TL;DR
A legtöbb vállalati AI policy egy 30 oldalas PDF, amit senki nem olvas. A valóban hasznos AI policy egyetlen kérdésre válaszol: hogyan döntsünk, mikor és hogyan használjuk az AI-t? Ez négy kötelező elemet tartalmaz: adatosztályozás, felelősségi lánc, hallucináció-protokoll és EU AI Act megfelelőségi nyilatkozat. KKV-knak mindez egy lapra fér.
A PDF, ami a fiókban maradt
Egy ügyvédi irodánál dolgoztam tavaly. Megkérték a senior partnert, hogy írjanak AI-használati szabályzatot — mert az ügyfelek kérdezgetni kezdtek, és a szabályozói nyomás is erősödött. A partner megbízott egy külső tanácsadót. Két hét, három értekezlet, huszonnyolc oldal.
A dokumentum egyébként nem volt rossz. Pontosan lefedett mindent: mit szabad, mit nem, hogyan kell naplózni, milyen adatok kezelhetők AI-val. Az első héten mindenki kapott belőle egy nyomtatott példányt. A harmadik héten a paralegálok újra a ChatGPT-t használták ügyfélszerződésekhez — a titkos, bizalmas adatokat tartalmazó ügyfélszerződésekhez —, mert nem emlékeztek arra, mit mondott a dokumentum, és senkire sem volt hatással, hogy nem emlékeznek.
A probléma nem a policy tartalma volt. A probléma az volt, hogy a policy nem döntési eszköz volt, hanem compliance-dokumentum. A kettő között nagy a különbség.
Mi a különbség compliance-dokumentum és döntési keretrendszer között?
A compliance-dokumentum azt mondja el, mi a szabály. A döntési keretrendszer azt mondja el, hogyan gondolkodj el a helyzetben, és mihez nyúlj döntési helyzetben.
Egy egyszerű teszt: ha a kolléga holnap megkérdezi “fel tudom-e használni az AI-t ennél az ügyféllevélnél?”, megkapja-e a választ a dokumentumból három percen belül? Ha nem, akkor a dokumentum compliance-szöveg, nem használható policy.
A használható AI policy rövid, konkrét és eldönthetővé teszi a kérdést. Négy kérdést kell megválaszolnia:
- Milyen adatot szabad AI-ba küldeni?
- Ki felelős az AI által generált kimenetért?
- Mi a teendő, ha az AI rosszat generált?
- Hogyan érint minket az EU AI Act?
Az első kötelező elem: adatosztályozás
Az adatosztályozás a policy alapköve. Nem elég annyit mondani, hogy “bizalmas adatot nem szabad AI-ba küldeni” — mert mindenki mást ért bizalmas alatt.
Három szint elegendő a KKV-méretű szervezetek többségének:
Nyilvános adat: Iparági hírek, általános sablonok, nem személyes marketinganyagok. Bármilyen AI-eszközzel feldolgozható, beleértve a felhő-alapú megoldásokat.
Belső adat: Belső riportok, folyamatleírások, nem személyes üzleti adatok. Csak jóváhagyott eszközökkel, meghatározott feltételek mellett (pl. nem kerülhet be az AI betanítási adatbázisába).
Bizalmas adat: Személyes adatok (GDPR-hatály), ügyfélszerződések, pénzügyi adatok, üzleti titok. AI-ba csak akkor kerülhet, ha az eszköz adatkezelési feltételei ezt kifejezetten lefedik, és a jogi vezető jóváhagyta.
Ez az osztályozás nem jogi szöveg — egy egyoldalas táblázat, amibe bele van írva a konkrét példa: “ügyfél neve és e-mail = bizalmas”, “iparági hír = nyilvános”.
A második kötelező elem: felelősségi lánc
Az AI-generált kimenet nem felelős önmagáért. De akkor ki?
Ez az a kérdés, amire a legtöbb szervezet nem adott explicit választ — és ami miatt az AI-hibák gazdátlanul maradnak.
A policy-nak explicit választ kell adnia két szinten:
Operatív felelősség: Aki az AI kimenetet felhasználja egy feladatban, felelős annak ellenőrzéséért. A kolléga, aki AI-val ír ajánlati levelet, köteles átolvasni és jóváhagyni, mielőtt elküldi. Ha a levélben hibás adat van, az nem “az AI hibája” — az ő hibája.
Rendszer-felelősség: Aki az AI-eszközt vagy folyamatot bevezette a szervezetbe, felelős azért, hogy az eszköz megfelelő legyen az adott feladatra. Ha egy nem arra szánt eszközt használnak jogi dokumentumok generálásához, és az téves eredményt ad, a felelősség a bevezetőé.
Ez a kettős felelősségi struktúra nem büntető jellegű. Célja az, hogy ne alakuljon ki az a vákuum, ahol a hibát senki nem veszi észre — mert senki nem tudta, hogy az ő dolga lett volna észrevenni.
A harmadik kötelező elem: hallucináció-protokoll
Az LLM-ek hallucinálnak. Tényeket találnak ki, forrásokat hamisítanak, számokat tévesztenek. Ez nem hiba, amit a következő modellfrissítés majd megold — ez az architektúra lényegi tulajdonsága, ami csak mérsékelhető, de teljesen nem szüntethető meg.
A vállalati policy-nak explicit protokollt kell tartalmaznia arra az esetre, ha az AI hamis kimenetet generál:
Magas kockázatú területek megnevezése: Melyek azok a feladattípusok, ahol a hallucináció következménye súlyos? (Jogi tartalom, orvosi tanács, pénzügyi adatok, technikai specifikáció.) Ezeken a területeken az AI kimenetet kötelező emberi ellenőrzéssel hitelesíteni — nem opcionálisan, hanem folyamatba épített lépésként.
Alacsony kockázatú területek megnevezése: Ahol a hallucináció következménye kezelhető (pl. belső brainstorming összefoglalója), ott a folyamatba épített ellenőrzés túlzott teher lenne. Ezeket meg is kell nevezni, hogy a csapat ne kezelje minden AI-kimenetet azonos szintű paranoia-val.
Incidens-protokoll: Ha mégis kijut egy hibás AI-kimenet, legyen egyértelmű lépéssorozat: ki értesítendő, hogyan kerül vissza a kimenet javításra, és mi kerül a tanulságok dokumentálásába.
A negyedik kötelező elem: EU AI Act megfelelőségi nyilatkozat
Az EU AI Act 2024 augusztusában lépett hatályba, és fokozatosan élesedik. 2026-ra a legtöbb rendelkezése alkalmazandó. A KKV-knak nem kell jogászt fogadniuk — de tudniuk kell, hol állnak.
Az AI Act kockázat-alapú: az AI rendszereket kockázati kategóriába sorolja. A legtöbb KKV által használt eszköz (szöveggenerálás, adatelemzés, képgenerálás) a “minimális kockázat” vagy “általános célú AI” kategóriába esik. Ez azt jelenti, hogy különösebb engedélyre nincs szükség — de van néhány alapkövetelmény:
Transzparencia: Ha az AI-t közvetlenül ügyféllel való kommunikációban használod (pl. chatbot, AI-generált levél), az ügyfélnek tudnia kell, hogy AI-val kommunikál.
Emberi felügyelet: A magas kockázatú döntésekben (pl. hitelminősítés, felvételi döntés) az AI nem dönthet önállóan — emberi felügyelet szükséges.
Tiltott alkalmazások: Szociális pontozás, manipulatív technikák, tiltott biometrikus azonosítás — ezekre vonatkozó tilalmakat ismerni kell, még ha a cég nem is tervez ilyet.
A policy-ban elég egy egyoldalas nyilatkozat: “A cég jelenlegi AI-felhasználása ezekbe a kategóriákba esik, ezért ezeket a követelményeket kell teljesíteni.” Nem több — de ennél kevesebb már nem felelős magatartás.
Egy lap, nem harminc oldal
A jó AI policy egy A4-es lapra fér. Nem azért, mert a téma egyszerű — hanem azért, mert amit nem olvasnak el, azt nem követik.
A négy kötelező elem:
- Adatosztályozási táblázat (három szint, konkrét példákkal)
- Felelősségi lánc (operatív és rendszer-szinten)
- Hallucináció-protokoll (magas/alacsony kockázatú területek + incidens-folyamat)
- EU AI Act besorolás és az ebből következő konkrét kötelezettségek
Ezt a négy elemet egy délelőtt össze lehet rakni. A következő lépés: nem elküldeni emailben, hanem beépíteni az onboarding folyamatba, és félévente egy bekezdéssel frissíteni. Az AI policy nem projekt — hanem élő dokumentum, ami akkor hasznos, ha mindenki tudja, hol van, és mi benne.
Key Takeaways
- A compliance-dokumentum és a döntési keretrendszer két különböző dolog — a használható AI policy az utóbbi
- Négy kötelező elem: adatosztályozás, felelősségi lánc, hallucináció-protokoll, EU AI Act megfelelőségi nyilatkozat
- A KKV-kra vonatkozó EU AI Act-kötelezettségek ismerhetők — a legtöbb általános célú AI-eszköz alacsony kockázatú kategóriába esik
- A jó policy egy lapra fér: amit nem olvasnak, azt nem követik
Kapcsolódó gondolatok
- Az AI adoption S-görbéje — hol tart a vállalat?
- Prompt engineering vállalati kontextusban
- Az AI-projekt bukások anatómiája
Varga Zoltán - LinkedIn Neural • Knowledge Systems Architect | Enterprise RAG architect PKM • AI Ecosystems | Neural Awareness • Consciousness & Leadership What you measure changes what you build.