felhő

Olvasási idő: 6 perc

Az Európai Adatvédelmi Biztos (EDPS) közzétette 2025. évi éves jelentését (a továbbiakban: „Jelentés”) amelyben részletesen bemutatja a gyorsan változó digitális világban a személyes adatok védelme érdekében végzett tevékenységét. A Jelentés egyértelműen jelzi, hogy az európai adatvédelmi és digitális szabályozási környezet új szakaszba lépett: a hangsúly már nem pusztán a formális GDPR-szabályzatokon, hanem az AI-rendszerek, a felhőszolgáltatások és a nemzetközi adattovábbítások tényleges működési kontrolljain van. A vizsgálatok középpontjában tipikusan azok az eszközök és folyamatok állnak, amelyeket a legtöbb szervezet napi szinten használ: Microsoft 365, cloud infrastruktúra, generatív AI-megoldások, mobilalkalmazások, HR-rendszerek. Jelen cikkünkben bemutatjuk a Jelentés főbb megállapításait és a megfeleléshez szükséges szempontokat, javaslatokat vetünk fel.

MI-irányítás: a megfelelőség új dimenziója

A Jelentés egyik legfontosabb üzenete, hogy a mesterséges intelligencia (a továbbiakban: „MI”, vagy „AI”) feletti vállalati kontroll (AI governance) rövid időn belül önálló, kiemelt megfelelőségi (compliance) területté növi ki magát. A mesterséges intelligencia már nem kísérleti technológia, hanem a mindennapi működés részévé vált az uniós intézményekben és egyre több szervezetnél is. Az EDPS a felkészülés jegyében már meg is tette az első komoly lépéseket:

Külön AI-részleget hozott létre: megerősítette az újonnan létrehozott MI-egységet, hogy felkészüljön a mesterséges intelligenciáról szóló EU rendelet alapján a felügyeleti feladatokra.

Feltérképezte a generatív AI-használatot: felmérte a jelenlegi MI-ökoszisztémát a tiltott gyakorlatok és a nagy kockázatú rendszerek tekintetében, és közzétett egy jelentést, amely rávilágít az MI-használat domináns területeire és a jogérvényesítési prioritásokra.

AI regulatory sandbox programot indított: egy szabályozási tesztkörnyezet mintaprojekt keretében biztonságos környezetet teremtett az innovatív MI-rendszerek hatósági felügyelet melletti fejlesztéséhez és teszteléséhez.

Új AI kockázatkezelési útmutatót adott ki az AI-rendszerek fejlesztéséhez és bevezetéséhez kapcsolódó technikai kockázatok azonosítására és mérséklésére.

A szabályozói fókusz különösen az alábbi specifikus területeken erősödik:

a generatív AI-eszközök vállalati használata;

a „dobozos” (off-the-shelf) AI-megoldások megfelelősége;

a magas kockázatú AI-rendszerek szigorú kontrollja;

az AI és a személyes adatok jogi kapcsolata;

az AI-rendszerek technikai kockázatkezelése.

Nagyvállalati környezetben ez azt jelenti, hogy az AI használata már nem kizárólag IT- vagy innovációs kérdés, hanem kiemelt jogi, compliance- és adatvédelmi kockázati terület is, ezért a szervezeteknek már most fel kell készülniük arra, hogy az AI-megoldásokat a GDPR és az mesterséges intelligenciáról szóló EU rendelet követelményeinek megfelelően vezessék be, dokumentálják, felügyeljék és használják a mindennapi működés során.

Microsoft 365 és nagyvállalati IT-rendszerek:

Az EDPS 2025-ben tovább erősítette a nagy informatikai rendszerek – köztük a Microsoft 365-höz hasonló felhőszolgáltatások – feletti felügyeletet. A korábbi vizsgálatok tanulsága, hogy a megfelelőség nem kizárólag szerződéses kérdés, hanem az adatfeldolgozás teljes életciklusára kiterjedő vizsgálatot igényel.

A vizsgálat fókuszában a nagyvállalatok számára is kritikus kérdések álltak:

a harmadik országokba irányuló nemzetközi adattovábbítások;

az összetett aladatfeldolgozó-láncok átláthatósága;

az adatokhoz való hozzáférések kontrollja;

a megfelelő technikai és szervezeti garanciák megléte.

A Jelentés egyik legfontosabb üzenete, hogy önmagában a szolgáltatói szerződés vagy a „GDPR-kompatibilis” megjelölés már nem elegendő. A felügyeleti gyakorlat egyre inkább a tényleges működési kontrollokat, a technikai intézkedéseket és a dokumentált kockázatelemzéseket vizsgálja. Emiatt mindenképpen javasolt a beszállítói szerződések limitált, adatvédelmi szempontú felülvizsgálata – javaslatunk alapján ezt elegendő egyszer megtenni és azt követően beépíteni a folyamatba egy olyan kontrollt, ami változás esetén szintén biztosítja a megfelelést vagy ami lehetővé teszi az időszakos felülvizsgálatot, visszaellenőrzést.

Nemzetközi adattovábbítások

A harmadik országokba irányuló adattovábbítások továbbra is kiemelt ellenőrzési területet jelentenek. Az EDPS itt is hangsúlyozza, hogy a megfelelő szerződések önmagukban nem elegendők. A megfelelés megítélése során egyre nagyobb szerepet kap az adattovábbítási hatásvizsgálat (TIA) tényleges tartalma, a harmadik országok jogi és gyakorlati környezetének értékelése, valamint az alkalmazott technikai és szervezeti intézkedések valós működése.  A modern felhőalapú rendszereknél az adatvédelmi jog szerint a távoli hozzáférés is adattovábbításnak minősül. Ha egy harmadik országbeli (pl. indiai vagy amerikai) IT-mérnök support vagy rendszerkarbantartás céljából belép egy Európában tárolt adatbázisba, az adat jogilag elhagyja az EGT-t. Ennek kockázatait kizárólag egy TIA képes érdemben felmérni. Ez különösen releváns olyan környezetekben, ahol globális cloud infrastruktúrák, vagy központi IT-támogatás működnek. A gyakorlatban ez azt jelenti, hogy a vállalatoknak érdemes feltérképezni, hogy akár a beszállító működési jellege, akár a cégcsoport által előírt folyamatok miatt történik-e adattovábbítás az unión kívül és azt megfelelően minősíteni.

A jövő adatvédelme technológiai fókuszú lesz

Az EDPS Jelentése alapján az európai adatvédelmi gyakorlat végérvényesen technológiai irányba mozdult el. A felügyeleti fókusz középpontjában a mesterséges intelligencia érthető és elszámoltatható működése, a felhőszolgáltatások folyamatos ellenőrzése, valamint a kiberbiztonság és az adatvédelem teljes fúziója áll. Az adatvédelmi megfelelés így többé nem egy elszigetelt jogi feladat, hanem a cégvezetés, a beszerzés, a digitális transzformáció és az IT-biztonság közös, mindennapi felelőssége.

Az EDPS Jelentése alapján jól látható: a következő években azok a szervezetek lesznek versenyelőnyben, amelyek felismerik a paradigmaváltást, és nem pusztán formális, papíralapú GDPR-megfelelést, hanem valódi, auditálható technológiai governance-rendszert építenek ki.

Kép forrása: pexels.com, Fotó: Jcmotive