Magyarországon 2026 tavaszán választás lesz. Hosszú kampány, éles verseny, és olyan technológiai környezet, amit négy éve még nem láttunk. Az MI-alapú célzás, a szintetikus média (deepfake) és a botháló-alapú terjesztés nem kuriózum, hanem bevett kampányeszköz. A kérdés nem az, hogy jönnek-e, hanem az, hogy miért kell egy KKV-vezetőnek foglalkoznia velük. A válasz: amikor kampánystratégák és adatbrókerek összefonódnak, az adatszivárgás, a reputációs kár és a szabályozói bírság a kampánykörön kívüli cégeket is eléri.
Miért érinti a magyar KKV-t
A kampányokhoz kapcsolódó adatipar nem zárt rendszer. Választási évben a nagyobb ügynökségek, pártstábok és tech-vállalkozások jelentős mennyiségű adatot dolgoznak fel: szavazói szegmentációt, fogyasztói profilokat, viselkedési előrejelzéseket. Ez az infrastruktúra átér a kereskedelmi oldalra.
Két fő kockázat van, amit egy cégvezetőnek látnia kell.
Az első: adatkiszivárgás harmadik félként. A kampányok gyakran vásárolnak adatbróker-szolgáltatást. Ezek a brókerek ritkán kezelnek csak szavazói adatot — CRM-listák, közösségi média-rekordok is bekerülnek a rendszereikbe. Ha a cége ügyféllistája egy ilyen adatbrókerhez került (akár közvetett úton, egy marketing-partneren keresztül), és ott politikai célra is használják, az GDPR-sértés. Az első hír után a kár már megtörtént, a bírság csak ezután jön.
A második: reputációs válság deepfake-en keresztül. Egy videó, amelyben a vezérigazgatója olyat mond, amit valójában soha — kampány során akár szándékosan, akár mellékhatásként terjedhet. Az első óra kaotikus. A közönség nem tudja eldönteni, kép vagy valóság. A kommunikációs csapata azt próbálja bizonyítani, ami eddig magától értetődött: hogy a videó hamis. Közben a sajtó már cikket ír.
Konkrét kockázatok
Szintetikus média. Egy bank vezetőjéről készült valótlan videó — akár csak egy félreérthető mondat — pillanatok alatt bankrohamot generálhat. A jogi védelem lassabb, mint a hírciklus.
Adatok újrahasznosítása. A szavazói adatok — életkor, lakhely, viselkedési minták — értékesek. Ha a kampánystáb vagy az adatbróker nem zárolta megfelelően az adatokat a kampány után, azok átkerülnek más vállalkozásokhoz. A felelősség az eredeti adatkezelőt is terheli.
Célhoz kötöttség megsértése. A GDPR 5. cikk (1) b) pontja szerint az adat csak arra a célra használható, amire gyűjtötték. Választási célra gyűjtött adat nem kerülhet kereskedelmi targetingbe. Az EU-s adatvédelmi hatóságok vizsgálatai rendre azt találják, hogy a kampányidőszakok után az adatkezelés nem zárul le rendesen.
Botháló-alapú versenytorzulás. A politikai kampányokat kiszolgáló bothálózatok sokszor kereskedelmi tartalmat is felerősítenek. Ha egy versenytárs botháló segítségével vásárolt követőket vagy szintetikus interakciókat generál, az piactorzulás. Az ilyen esetek adatvédelmi és versenyjogi vizsgálatot is hozhatnak.
A szabályozási keret: GDPR és AI Act
A GDPR egyértelmű a választási adatok kezeléséről. A politikai vélemény különleges kategória (9. cikk), tehát kifejezett hozzájárulás kell a kezeléséhez. A cél- és tárolási korlátozás (5. cikk) az adat életciklusának végére is vonatkozik.
Egy KKV-nak négy ponton kell figyelnie:
- Adatláncok. Ha az ügyféllista közvetett úton (szállító, partner, adatbróker) kampányba kerül, a felelősség az eredeti adatkezelőt is terheli.
- Adatfeldolgozási szerződés (DPA). Minden külső szolgáltatóval szükséges. Kampányidőszakban érdemes újrafutni az érvényes DPA-kon.
- Hatásvizsgálat (DPIA). Magas kockázatú adatkezelésnél kötelező — és vita esetén bizonyíték.
- Bírság. A maximum az éves globális árbevétel 4%-a vagy 20 millió euró — a nagyobb érték szerint.
Az EU AI Act újabb réteget rak rá. A teljes alkalmazás 2026. augusztus 2-től érvényes, egyes tiltások már 2025. februártól, a GPAI (általános célú MI) szabályai 2025. augusztustól hatályosak. A magas kockázatú kategóriában dokumentált hatásvizsgálat, nyilvántartás és transzparencia szükséges. A szintetikus média előállítása külön szabályozott: a címkézési kötelezettség minden deepfake-tartalomra vonatkozik.
Ha a cége MI-eszközt használ ügyféladatok kezelésére, szegmentációra vagy automatizált döntéshozatalra, az a magas kockázatú kategóriába eshet. A megfelelés a gyakorlatban még nehezen értelmezhető, de a keret áll.
EU-s precedens és magyar forgatókönyv
Több EU-s tagállamban indult adatvédelmi vizsgálat kampányhoz kapcsolódó adatkezelés miatt. A brit Cambridge Analytica-ügy (2018) óta a hatóságok szigorúbban néznek. Több tagállamban futottak vizsgálatok adatbrókerek ellen, ahol a választási és kereskedelmi adatkezelés keveredett.
Magyarországon nagy horderejű precedens még nem született. A 2026-os kampány azonban minden korábbinál intenzívebb lesz, az MI-eszközök érettebbek, az árak elérhetőbbek. Egy valószerű forgatókönyv: egy nagy kampány-ügynökség akaratlanul továbbítja a szavazói adatokat egy harmadik fél adatbrókernek tanítóadatként. Egy hírportálon derül ki. NAIH-vizsgálat, bírság, sajtóvihar. A cég, amelynek egy ügyfele a kampányban dolgozott, gyanúba kerül: tudott róla?
Mit tegyen a cégvezető
Adatkezelési audit. Minden szállítóval és partnerrel fusson át négy kérdést. Hogyan kezelik az adatokat választási időszakban? Van-e harmadik fél, aki hozzáférhet? Van-e érvényes adatfeldolgozási szerződés? Mennyi az adatmegőrzési idő?
MI-eszköz nyilvántartás. Ha a cég MI-t használ targetingre, adatelemzésre vagy chatbotra, dokumentálni kell. A hatásvizsgálat nemcsak előírás, hanem vita esetén bizonyíték is.
Deepfake-védelem. Helyezzen el digitális aláírást vagy metadata-védelmi szolgáltatást a márka-videókon. A C2PA-szabvány már elérhető. Az első óra válságkezelésben ez dönti el, hogy cáfolható-e gyorsan a hamisítvány.
Megfelelőségi erőforrás. DPO vagy külső GDPR-tanácsadó válsághelyzetben felbecsülhetetlen. A 2026-os kampány időszaka már megkezdődött — most még nem késő felállítani.
Az adatmunka már zajlik. Hogy a cége mit tesz, az most dől el.
