A legtöbb ember számára az internet ma már nem technológiai érdekesség, hanem mindennapi háttérzaj: rákeresünk valamire a Google-ben, görgetjük a Facebookot vagy az Instagramot, videót nézünk a YouTube-on, hirdetést állítunk be a Meta-felületein, és természetesnek vesszük, hogy a „rendszer” majd úgyis elé teszi, amit látni kell. A legtöbb felhasználó azonban nem lát rá arra, hogy ezek a felületek algoritmusok végtelen sok, valós időben zajló döntésén alapulnak. A rangsorolás, ajánlás, szűrés, tiltás mind-mind kódba öntött döntési logika. Ha a keresőd nem „hozza fel” valamelyik oldalt, ha a közösségi platform nem mutat egy tartalmat, az a gyakorlatban gyakran azt jelenti: a tartalom a tömegek számára nem létezik. Ezt nevezi a Polyák Gábor szerkesztésében megjelent „Algoritmusok, keresők, közösségi oldalak és a jog – A forgalomirányító szolgáltatások szabályozása” című kötet forgalomirányító szolgáltatói szerepnek: néhány globális szereplő szabályozza ténylegesen, hogy ki, mikor, mihez fér hozzá a digitális nyilvánosságban.
Jogilag ez alapvetően új helyzet. A 20. század médiarendszerében a tartalomterjesztés felelőssége, a sajtószabadság, a kiegyensúlyozott tájékoztatás elvei nagyjából azonosítható szerkesztőségekhez, kiadókhoz, műsorszolgáltatókhoz kötődtek. Ma ezzel szemben olyan, határokon átívelő platformok állnak a középpontban, amelyek egyszerre hirdetésértékesítők, technológiai infrastruktúrák, és a digitális nyilvánosság de facto szerkesztői. A keresők és közösségi oldalak algoritmusai ráadásul nem statikus szabályok: folyamatosan optimalizálnak, tanulnak, A/B tesztelnek, a figyelem maximalizálására törekednek. Az internet és a jog találkozása ezért ma már nem arról szól, hogy „ráhúzzuk-e a régi médiaszabályokat az új felületekre”, hanem arról, hogy képesek vagyunk-e értelmes, végrehajtható kereteket adni egy tanuló, adatvezérelt, globális infrastruktúrának. Ebben a közegben a jogalkotó, a hatóság, a platform és a vállalkozó egyszerre partnerek és ellenfelek: egymás nélkül nem működik a rendszer, de az érdekek látványosan eltérnek.
Vállalkozóként, marketingesként vagy akár újságíróként nem engedheted meg magadnak, hogy ezt a jogi-technikailag összetett világot „informatikus-problémának” tekintsd. Ugyanígy illúzió az is, hogy a szabályozás csak a Google- és Meta-szintű óriásokat érinti. Az európai adatvédelmi, digitális szolgáltatási és versenyjogi szabályok úgy vannak felépítve, hogy a forgalomirányító platformokra különösen szigorú normákat tesznek, de közben minden olyan vállalkozásra kihatnak, amely adatot gyűjt, online hirdet, SEO-ban gondolkodik, vagy egyszerűen csak jelen van a digitális térben. Ebben a cikkben azt szeretném végigvenni, hogyan néz ki mindez jogi és üzleti szemszögből, és milyen gondolkodásmódra lesz szükséged a következő 5–10 évben, ha nem akarod, hogy az algoritmusok és a szabályozás együtt mosson le a pályáról.
Miért lett stratégiai ügy a digitális közterek szabályozása?
A digitális közterek – keresők, közösségi oldalak, videó- és hírfelületek – ma ugyanazt a funkciót töltik be, mint egykor a nyomtatott sajtó, a kávéházak és a televízió: ezek adják a társadalmi vita fő színterét. A különbség az, hogy ma a láthatóság nem elsősorban szerkesztői döntés, hanem algoritmikus rangsorolás kérdése. Egy hírportál cikkének sorsa azon is múlik, hogy a Google hogyan értékeli a forrás megbízhatóságát és a felhasználói viselkedést. Egy civil kezdeményezés elérése attól függ, hogy a Facebook vagy a TikTok algoritmusa milyen szintre teszi a posztot az ismerősök, követők feedjében. A digitális nyilvánosság struktúrája így informatikai beállítások, súlyszámok és gépi tanulási modellek döntéseinek mellékhatásaként formálódik. Nem túlzás azt mondani, hogy ma az a szereplő, aki kontrollálja a forgalomirányító szolgáltatásokat, valóságértelmezést is kontrollál.
Az elmúlt évek politikai eseményei – az amerikai elnökválasztások, a Brexit-kampány, a menekültválság körüli kommunikáció – rámutattak, hogy a platformok nem semleges csatornák. A mikro-célzott politikai hirdetések, a félretájékoztatás, az összeesküvés-elméletek terjedése, a gyűlöletkeltő tartalmak algoritmikus felülreprezentálása mind olyan jelenség, amelyeknél nagyon nehéz elválasztani egymástól a technológiát, az üzleti modellt és a társadalmi következményeket. A figyelemre épülő reklámgazdaság minél több kattintásra, minél több időre akarja a felhasználót a platformon tartani – és a tapasztalat azt mutatja, hogy ehhez sokszor szélsőséges, érzelmileg túlfűtött, konfliktust generáló tartalmakra épít. Ha ezt a logikát szabályozás nélkül hagyjuk, akkor a rövid távú hirdetési bevétel felülírhatja a társadalmi kohézió, a demokratikus vita és az egyéni jogok szempontjait. A digitális közterek szabályozása ezért nem elit jogászkérdés, hanem politikai stabilitási és társadalomlélektani ügy is egyszerre.
Végül érdemes észrevenni, hogy a digitális nyilvánosság privatizálódott: formálisan magáncégek kezelik azt a teret, ahol a szólásszabadság gyakorlásának jelentős része zajlik. Ha egy platform algoritmusa visszafog egy tartalomtípust, vagy egy oldal fiókját felfüggeszti, az a gyakorlatban gyakran nagyobb hatású, mint egy hagyományos médiahhatósági döntés. A klasszikus médiaszabályozási logikát tehát ki kellett egészíteni azzal, hogy mit kezdünk azokkal a magánjogi szereplőkkel, akik de facto közfeladatot látnak el. A Polyák-kötet éppen azt mutatja meg, hogyan lehet jogi fogalmakkal megragadni ezt az ellentmondásos helyzetet: egyszerre kell védeni a platformok innovációs mozgásterét és a felhasználók alapvető jogait.
Jog és technológia: tempókülönbség és az európai digitális szabályozási csomag
A jogalkotás ciklusa években, a technológiai fejlesztés ritmusa hetekben mérhető. Egy nagy EU-s rendelet megalkotása hosszú politikai egyeztetések, hatásvizsgálatok, szakmai viták eredménye. Eközben a forgalomirányító platformok úgy tudnak új funkciókat bevezetni, hogy egy hétvége alatt módosítják az ajánlórendszert, és máris más tartalmak kerülnek előtérbe. Az internet globális jellege tovább bonyolítja a helyzetet: hiába hoz egy tagállam szigorú szabályokat, ha a platform székhelye egy másik országban van, a szerverei pedig több kontinensen szétszórva. Ezt a tempókülönbséget és területi széttöredezettséget próbálta az Európai Unió az utóbbi évtizedben áthidalni egy átfogó szabályozási csomaggal.
Ennek első látványos lépése az általános adatvédelmi rendelet (GDPR) volt, amely 2018-tól egységes keretet adott az EU-n belüli adatkezelésre. A GDPR nemcsak az adatkezelés jogalapjait és a felhasználói jogokat rögzítette, hanem azt is, hogy a nagyvállalatok milyen felelősséggel tartoznak a személyes adatok biztonságáért. Ezt egészítette ki 2022-ben a Digital Services Act (DSA) és a Digital Markets Act (DMA), amelyek már kifejezetten az online platformok társadalmi és versenyjogi hatásaira reagálnak. A DSA a tartalommoderálás, átláthatóság, kutatói hozzáférés, hirdetési transzparencia területén hozott új normákat, a DMA pedig a legnagyobb úgynevezett „kapuőr” platformok (gatekeepers) piaci erejét próbálja korlátok közé szorítani.
2024-ben ehhez csatlakozott a mesterségesintelligencia-rendelet (AI Act), amely kifejezetten az AI-rendszerek kockázataira épít, és már nemcsak a forgalomirányító, hanem számos más szektort is érint – a hitelbírálattól a munkaerő-kiválasztásig. Az EU digitális jogi csomagja így egyre inkább egységes keretként értelmezhető: a GDPR az adatmint a nyersanyag, a DSA a digitális közterek működése, a DMA a piaci erőviszonyok, az AI Act pedig az algoritmikus döntéshozatal minősége felett gyakorol kontrollt. A kérdés már nem az, lesz-e szabályozás, hanem az, hogy a vállalkozók, marketingesek, fejlesztők, újságírók képesek-e ezt integráltan látni, vagy továbbra is „GDPR-projektnek”, „compliance-költségnek” tekintenek mindent.
Adatvédelem és információs autonómia: mit tanít a GDPR az algoritmusokról?
A forgalomirányító algoritmusok üzemanyaga a személyes adat. Böngészési előzmények, kattintási mintázatok, tartalomfogyasztási szokások, geolokáció, demográfiai és pszichográfiai profilok – mindezekből épülnek fel azok a modellek, amelyek előrejelzik, mit fogsz valószínűleg megnézni, mire fogsz kattintani, mit fogsz megvásárolni. A GDPR egyik legfontosabb üzenete az, hogy az adat nem „ingyenes melléktermék”, hanem olyan információs erőforrás, amely felett a természetes személyeknek joguk van rendelkezni. A rendelet megköveteli, hogy minden adatkezelésnek legyen egyértelmű jogalapja (például hozzájárulás, szerződés teljesítése, jogos érdek), a cégek csak meghatározott célra gyűjthetnek adatot, és nem tárolhatják azt korlátlan ideig. A felhasználó kérheti az adatokhoz való hozzáférést, azok helyesbítését, törlését, hordozhatóságát, sőt bizonyos esetekben tiltakozhat a profilalkotás és az automatizált döntéshozatal ellen is.
Algoritmikus szempontból ez azt jelenti, hogy a platformok és a hirdetők nem tehetnek meg bármit a rólunk gyűjtött adatokkal. Ha egy cég profilokat épít a vásárlók online viselkedése alapján, azt dokumentáltan, átlátható módon kell tennie, és számolnia kell azzal, hogy a felhasználó rákérdezhet: milyen adatokat tárolnak róla, milyen logika alapján minősítik, milyen automatizált döntések születnek a profilja alapján. Nem véletlen, hogy az utóbbi években több hatósági eljárás indult nagy technológiai cégek ellen éppen a profilozás, a hozzájárulás érvényessége vagy az adatok kombinálása miatt. A GDPR ugyan nem „algoritmus-szabályozási rendelet”, de az adatkörnyezet erős kontrollja közvetetten meghatározza azt is, hogy milyen típusú algoritmusokat lehet felelősen és jogszerűen működtetni. Ha kevesebb adatot lehet jogszerűen összekapcsolni, az leszűkíti a hiperfinom targetálás mozgásterét is.
A gyakorlat azonban sokszor szembesít minket a GDPR korlátaival. A cookie-bannerek, hosszú adatkezelési tájékoztatók, a formális hozzájárulás-kérés sok esetben adminisztratív kötelezettségként jelenik meg a cégek szemében. Dajka Gábor tapasztalata szerint a magyar KKV-knál a GDPR-„projektek” nagy része arról szólt, hogy „legyen papír, hogy megfelelünk”, miközben az adatok rendszerszintű átgondolása – milyen adatot, miért, meddig, milyen minőségben gyűjtünk – alig történt meg. Pedig üzleti szempontból ez lenne az igazi hozadék: ha világos, tiszta, jogszerű adathalmazt építesz, akkor hosszú távon stabilan használható marketing- és üzleti döntéstámogató rendszered lesz. A rendelet így nemcsak korlát, hanem versenyelőny is lehet azoknak, akik hajlandók komolyan venni. Aki viszont továbbra is „szürkezónás” adatgyűjtésre épít, az egyszerre kockáztat hatósági bírságot, reputációs válságot és azokat az algoritmusokat, amelyek az egész online jelenlétére épülnek.
Tartalommoderálás, forgalomirányítás és a DSA logikája
A Digital Services Act már kifejezetten a platformok társadalmi szerepére reagál. Fenntartja a régi e-kereskedelmi irányelvből ismert „felelősségkizárást” – vagyis azt, hogy a puszta továbbításért a szolgáltató nem felel úgy, mint egy szerkesztő –, de közben széleskörű eljárási kötelezettségeket ír elő. A DSA megkülönbözteti az egyszerű továbbítást végző szolgáltatókat, a tárhelyszolgáltatókat, az online platformokat, és a nagyon nagy online platformokat, illetve nagyon nagy online keresőket (VLOP, VLOSE). Utóbbiak közé sorolják például a Google keresőjét, a Facebookot, az Instagramot, a TikTokot. Számukra a rendelet rendszeres kockázatértékelést, független auditot, átláthatósági jelentések készítését és a kutatók, hatóságok felé történő adatszolgáltatást ír elő.
Tartalommoderálási szempontból a DSA két véglet között próbál egyensúlyozni. Egyrészt elvárja, hogy a platformok hatékony eljárást működtessenek az illegális tartalmak (például gyűlöletbeszéd, terrorista propaganda, gyermekpornográfia, fogyasztóvédelmi jogsértő reklámok) eltávolítására; másrészt védi a felhasználók jogát a véleménynyilvánítás szabadságára. A rendelet ezért részletes követelményeket ad arra, hogyan kell a bejelentési rendszert (notice and action) megszervezni, hogyan kell értesíteni a felhasználót, ha a tartalmát eltávolítják vagy korlátozzák, és milyen jogorvoslati lehetőséget kell biztosítani. A nagyon nagy platformoknak ráadásul a „rendszerszintű kockázatokat” is elemezniük kell: például azt, hogy az ajánlórendszereik hogyan járulnak hozzá a félretájékoztatáshoz, a választások tisztaságának sérüléséhez, a társadalmi polarizációhoz.
Algoritmikus szempontból a DSA egyik legérdekesebb újítása, hogy a platformoknak érthetően el kell magyarázniuk az ajánlórendszereik „fő paramétereit”, és bizonyos esetekben lehetővé kell tenniük olyan beállításokat, amelyek nem profilozásra épülnek. Ez gyakorlatban azt jelenti, hogy egy felhasználónak legyen opciója például időrendi feedre, vagy olyan ajánlórendszerre, amely nem a róla gyűjtött adatokból, hanem általános szempontokból („legújabb”, „legtöbbet megosztott”) dolgozik. A politikai reklámokra, kiskorúak profilozására, átlátható hirdetésjelölésre vonatkozó előírások pedig már közvetlenül a forgalomirányítás üzleti modelljéhez nyúlnak hozzá. A DSA logikája világos: a platform szabadon fejleszthet algoritmusokat, de azok társadalmi hatásai nem maradhatnak ellenőrizetlenek, és a felhasználónak több tényleges választási lehetőséget kell kapnia.
Minden tagállamnak ki kell jelölnie egy „digitális szolgáltatási koordinátort”, aki a DSA végrehajtását felügyeli, együttműködik az Európai Bizottsággal és a többi tagállami hatósággal. Magyar szempontból ez azért fontos, mert a nemzeti médiaszabályozás, adatvédelem és versenyjog mellé most egy új, horizontális digitális szabályozási réteg érkezett. Vállalkozóként, tartalomkészítőként nem feltétlenül kell fejből idézned a rendelet cikkelyeit, de fontos érteni, hogy a jövőben egy letiltott hirdetés, egy fiókfelfüggesztés, egy algoritmusváltás mögött már nemcsak platformszabályzat áll, hanem konkrét európai jogi elvárások is.
Piaci erő, adatalapú monopólium és a DMA
A Digital Markets Act nem a tartalomról, hanem a piaci erő koncentrációjáról szól. A klasszikus versenyjog utólag, eseti alapon lép közbe: ha egy cég visszaél az erőfölényével, akkor vizsgálat indul, évekig zajlik az eljárás, majd bírságot kap. A DMA ezzel szemben ex ante logikára épít: előre azonosítja azokat a „kapuőr” platformokat, amelyek méretük, bevételük, piaci szerepük alapján egyszerűen túl nagyok ahhoz, hogy a hagyományos versenyjogi eszközök elegendőek legyenek ellenük. A rendelet tipikusan olyan szolgáltatásokra vonatkozik, mint az operációs rendszerek, alkalmazás-áruházak, online keresők, közösségi hálózatok, bizonyos üzenetküldő szolgáltatások.
A DMA közvetlenül érinti az algoritmusokat is. Megtiltja például, hogy a kapuőrök az általuk üzemeltetett platformon saját szolgáltatásaiknak kedvezzenek a rangsorolásban (self-preferencing), és előírja, hogy a platform üzleti felhasználói hozzáférhessenek bizonyos, a saját tevékenységükre vonatkozó adatokhoz. Emellett szigorúan korlátozza a különböző szolgáltatások közötti adatösszekapcsolást: egy kapuőr nem kombinálhatja büntetlenül a keresőből, a videóplatformból és a közösségi hálóból gyűjtött személyes adatokat, ha erre a felhasználó nem ad világos, érvényes hozzájárulást. Ez a gyakorlatban visszavágja az óriásplatformok azon törekvését, hogy minden digitális lépésedet egyetlen óriásprofilba gyúrják össze, amelyre aztán hirdetési és termékajánló algoritmusok teljes arzenálja épül.
Magyar KKV-szempontból a DMA sokszor távolinak tűnik, mégis közvetlen hatása lehet. Ha a kapuőrök nem preferálhatják agresszíven a saját szolgáltatásaikat (például saját webáruházukat a keresőben), akkor elvben több tér marad a kisebb szereplőknek. Ha a platform köteles adatot adni az ott működő kereskedőknek, akkor jobban megérthetővé válik, honnan jön a forgalom, milyen kategóriákban versenyeznek, hol veszítenek felhasználókat. Ez azonban csak akkor válik valódi előnnyé, ha a cégnek van kapacitása ezeket az adatokat értelmezni, és van stratégiája arra, hogy a platform-függését csökkentse. A DMA nem fogja helyetted kitalálni a marketingstratégiádat, de megpróbál olyan pályát teremteni, ahol nem az a kérdés, hogy „van-e esélyed”, hanem az, hogy tudsz-e élni az esélyeddel.
Az AI Act és az algoritmikus átláthatóság következő szintje
A mesterségesintelligencia-rendelet (AI Act) új dimenziót ad az algoritmusok jogi megítélésének. Míg a GDPR alapvetően az adatra, a DSA és a DMA a digitális szolgáltatásokra fókuszál, addig az AI Act magára az algoritmikus rendszerre – annak kockázataira, tervezésére, üzemeltetésére – koncentrál. A rendelet kockázatalapú megközelítést alkalmaz: vannak tiltott felhasználások (például bizonyos típusú „társadalmi pontozás”), vannak „magas kockázatú” rendszerek (például hitelbírálat, kritikus infrastruktúra, bizonyos foglalkoztatási célú AI-k), és vannak korlátozott kockázatú, illetve minimális kockázatú alkalmazások. A nagy nyelvi modellekre és más általános célú AI-rendszerekre külön szabályok vonatkoznak: dokumentálni kell a fejlesztést, a tesztelést, a képzési adatok fő jellemzőit, és biztosítani kell, hogy a rendszer bizonyos alapvető biztonsági, átláthatósági elvárásokat teljesítsen.
A forgalomirányító szolgáltatások világa és az AI Act ott találkozik, ahol a platformok AI-alapú ajánlórendszereket, tartalomgeneráló eszközöket vagy automatizált moderálást használnak. Ha egy felhasználó feedjét nagyrészt olyan algoritmus rendezi, amely gépi tanulással tanul a viselkedéséből, akkor az nem csak DSA-kompatibilis kell legyen, hanem bizonyos esetekben az AI Act előírásait is figyelembe kell venni. Külön kihívás a generatív AI integrációja: ha a platform mesterségesen generált tartalmakat ajánl, vagy ha a hirdetési kreatívok előállításában AI vesz részt, akkor az átláthatósági és felhasználói tájékoztatási kötelezettségek új szintre kerülnek. Nem mindegy, hogy egy politikai hirdetés valódi szereplők álláspontját mutatja, vagy generált képeket, hangot használ – és ezt egyértelműen jelezni kell a felhasználó felé.
Vállalkozói szinten az AI Act sokszor közvetve lesz érzékelhető. Ha külső AI-szolgáltatásokat használsz (például automatizált ügyfélszolgálatot, lead-minősítőt, ajánlórendszert), akkor egyre gyakoribb lesz, hogy a szolgáltató kér adatvédelmi és megfelelőségi információkat, és szerződésben rögzíti, ki miért felel. Érdemes ezt nem pusztán „jogi nyűgként” kezelni, hanem beépíteni a saját kockázatkezelésedbe: dokumentálni, milyen AI-eszközt mire használsz, milyen adatot adsz át, hogyan ellenőrzöd az eredményeket. A jövő sikeres vállalkozója nem az, aki „mindent automatizál”, hanem az, aki tudatosan dönt arról, mit automatizál, milyen keretek között, és milyen emberi kontroll marad a rendszer fölött.
Magyar KKV-k és tartalomkészítők: mit jelent mindez a gyakorlatban?
A magyar mikro- és kisvállalkozások jelentős része néhány nagy platformra építi az online jelenlétét: Google-kereső, Facebook-oldal, Instagram-profil, esetleg egy egyszerű webáruház. A cégtulajdonos gyakran úgy érzi, hogy „úgyis a Facebook dönt”, „úgyis a Google hozza az embereket”, ő legfeljebb tartalmat gyárt, hirdetést fizet, és reménykedik, hogy az algoritmus „szereti” majd. A jogi szabályozást sokan kényszernek tekintik: GDPR miatt kell adatkezelési tájékoztató, a sütik miatt kell banner, a hírlevél miatt kell hozzájárulás, a fogyasztóvédelem miatt kell ÁSZF – és ennyi. Ez a hozzáállás rövid távon még működhet, hosszabb távon viszont veszélyes. Minél erősebb az uniós szabályozás, annál valószínűbb, hogy egy-egy platformváltás, algoritmusmódosítás, automatizált szűrőrendszer olyan változást hoz, amit egy kis cég egyszerűen nem fog tudni követni, ha nincs saját stratégiája.
Dajka Gábor tapasztalata szerint a magyar KKV-knál három tipikus tévhit jelenik meg. Az első, hogy a platform „ingyenes”, és a szabályozás csak a nagyokat érinti. Valójában az adatvédelmi és fogyasztóvédelmi normák ugyanúgy vonatkoznak a kis webáruházra, mint a globális szereplőkre, legfeljebb a végrehajtás intenzitása más. A második, hogy „ha jó a tartalom, úgyis elér mindenkit”. Ez régebben részben igaz volt, ma viszont a forgalomirányító algoritmusok, a hirdetési aukciók, az organikus elérés visszafogása miatt önmagában a tartalom minősége nem elég – rendszerszintű gondolkodás kell. A harmadik, hogy „az algoritmus úgyis kiismerhetetlen”. A működés részletei valóban üzleti titkok, de a szabályozás egyre több ponton rákényszeríti a platformokat az átláthatóságra. Ha marketingesként, üzleti döntéshozóként követed ezeket a jogi fejleményeket, akkor sokkal kevesebb dolog fog „váratlanul” érni.
Az „Online marketing és pszichológia” című könyvben pont azt próbálom átadni, hogyan találkozik az emberi figyelem, a reklámpszichológia és az online platformok technikai működése. Ha jobban érted, hogyan működik a célcsoportod gondolkodása, félelmei, motivációi, könnyebben átlátod azt is, miért reagál érzékenyen az adatvédelmi botrányokra, miért tart bizonyos típusú targetált hirdetésektől, vagy miért értékeli nagyra a transzparens kommunikációt. A jó marketing ma nemcsak kreatív üzenetekről szól, hanem arról is, hogy tisztán, érthetően elmagyarázod: milyen adatot kérsz, mit csinálsz vele, milyen jogai vannak az ügyfélnek. Ha ezt jól csinálod, az nem „fékezi” az értékesítést, hanem bizalmat épít – márpedig egy egyre szigorúbban szabályozott digitális világban a bizalom lesz az egyik legértékesebb „eszközöd”.
Gyakorlati akcióterv vállalkozóknak és marketingeseknek
Az elméleti összefüggések mit sem érnek, ha nem fordítjuk le őket konkrét lépésekre. Az alábbi akcióterv olyan minimum, amit egy magyar KKV-nak vagy tartalomkészítőnek érdemes végiggondolnia az algoritmusok és a jog találkozásának fényében.
- 1. Adatleltár készítése. Térképezd fel, milyen személyes adatot gyűjtesz (weboldal, hírlevél, CRM, webshop, közösségi platformok), milyen célból, meddig tárolod, kinek adod át. Ez az alapja a GDPR-megfelelésnek és minden későbbi AI- és marketingdöntésnek.
- 2. Adatkezelési tájékoztató és hozzájárulás rendbetétele. Nem elég „valamilyen” adatkezelési dokumentum. Legyen érthető, naprakész, és ténylegesen tükrözze azt, amit csinálsz. A cookie-kezelést is úgy oldd meg, hogy a felhasználó valóban választhasson, és dokumentálni tudd a döntését.
- 3. Platform-függés csökkentése. Ha ma a forgalmad 90%-a egyetlen hirdetési fióktól vagy egyetlen közösségi felülettől függ, akkor nemcsak üzletileg, hanem szabályozási szempontból is sérülékeny vagy. Építs saját e-mail listát, gondolkodj SEO-ban, dolgozz több csatornával, használj saját tartalomplatformot (blog, podcast, videó).
- 4. Szerződések és külső szolgáltatók felülvizsgálata. Ha ügynökséggel, fejlesztővel, AI-szolgáltatóval dolgozol, rögzítsétek írásban, ki miért felel: adatkezelés, jogszabálykövetés, incidenskezelés. Ne csak a kreatív output érdekeljen, hanem az is, milyen adatot hogyan kezelnek helyetted.
- 5. Tartalommoderálási és krízisterv. Legyen protokollod arra, mi történik, ha egy hirdetést letilt a platform, ha a fiókodat felfüggesztik, ha célkeresztbe kerül egy posztod. Ki kommunikál a platformmal, ki kommunikál az ügyfelekkel, milyen alternatív csatornákat tudsz azonnal aktiválni?
- 6. AI-használati szabályzat házon belül. Ha a kollégák AI-eszközöket használnak (tartalomgenerálás, fordítás, ügyfélszolgálat), legyen világos házirend: milyen adatot vihetnek be ezekbe a rendszerekbe, mihez kell vezetői engedély, hogyan ellenőrizzük az AI által adott outputot.
- 7. Folyamatos jogi-üzleti monitoring. Nem kell jogásszá válnod, de érdemes követned az olyan kulcsterületeket, mint a DSA-végrehajtás, az AI Act részletszabályai, a GVH és a NAIH gyakorlatának alakulása. Egy-egy hatósági döntésből nagyon sokat lehet tanulni arról, mire „harap” a hatóság a gyakorlatban.
- 8. Oktatás, szemléletformálás. A marketing és a jog nem két külön világ. Tarts belső képzéseket, workshopokat, ahol a kollégák megértik, hogy az adatvédelem, a tisztességes tájékoztatás és az algoritmikus átláthatóság nem ellenfele, hanem alapja a hosszú távú üzleti sikernek.
Dajka Gábor marketingszakértő, business coach és befektető szerint
Ha egy mondatban kellene összefoglalnom a következő évtized kihívását, így fogalmaznék: annak a vállalkozónak lesz esélye, aki egyszerre érti a jogot, a technológiát és az emberi viselkedést – legalább koncepcionális szinten. Nem kell fejlesztőnek lenned, nem kell adatvédelmi tisztviselőnek állnod, és nem kell jogi kommentárokat olvasnod esténként, de felelős vezetőként nem mondhatod többé azt, hogy „ez a könyvelő dolga”, „ez az informatikus dolga”, „ezt majd megoldja a marketinges”. A GDPR, a DSA, a DMA és az AI Act együtt olyan környezetet hoz létre, ahol a „nem tudtam” típusú kifogások egyre kevésbé lesznek hitelesek – sem a hatóság, sem a fogyasztó szemében.
„Aki ma csak kampányokban gondolkodik, és nem rendszerben, az holnap nemhogy versenyelőnyről, hanem a puszta túlélésről fog vitatkozni a könyvelőjével.” – Dajka Gábor
Én nem abban hiszek, hogy a szabályozás majd „megoldja helyettünk” az algoritmusok problémáját. A jog eszköz, amely kereteket ad, fékeket épít be, és kijelöli a piros vonalakat. Amit viszont neked kell hozzátenned, az a stratégiai gondolkodás: hogyan építesz olyan márkát, amely nem omlik össze egy fiókfelfüggesztéstől, egy organikus elérés-csökkenéstől vagy egy adatvédelmi botránytól. Hogyan hozol létre olyan ügyfélkapcsolatot, ahol nem a „legolcsóbb ajánlat” győz, hanem a bizalom és a hosszú távú érték. És hogyan alakítod a belső kultúrát a cégedben úgy, hogy a kollégák is értsék: az adatvédelem, az etikus AI-használat és az átlátható kommunikáció nem „akadékoskodás”, hanem a modern üzleti működés alapfeltétele.
Ha egy tanácsot vihetsz magaddal ebből a cikkből, akkor ez legyen az: tanulj meg kérdéseket feltenni. Milyen adatra épül ez az algoritmus? Milyen jogalapon kezelem ezeket az adatokat? Milyen kockázatot jelent, ha ez a platform egyik napról a másikra módosítja a szabályait? Mit fog érezni az ügyfél, ha rájön, hogy valójában hogyan targetálod? Ha ezekre a kérdésekre őszintén tudsz válaszolni, akkor jó eséllyel olyan vállalkozást építesz, amely nem fél a jogtól, és nem retteg az algoritmusoktól – hanem tudatosan használja mindkettőt.
Szakértő válaszol – gyakori kérdések
Miben különbözik a GDPR és a DSA egy átlagos cég szempontjából?
A GDPR alapvetően az adatkezelésről szól: milyen személyes adatot gyűjtesz, milyen jogalapon, meddig tárolod, milyen jogai vannak a felhasználónak, milyen biztonsági intézkedéseket alkalmazol. A DSA ezzel szemben arról, hogyan működnek az online szolgáltatások – főleg az olyan platformok, ahol felhasználói tartalom jelenik meg. Egy átlagos cég számára a GDPR a belső adatkezelési gyakorlatot érinti (weboldal, CRM, hírlevél, ügyféladatok), a DSA pedig alapvetően akkor válik kézzelfoghatóvá, ha saját platformot üzemeltetsz, piactér-szerű szolgáltatásod van, vagy olyan nagy platformokon hirdetsz, amelyek a DSA miatt változtatják a működésüket (például hirdetésjelölés, ajánlórendszer-beállítások).
Mennyire kell egy magyar KKV-nak foglalkoznia az algoritmusok átláthatóságával?
Közvetlenül nem várja el tőled senki, hogy publikáld a saját hirdetési vagy ajánlórendszered forráskódját. Közvetve viszont nagyon is érint a kérdés. Ha profilozol, automatizált döntést hozol (például automatikus limitet állítasz be a rendelésre, automatikus kockázati minősítést adsz egy ügyfélnek), akkor a GDPR értelmében bizonyos esetekben magyarázatot kell tudnod adni a döntés logikájára. Ha AI-eszközt használsz ügyfélkommunikációra, az is átláthatósági kérdéseket vet fel. Emellett a nagy platformok DSA miatti átláthatósági kötelezettségei – például hirdetési könyvtárak, ajánlórendszer-leírások – olyan információkat adnak a kezedbe, amelyeket okosan kihasználhatsz. Röviden: a jog nem kényszerít rá, hogy „mini-Google” legyél, de elvárja, hogy a saját folyamatodra értelmes magyarázatot tudj adni.
Mi történik a keresőoptimalizálással, ha az algoritmusokat egyre szigorúbban szabályozzák?
A SEO nem fog megszűnni, de átalakul. A DSA és a DMA hatására a nagy platformok kénytelenek lesznek jobban dokumentálni a rangsorolási elveiket, előtérbe helyezni bizonyos minőségi és megbízhatósági szempontokat, és visszafogni azokat a gyakorlatokat, amelyek félretájékoztatáshoz vagy manipulációhoz vezetnek. Ez a gyakorlatban valószínűleg azt jelenti, hogy a „szürkezónás”, kizárólag technikai trükkökre építő SEO egyre kevesebbet ér, míg a valóban informatív, következetes, szakmailag erős tartalom, a márkaismertség és a felhasználói bizalom még fontosabb lesz. Vállalkozóként jobban jársz, ha hosszú távú tartalomstratégiában gondolkodsz, mint ha az algoritmus pillanatnyi „kijátszására” építesz.
Van-e kifejezetten magyar sajátossága az algoritmusok jogi szabályozásának?
A jogi keret döntően uniós szinten születik, így a GDPR, a DSA, a DMA, az AI Act ugyanúgy vonatkozik Magyarországra, mint bármely más tagállamra. A magyar sajátosság inkább a végrehajtásban és az üzleti környezetben jelenik meg. A magyar KKV-k tőkeellátottsága gyengébb, kevesebb erőforrásuk van jogi, adatvédelmi és IT-fejlesztésekre, miközben ugyanolyan platformkörnyezetben kell versenyezniük, mint a nyugat-európai cégeknek. Ezért is fontos, hogy a hazai vállalkozó ne „legyintsen” a szabályozásra, hanem minél hamarabb beépítse azt a stratégiai gondolkodásába. Aki időben lép, annak a megfelelés nem csak költség lesz, hanem versenyelőny is.
Ajánlott magyar videó/podcast
Ha a digitális nyilvánosság, az álhírek és a média befolyása érdekel, érdemes megnézned az alábbi videót, amely jól kiegészíti a cikkben leírtakat a pszichológiai és médiatudományi oldalról.
Források
- Pataki Gábor – Szőke Gergely: Az online személyiségprofilok jelentősége. In: Polyák Gábor (szerk.): Algoritmusok, keresők, közösségi oldalak és a jog – A forgalomirányító szolgáltatások szabályozása. HVG-ORAC, 2020.
- Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (GDPR).
- Az Európai Parlament és a Tanács (EU) 2022/2065 rendelete (Digital Services Act).
