A vakfolt, ami két irányból nyílik

Egy rejtett biometrikus kód 50 millió telefonon, és a dolgozók fele nem engedélyezett AI-t használ. Két irányból ugyanaz a vakfolt — amit a GDPR és az AI Act nem néz el.

Compliance / Adatvédelem | Loop Magazin | Tematikus hét, 3/6

Két hír futott be a héten, látszólag semmi közük egymáshoz. A Meta bejelentés nélkül juttatott arcfelismerő kódot ötvenmillió telefonra. Egy felmérés szerint a dolgozók fele használ olyan AI-eszközt, amit a munkáltatója nem hagyott jóvá. Az egyik kívülről jön, a másik belülről. Ugyanazt teszik tönkre: a transzparenciát. És e nélkül a GDPR-t és az AI Actet nem lehet betartani.

Ez a cikk arról szól, miért nem véded azt, amiről nem tudsz — és miért felelsz érte mégis.

Az első irány: amit nem te telepítettél

A Meta egy NameTag nevű, belső fejlesztésű arcfelismerő kódot juttatott el több mint 50 millió telefonra. A kód helyben biometrikus azonosítót képzett az arcokból, és egy szerverről frissülő adatbázishoz illesztette. Bejelentés nem volt. A felhasználók nem tudtak róla. A Wired leleplezése után a cég csendben törölte.

A megrázó nem a technológia. Az, hogy a kód a telefonon ült, anélkül hogy bárki engedélyezte volna. Ez a gyártói vakfolt: a rendszeredbe kerül valami, amiről nem szóltak, és amiről nincs döntésed.

A magyar cégvezető most legyint: ez a Meta, nem én. De a logika ugyanaz minden eszközön, amit a céged használ. A szoftver, amit telepítesz, frissít. A frissítés új funkciót hoz. A funkció adatot gyűjt. Ki olvasta el, mit kapcsoltak be a legutóbbi update-tel?

A második irány: amit a csapatod hozott be

Egy 2026. januári felmérés szerint a dolgozók 49%-a használ a munkahelyén olyan AI-eszközt, amit a munkáltató nem engedélyezett. Közülük 58% ingyenes verziót használ, vállalati adatvédelem nélkül. Ezt hívják shadow AI-nak: a rendszeren kívül futó, láthatatlan AI-használat.

A jelenség nem rosszindulat. A kolléga gyorsabban akar dolgozni, ezért feltölti a jegyzőkönyvet egy ingyenes átíró eszközbe. Az eszköz beépíti az adatot a modelljébe. Az ügyfeled neve, a tárgyalás tartalma, a számok — mind kikerült a céged falain kívülre. Csendben.

A Deloitte 2026-os jelentése szerint a dolgozók AI-hozzáférése egy év alatt 50%-kal nőtt. Érett irányítási modellje viszont csak minden ötödik cégnek van. A használat fut előre, a kontroll utána kullog.

A két irány ugyanaz a probléma. Nem tudod, milyen adat hagyja el a céged, és milyen úton. A gyártó lefelé nyom, a dolgozó befelé húz. A vakfolt középen nyílik.

Miért jogi kérdés ez, nem kényelmi

Itt válik el a komment a tényállástól. A biometrikus adat — az arc, az ujjlenyomat — a GDPR 9. cikke szerint különleges adat. Kezeléséhez külön, kifejezett hozzájárulás kell. Nem elég, hogy valaki elfogadta az általános feltételeket. Az európai hatóságok egységesek: az ÁSZF-elfogadás nem érvényes hozzájárulás arcfelismeréshez. Külön kell kérni, konkrét célra.

Az AI Act 50. cikkének (3) bekezdése tovább megy. Az érintettet tájékoztatni kell, ha a rendszer a személyes adatát kezeli, hogy eldönthesse, kiteszi-e magát ennek. A magas kockázatú biometrikus rendszerek kötelezettségei 2026. augusztus 2-től élnek. Ez nem a jövő. Két hónap.

A shadow AI ugyanezt a falat dönti. A GDPR 5. cikke szerint az adatkezelésnek jogszerűnek, tisztességesnek és átláthatónak kell lennie. Egyik sem áll, ha a kolléga titokban tölt fel ügyféladatot egy nem engedélyezett eszközbe. A bírság nem azt nézi, te töltötted-e fel. Azt nézi, te feleltél-e a rendszerért.

⚠️ Figyelem: A GDPR és az AI Act nem azt kérdezi, szándékos volt-e. Azt kérdezi, tudtál-e róla, és tettél-e ellene. A „nem tudtam" nem védekezés. A felelősség az adatkezelőé — vagyis a tiéd.

Három lépés, hogy lásd a vakfoltot

Készíts leltárt arról, mi gyűjt adatot. Írd össze, milyen szoftvert, AI-eszközt, bővítményt használ ténylegesen a céged. Nem amit szabadna — amit valóban. A leltár nélkül a többi lépés vakon megy.
Engedd be a hasznosat, szabályozott úton. A shadow AI-t nem tiltással állítod meg, hanem alternatívával. Jelöld ki, melyik eszköz engedélyezett, és tedd elérhetővé. A kolléga azért használ ingyenes verziót, mert nincs jobb a kezében.
A biometriához külön hozzájárulás kell. Ha bármilyen rendszered arcot, ujjlenyomatot, hangmintát kezel, ahhoz külön, kifejezett beleegyezés szükséges. Nem az általános adatkezelési tájékoztatóban elrejtve. Önállóan, érthetően, visszavonhatóan.

Holnap reggel

Egy kérdés a következő vezetői körre. Tudod-e felsorolni, milyen AI-eszközök és frissítések gyűjtenek ma adatot a cégednél — a gyártó által lenyomottakat és a csapatod által behozottakat is?

Ha a lista hiányos, nem az a baj, hogy van vakfolt. Az a baj, hogy augusztus 2-án már a törvény is benéz rajta.

Hogyan készült ez a cikk Szerző: Loop Magazin szerkesztőség (Boros Réka) Peer-források: nincs (heti sorozat, gyors elemző formátum). Források: a NameTag-ügy a Wired/Malwarebytes beszámolóiból; a shadow AI-adatok BlackFog (2026) és Deloitte (2026) felmérésből; a GDPR 9. és 5. cikk, valamint az AI Act 50. cikk (3) értelmezése IAPP és Lexology forrásból. Minden hivatkozás élő (2026). AI-segéd: forrás-pakk, helyesírás-ellenőrzés. Szerkesztői döntés emberé.

Források

Meta's face-recognition code raises new concerns about smart glasses — Malwarebytes
Meta removes undisclosed smart glasses facial recognition system after WIRED report — Rappler
Shadow AI: When Everyone Becomes a Data Leak Waiting to Happen — Kiteworks
Biometrics in the EU: Navigating the GDPR, AI Act — IAPP
Biometric Data Under GDPR: Face Recognition, Fingerprints and More — GDPRScoreCheck
AI and biometrics – what is permitted, prohibited, and what only needs labelling? — Lexology