> A munkatársaid fele már GenAI-t használ a munkához — csak nem szóltak róla. Az ügyféladat egy nyilvános chatbotba másolva nem a holnap kockázata, hanem a mai; a kérdés nem az, hogy megengeded-e, hanem hogy látod-e.

Az árnyék-AI, ami már fut a cégedben

A munkatársaid fele már használ GenAI-t a munkához — csak nem szóltak róla. Ez nem a holnap kockázata, hanem a mai: ügyféladat egy nyilvános chatbotba másolva, szerződés egy ingyenes fiókba töltve, bérlista a „rendszerezd ezt" promptban. A kérdés nem az, hogy megengeded-e. Az, hogy látod-e.

Egy idén közzétett, 44 országra kiterjedő nemzedéki munkaerő-felmérés szerint a fiatal munkavállalók 57%-a napi szinten dolgozik valamilyen generatív AI-eszközzel. A cégvezetők többsége eközben azt hiszi, a kérdés még előtte áll: „majd kialakítunk egy AI-stratégiát." Nem áll előtted. Mögötted van, és bejelentés nélkül zajlik. Ezt hívják árnyék-AI-nak (shadow AI): a céges jóváhagyás és szabály nélkül használt AI-eszközök rétege.

Mit jelent ez a gyakorlatban

Nem hekkerről van szó. A lojális kollégádról.

Az értékesítő beilleszti az árajánlatot a ChatGPT-be, hogy „fogalmazza át profibban" — benne az ügyfél nevével, a kialkudott árakkal, a kedvezmény mértékével. A könyvelő feltölt egy bérlistát, hogy „csináljon belőle összesítőt". A projektvezető bemásolja a teljes ügyfélszerződést, hogy „foglalja össze a kockázatos pontokat". Mindhárman jót akarnak. Mindhárman gyorsabbak lettek. És mindhárman kiengedtek a cégből egy adatcsomagot, amit utána nem tudsz visszahívni.

A probléma nem az eszköz. A probléma, hogy senki nem mondta meg, mi a határ — így mindenki a sajátját húzza meg.

Hová kerül az adat

Itt szakad meg a védelem, ezért érdemes lassan végigvinni.

Az ingyenes, magánfiókos GenAI-eszközöknél a beírt tartalom a szolgáltató szerverére kerül. A fiók beállításától függően fel is használhatják a modell további tanítására. Vagyis a bemásolt ügyféladat nemcsak „elment" — kikerül a kontrollod alól egy harmadik fél rendszerébe. A nyilvános, ingyenes szinten ráadásul nincs adatfeldolgozói szerződés a céged és a szolgáltató között.

Ennek három következménye van, és egyik sem elméleti:

GDPR. Ha azonosítható személyes adat (ügyfél neve, e-mailje, bérinformáció) kerül egy ilyen rendszerbe adatfeldolgozói szerződés nélkül, az jogszerűtlen adatkezelés. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ezt vizsgálja és bírságolja — és a felelős nem a kolléga, hanem a cég mint adatkezelő.

Üzleti titok. Az ár, a marzs, a beszállítói feltétel attól védett, hogy nem nyilvános. Amint kikerül egy harmadik fél rendszerébe, a jogi védettsége megsérülhet. A titok jogilag csak addig titok, amíg úgy is kezeled.

Kiberkitettség. Ha a céged a NIS2 hatálya alá esik, az ellenőrizetlen adatkiáramlás pont az a fajta folyamatgyengeség, amit az auditor keresni fog.

⚠️ Figyelem: A kockázat nem attól nő, hogy a munkatársaid butábbak lennének az átlagnál. Attól nő, hogy okosak: megtalálták a gyorsabb utat, és használják. Minél jobb a csapatod, annál gyorsabban terjed az árnyék-AI — szabály nélkül.

Mit lehet tenni — négy lépés

Nem tréning kell. Egy hónap alatt bevezethető rend.

1. Felmérés, nem tiltás. Kérdezd meg a csapatot, ki mit használ, mire. Ne fegyelmezz — derítsd ki. Tíz percnyi őszinte kör többet ad, mint egy tiltó körlevél, amit senki nem tart be. Csak azt tudod szabályozni, amiről tudsz.

2. Egyoldalas használati szabály — zöld és piros lista. Ne szabályzatot írj, hanem egy laminált A4-et. Mit szabad, mit soha:

✅ Zöld — mehet	⛔ Piros — soha
Általános szöveg csiszolása, fordítás	Ügyfél neve, e-mailje, bármilyen személyes adat
Sablon, vázlat, ötletelés	Bérlista, fizetés, munkavállalói adat
Nyilvános információ összefoglalása	Szerződés, árazás, marzs, beszállítói feltétel
Kódrészlet, ami nem üzleti logika	Jelszó, hozzáférés, belső rendszerinfó

3. Céges fiók a magánfiók helyett. A fizetős, üzleti szintű csomagoknál (például ChatGPT Team vagy Enterprise) a bevitt tartalom alapból nem megy a modell tanításába. És van mögötte adatfeldolgozói szerződés. Havi pár ezer forint emberenként — töredéke egy GDPR-bírságnak. Ez az egyetlen lépés, ami a „piros lista" kockázatának nagy részét technikailag is kezeli, nem csak utasításban.

4. Egy felelős és negyedéves átnézés. Legyen valaki, akihez az új eszközöket be lehet jelenteni, és aki háromhavonta ránéz, mi változott. Az AI-eszközök gyorsabban frissülnek, mint a szabályzataid — a rend csak akkor marad rend, ha valaki karbantartja.

💡 Tipp: Kezdd a 3-as ponttal, ha csak egyetlen dolgot teszel. A céges fiók bevezetése egyszerre adja vissza a sebességet, amit a csapat már megszokott, és veszi le a legnagyobb jogi kockázatot. A tiltás elvesz; a céges fiók irányít.

Ördög Ügyvédje: a tiltás csapdája

A kézenfekvő reakció: „akkor tiltsuk be céges gépen." Gondoljuk végig, mi történik utána.

A munkatárs nem hagyja abba. Egyszerűen átvált a saját telefonjára. Ugyanazt az ügyféladatot ugyanúgy bemásolja, csak most a magánfiókjába, a céges hálózaton kívül, ahol nincs adatfeldolgozói szerződés, nincs napló, és neked nulla rálátásod van rá. A tiltás nem szüntette meg a kockázatot. Áthelyezte oda, ahová már nem látsz be.

Ezért a tiltás a leggyengébb védelem. Aki betilt, az nem megszünteti az árnyék-AI-t — vakká teszi magát vele szemben. A cél nem az, hogy ne használják. Az, hogy ott használják, ahol szabály, szerződés és határ van körülötte.

A következő lépés

Ne stratégiát írj. Ezen a héten kérdezd meg a csapatodtól, ki mit használ — egyetlen kör, ítélkezés nélkül. Jövő héten tedd ki a zöld–piros A4-et a közös térbe. A hónap végéig nézz rá egy céges fiókra annak, aki a legérzékenyebb adattal dolgozik. Az árnyék-AI nem attól szűnik meg, hogy letiltod, hanem attól, hogy fényt viszel rá.

A munkaerő-statisztika forrása: Deloitte Global 2025 Gen Z and Millennial Survey. Az adatvédelmi kötelezettségekről: NAIH és a GDPR (EU 2016/679).