tárolása. Fontos, hogy a jogszabályi célra felvett adatok modellfejlesztési célú további felhasználása csak külön, erre a célra vonatkozó jogalap megléte (hozzájárulás) történjen. A rendszer architektúrájában a belső hálózaton történő feldolgozás és a külső hozzáférések minimalizálása erősíti az adatbiztonságot.
A virtuális asszisztenseknél ajánlott a szükségtelen személyes adatok automatikus kiszűrése, a felhasználók egyértelmű tájékoztatása, valamint abban az esetben, ha a rendszer nem tud választ adni, emberi csatornához irányítás. Jó gyakorlat a közvetítő réteg alkalmazása, amely a harmadik fél felé nem továbbít ügyfél‑azonosítókat, és a csak belső rendszereken futó megoldások preferálása. A tanítás kapcsán tovább csökkentheti a kockázatokat a személyes adatoktól megtisztított leiratok és anonimizált naplók használata.
A „shadow AI” kialakulásának megelőzésére a belső szabályozás mellett ajánlott a szabályok technikai érvényesítése (tartalomszűrők, hozzáférés‑korlátozás, adatszeparáció) is.
A hitelképesség- és termékaffinitás‑modellek esetében jó gyakorlat a modellek döntéstámogató jellegének fenntartása, az emberi felülvizsgálat, a rendszeres monitoring, a tanító adatok pszeudonimizálása, anonimizálása és a hozzáférés‑kezelés. Célszerű a sütihasználatnál egyértelmű hozzájáruláshoz kötni az összekapcsolást a banki adatokkal, és kerülni a manipulatív profilozást.
Az anonimizálás tekintetében elvárás a terminológiai tisztaság: az álnevesítés nem azonos az anonimizálással. A beszélgetés‑naplók feldolgozásakor kifejezetten ajánlott a személyazonosító adat‑detektálás és eltávolítás, azonosítók leválasztása, majd csak személyes adatot nem tartalmazó minták felhasználása.
3. A Jelentésben feltárt hiányosságok
A Jelentés rámutat, hogy a gyakorlat számos ponton még kialakulóban van, különösen az anonimizálás/álnevesítés követelményeinek finomhangolása terén, mivel a technológiai környezet gyors változása miatt a precíz elvárások meghatározása nehéz. Emellett a jogos érdek jogalap helytelen alkalmazása, az érintetti tájékoztatás hiányosságai és a tiltakozás tényleges biztosításának elmaradása kockázatot jelentenek. A Jelentés ugyanakkor jól mutatja, hogy az MI alkalmazások számos ponton jelen vannak a banki folyamatokban is. A Jelentésben szereplő megállapítások, jó gyakorlatok pedig a bankszektoron kívül is segítséget jelenthetnek az MI adatvédelmi szempontból megfelelő használatához.
