Trust Center Felelős AI alapelvek

Felelős technológiai és AI alapelvek

Hogyan érvényesítjük a felelős technológia, a megbízható mesterséges intelligencia, az adatvédelem, az információbiztonság és az emberi felügyelet alapelveit a Cogniforce minden megoldásában.

Utolsó frissítés: 2026. május 20. · Verzió: 1.2· Nyelv: Magyar · Kapcsolat: hello@cogniforce.io

1. Bevezetés

A Cogniforce Labs Kft. digitális, automatizációs és mesterséges intelligenciával támogatott megoldásokat fejleszt és vezet be üzleti ügyfelek számára. Munkánk középpontjában nem a technológia önmagáért való alkalmazása áll, hanem az, hogy ügyfeleink átláthatóbb, hatékonyabb, megbízhatóbb és jobban kontrollálható üzleti folyamatokat tudjanak kialakítani.

Megoldásaink és szolgáltatásaink különösen AI-alapú vagy AI-val támogatott megoldásokra, RPA- és workflow-automatizációkra, rendszer- és API-integrációkra, adatfolyamatok kialakítására, egyedi szoftverfejlesztésekre, demókra, koncepciótesztekre, pilotokra, képzésekre, workshopokra és kapcsolódó szakmai támogatásra terjedhetnek ki.

Jelen dokumentum azt foglalja össze, hogy a Cogniforce milyen alapelvek szerint közelít a felelős technológiafejlesztéshez és technológiabevezetéshez. Célja, hogy a weboldal látogatói, potenciális ügyfelek, üzleti partnerek, felhasználók és más érintett szereplők érthető, szakmailag megalapozott képet kapjanak arról, hogyan gondolkodunk a biztonságról, adatvédelemről, információbiztonságról, emberi felügyeletről, átláthatóságról, méltányosságról, dokumentálhatóságról és kockázatalapú technológiai irányításról.

A dokumentum jogi státusza

Ez a dokumentum nyilvános bizalmi és felelős technológiai alapelv-nyilatkozat. Nem minősül teljes körű szerződéses feltételrendszernek, garanciavállalásnak, tanúsítványnak, adatvédelmi tájékoztatónak, adatfeldolgozási megállapodásnak, információbiztonsági szabályzatnak vagy auditjelentésnek. Egy adott projekt konkrét technikai, adatvédelmi, információbiztonsági, AI-governance, üzemeltetési és felelősségi keretét mindig az irányadó szerződés, adatfeldolgozási megállapodás, műszaki specifikáció, projektterv, adatkezelési dokumentáció, biztonsági melléklet vagy más projektdokumentáció határozza meg.

A jelen dokumentumban szereplő alapelvek a Cogniforce által követett szemléletet és kontrolllogikát mutatják be. Nem jelentik azt, hogy minden felsorolt kontroll, standard vagy jogszabályi hivatkozás minden projektre automatikusan, teljes körűen és azonos módon alkalmazandó.

2. A Cogniforce adatai

Adat Tartalom
Cégnév Cogniforce Labs Korlátolt Felelősségű Társaság
Rövidített cégnév Cogniforce Labs Kft.
Székhely 1061 Budapest, Liszt Ferenc tér 3. 5. emelet 4. ajtó, Magyarország
Cégjegyzékszám 01-09-446933
Nyilvántartó cégbíróság Fővárosi Törvényszék Cégbírósága
Adószám 32115873-2-42
Képviseletre jogosult Nagy Zsombor ügyvezető
E-mail hello@cogniforce.io
Weboldalak https://cogniforce.io és https://cogniforce.hu

3. Hatály és alkalmazási kör

Ezek az alapelvek a Cogniforce által fejlesztett, bevezetett, integrált, támogatott vagy szakmailag kísért digitális, automatizációs és adatfeldolgozási megoldásokra vonatkoznak, függetlenül attól, hogy az adott megoldás tartalmaz-e mesterséges intelligencia komponenst.

A dokumentum különösen az alábbi megoldásokra és szolgáltatási helyzetekre terjedhet ki:

  • mesterséges intelligenciával támogatott alkalmazások, demók, chatbotok, asszisztensmegoldások, döntéstámogató és tartalomgeneráló eszközök;
  • RPA-, workflow- és üzleti folyamat-automatizációs megoldások;
  • API-, rendszer-, adat- és felhőintegrációk;
  • egyedi szoftverfejlesztések, prototípusok, proof of concept megoldások, MVP-k és pilot projektek;
  • adatfeldolgozási, riporting-, analitikai, dokumentum-automatizációs és tudásmenedzsment-megoldások;
  • ügyfélspecifikus technológiai tanácsadás, képzés, workshop, bevezetési támogatás, support és kapcsolódó szakmai dokumentáció.

A dokumentum alkalmazása nem jelenti azt, hogy minden Cogniforce-megoldás az EU AI Act szerinti MI-rendszernek, általános célú MI-modellhez kapcsolódó megoldásnak vagy magas kockázatú MI-rendszernek minősül. Az adott megoldás jogi és technológiai minősítését mindig a konkrét funkció, rendeltetés, ügyféloldali felhasználási környezet, adatkör, automatizációs szint, érintetti hatás és szerződéses szerepmegosztás alapján kell elvégezni.

A jelen alapelvek nem helyettesítik az adott projektre vonatkozó szerződést, műszaki specifikációt, adatfeldolgozási megállapodást, adatvédelmi dokumentációt, információbiztonsági mellékletet, AI-kockázatértékelést vagy ügyféloldali belső megfelelőségi döntést. Ezeket a dokumentumokat és értékeléseket az adott projekt jellege és kockázata alapján külön kell meghatározni.

4. Jogszabályi és szakmai keret

A Cogniforce felelős technológiai megközelítését különösen az Európai Unió mesterséges intelligenciáról szóló rendeletének – az EU AI Actnek ((EU) 2024/1689 rendelet) – kockázatalapú logikája, az általános adatvédelmi rendelet – a GDPR ((EU) 2016/679 rendelet) – adatvédelmi és elszámoltathatósági elvei, a kapcsolódó magyar adatvédelmi, elektronikus kereskedelmi, reklámjogi és kiberbiztonsági szabályok, valamint a megbízható mesterséges intelligenciára, információbiztonságra és digitális bizalomra vonatkozó európai és nemzetközi szakmai keretrendszerek alakítják.

A Cogniforce ezeket a szempontokat nem pusztán jogszabályi megfelelési minimumként kezeli. A cél az, hogy a technológiai megoldások már a tervezés, fejlesztés, bevezetés, üzemeltetés és változáskezelés során is előre látható, dokumentált, ellenőrizhető és az ügyfél számára értelmezhető módon működjenek.

Hivatkozási módszertan

A jelen dokumentumban szereplő jogszabályi és szakmai hivatkozások nem jelentik azt, hogy minden felsorolt jogszabály, standard, ajánlás vagy szakmai keretrendszer minden Cogniforce-projektre automatikusan, teljes egészében és azonos módon alkalmazandó.

Az alkalmazandó követelményeket mindig a konkrét felhasználási eset, technológiai funkció, szerződéses szerepmegosztás, adatkezelési helyzet, ügyféloldali deployment, érintetti hatás, automatizációs szint, ágazat, földrajzi piac és szerződéses konstrukció alapján kell meghatározni.

A dokumentum célja annak bemutatása, hogy a Cogniforce milyen kontrolllogika mentén fordítja le a releváns szabályozási, adatvédelmi, információbiztonsági, AI-governance és best practice elvárásokat projekt-szintű követelményekké, technikai kontrollokká, dokumentációs elemekké és ügyféloldalon is értelmezhető felelősségi pontokká.

Terület Mit jelent a Cogniforce gyakorlatában
Kockázatalapú megközelítés A kontrollok mélységét és részletezettségét a felhasználási cél, az érintettekre vagy üzleti folyamatokra gyakorolt hatás, az adatok jellege, az automatizáció foka, a rendszer kritikalitása és az ügyféloldali döntési környezet alapján határozzuk meg.
Adatvédelem és adatbiztonság A célhoz kötöttség, adatminimalizálás, hozzáférési kontroll, bizalmasság, integritás, rendelkezésre állás, naplózhatóság és dokumentálhatóság a tervezési, fejlesztési és üzemeltetési folyamat részét képezi.
Emberi felügyelet Személyeket vagy lényeges üzleti döntéseket érintő outputoknál nem építünk olyan működést, amely megfelelő emberi kontroll, felülvizsgálati lehetőség vagy felelősségi pont nélkül zárná ki az érdemi beavatkozást vagy felülbírálatot.
Átláthatóság Az ügyfél számára érthető módon rögzítjük a rendszer célját, fő működését, bemeneti és kimeneti adatait, ismert korlátait, emberi kontrollpontjait, adatáramlásait és felelősségi rendjét.
Folyamatos kontroll A technológiai, jogi, biztonsági és üzleti környezet változása miatt a felelős működés nem egyszeri megfelelési állapot, hanem felülvizsgálatot, karbantartást, változáskezelést, beszállítói kontrollt és incidenskezelési képességet igénylő folyamatos governance gyakorlat.

4.1 Kötelező és potenciálisan alkalmazandó jogi hivatkozási térkép

Forrás / keretrendszer Szabályozási vagy szakmai fókusz Megjelenése a dokumentumban
EU AI Act - (EU) 2024/1689 rendelet Kockázatalapú MI-szabályozás; tiltott MI-gyakorlatok; magas kockázatú rendszerek; emberi felügyelet; átláthatóság; általános célú MI-modellek; alkalmazási időpontok. A dokumentum külön kezeli az AI-rendszerek minősítését, a tiltott/nem támogatott felhasználásokat, az emberi kontrollt, a transzparenciát, a modell- és beszállítói kontrollt, valamint a projekt-szintű AI-kockázatértékelést. Kiemelt cikkek: 1., 2., 3., 4., 5., 6., 8-15., 25., 26., 50., 53., 55. és 113. cikk; III., IV., XI. és XII. melléklet.
GDPR - (EU) 2016/679 rendelet Személyes adatok jogszerű, tisztességes és átlátható kezelése; jogalap; különleges adatok; tájékoztatás; automatizált döntéshozatal; beépített és alapértelmezett adatvédelem; adatfeldolgozás; biztonság; DPIA; nemzetközi adattovábbítás. A dokumentum privacy-by-design szemléletet, adatminimalizálást, célhoz kötöttséget, jogosultsági kontrollokat, emberi felülvizsgálatot, DPIA-trigger szemléletet és adatfeldolgozói szereptisztázást ír elő. Kiemelt cikkek: 5., 6., 9., 12-14., 22., 25., 28., 30., 32., 35-36. és 44-49. cikk.
2011. évi CXII. törvény - Infotv. Magyar adatvédelmi és információszabadsági háttérszabályok, hatósági keret, NAIH-gyakorlat és hazai jogérvényesítési környezet. A dokumentum a magyar adatvédelmi környezetet is figyelembe veszi, különösen magyarországi ügyfelek, szolgáltatásnyújtás, hatósági kommunikáció vagy magyar jog szerinti adatvédelmi dokumentáció esetén.
ePrivacy irányelv - 2002/58/EK; Ektv. - 2001. évi CVIII. törvény; Grt. - 2008. évi XLVIII. törvény Elektronikus kommunikáció, cookie-k és hasonló technológiák, információs társadalommal összefüggő szolgáltatások, elektronikus direkt marketing és kereskedelmi kommunikáció. Weboldali demó, chatbot, analitika, tracking, hírlevél vagy üzletszerzési kommunikáció esetén a dokumentum adatvédelmi és transzparencia-kontrollokat kapcsol a cookie notice, marketing consent és weboldali tájékoztatási réteghez.
NIS2 irányelv - (EU) 2022/2555; 2024. évi LXIX. törvény Magyarország kiberbiztonságáról Kiberbiztonsági kockázatkezelés, incidenskezelés, beszállítói kockázat, üzletmenet-folytonosság és vezetői felelősség az érintett szervezeti körben. A dokumentum a biztonságot mérnöki és governance kérdésként kezeli: hozzáférés-kezelés, naplózás, monitorozás, incidenskezelés, változáskezelés, beszállítói kontroll és kockázatarányos intézkedések.
Cyber Resilience Act - (EU) 2024/2847 rendelet Digitális elemeket tartalmazó termékek horizontális kiberbiztonsági követelményei, sebezhetőség-kezelés és biztonságos termékéletciklus. Amennyiben a Cogniforce-megoldás digitális termékként vagy ilyen termék komponenseként kerül piacra, a dokumentum támogatja a biztonságos fejlesztés, sérülékenység-kezelés, dokumentáció és életciklus-kontroll szemléletét.
Data Act - (EU) 2023/2854 rendelet; Data Governance Act - (EU) 2022/868 rendelet Adathozzáférés, adatmegosztás, adatfelhasználás, felhő- és adatszolgáltatási viszonyok, valamint adatkormányzási szolgáltatások uniós kerete. Adatintegrációs, IoT-, riporting-, adatplatform- vagy felhőváltási projektek esetén a dokumentum szerződéses és technikai adatáramlási térképet, szereptisztázást és célhoz kötött adatfelhasználást igényel.
DSM irányelv - (EU) 2019/790, különösen TDM és jogfenntartás Szerzői jogi és szomszédos jogi szempontok szöveg- és adatbányászatnál, valamint AI Act szerinti GPAI copyright policy környezetben. A dokumentum rögzíti, hogy ügyféladat, védett tartalom vagy harmadik fél tartalma modelltréningre, finomhangolásra vagy másodlagos felhasználásra csak megfelelő felhatalmazással és jogi kontrollal használható.
EU Alapjogi Charta és Európai Nyilatkozat a digitális jogokról és elvekről Emberi méltóság, magánélet, személyes adatok védelme, megkülönböztetés tilalma, tisztességes eljárás, emberközpontú digitális átalakulás. Az alapelvek nem csak technikai megfelelési pontokat, hanem alapjogi és bizalmi szempontokat is kezelnek, különösen személyeket érintő vagy magasabb hatású automatizáció esetén.

4.2 Ajánlások, standardok és szakmai best practice inputok

A Cogniforce felelős technológiai megközelítését nemcsak kötelező jogszabályok, hanem olyan szakmai ajánlások, iparági standardok és nemzetközi best practice keretrendszerek is alakítják, amelyek a megbízható AI, az adatvédelem, az információbiztonság, a biztonságos szoftverfejlesztés és a digitális bizalom gyakorlati megvalósítását támogatják.

Az alábbi hivatkozások nem jelentenek formális tanúsítást, auditált megfelelést vagy minden projektre automatikusan alkalmazandó kötelezettségvállalást. A Cogniforce ezeket a keretrendszereket irányadó szakmai referenciaként használja ott, ahol azok az adott projekt jellege, kockázata, szerződéses kerete vagy ügyféloldali elvárása alapján relevánsak.

Forrás / keretrendszer Szabályozási vagy szakmai fókusz Megjelenése a dokumentumban
EU HLEG Ethics Guidelines for Trustworthy AI és ALTAI A megbízható MI hét követelménye: emberi cselekvőképesség és felügyelet; technikai robusztusság és biztonság; adatvédelem és adatkormányzás; átláthatóság; sokféleség, diszkriminációmentesség és méltányosság; társadalmi és környezeti jóllét; elszámoltathatóság. Az elvi fejezet és a projekt checklist ezekre a követelményekre építve fordítja le a bizalmi keretet gyakorlati kontrollokra.
Európai Bizottság - General-Purpose AI Code of Practice és GPAI iránymutatások Általános célú MI-modellekre vonatkozó transzparencia, szerzői jogi, biztonsági és rendszerszintű kockázati gyakorlatok. A dokumentum a modellhasználati és beszállítói kontrolloknál elkülöníti a saját fejlesztésű rendszert, külső modellt/API-t, GPAI-modellt és ügyféloldali deploymentet.
EDPB iránymutatások - transzparencia, automatizált döntéshozatal/profilalkotás, DPIA, consent, privacy by design A GDPR gyakorlati alkalmazása tájékoztatás, jogalap, érintetti jogok, DPIA, hozzájárulás, automatizált döntések és beépített adatvédelem területén. Az adatvédelem, automatizált döntéshozatal, emberi felülvizsgálat és weboldali tájékoztatás fejezetei ezekhez igazodnak.
OECD AI Principles Emberközpontú értékek, átláthatóság, robusztusság, biztonság, elszámoltathatóság és nemzetközi együttműködés a megbízható AI érdekében. A dokumentum a nyilvános bizalmi nyilatkozatot nem csak EU-compliance, hanem nemzetközi felelős AI best practice szintjén is pozicionálja.
NIST AI Risk Management Framework 1.0 és Generative AI Profile Önkéntes AI-kockázatkezelési keret a megbízhatósági szempontok tervezésbe, fejlesztésbe, használatba és értékelésbe építésére. A projekt-szintű governance checklist, a lifecycle kontrollok és a generatív AI-ra vonatkozó kockázati kérdések ehhez a kockázatkezelési szemlélethez illeszkednek.
NIST Secure Software Development Framework (SSDF) és DevSecOps gyakorlatok Biztonságos szoftverfejlesztési kontrollok, sérülékenység-megelőzés, software supply chain, fejlesztési életciklusba épített biztonság és beszállítói kommunikáció. A dokumentum a secure by design/default, változáskezelés, tesztelés, titokkezelés, hozzáférési kontroll, sérülékenység-kezelés és fejlesztési bizonyítékok elvét erősíti.
CISA és nemzetközi partnerek - Secure by Design / Secure by Default A kiberbiztonsági kockázat egy részének visszaterelése a technológiai gyártókhoz és szolgáltatókhoz; biztonságos alapértelmezések, transzparens mérhetőség, felelősségvállalás. A dokumentum a Cogniforce megkülönböztető pozíciójaként kezeli, hogy az ügyfél ne csak funkciót, hanem biztonsági, adatvédelmi és compliance-szemléletű fejlesztési működést kapjon.
ISO/IEC 42001, ISO/IEC 23894, ISO/IEC 27001/27002 - ahol releváns és szerződésben vállalt MI-irányítási rendszer, AI-kockázatkezelés, információbiztonsági irányítási rendszer és kontrollkatalógus. A dokumentum nem állít formális tanúsítottságot, de a kontrollnyelvet és az üzemeltetési szemléletet ezekkel a piaci standardokkal kompatibilisen fogalmazza meg.
ISO/IEC 27701 és privacy information management szemlélet - ahol releváns és szerződésben vállalt Adatvédelmi irányítási rendszer, controller/processor szerepek, adatvédelmi kontrollok, nyilvántartások és elszámoltathatóság. A privacy by design/default és accountability by design részek nem csak jogi nyilatkozatként, hanem működési kontrollként jelennek meg.
OWASP Top 10 for LLM Applications / GenAI security guidance - ahol releváns és szerződésben vállalt Prompt injection, adatszivárgás, output-kezelés, túlzott jogosultság, beszállítói és ügynöki/agentic kockázatok. LLM-et, agentic workflow-t vagy chatbotot érintő projektekben a biztonsági tervezés nem korlátozódik klasszikus webapp-kockázatokra.

4.3 Cogniforce Compliance-Centric Delivery Model

A Cogniforce megkülönböztető szakmai megközelítése, hogy a megfelelőséget nem utólagos jogi ellenőrzési rétegként, hanem a technológiai delivery részének tekinti. Ez azt jelenti, hogy a releváns adatvédelmi, információbiztonsági, AI-governance, szerződéses, beszállítói és ügyféloldali compliance szempontokat már a célmeghatározás, tervezés, fejlesztés, bevezetés és változáskezelés során figyelembe kell venni.

Ez a megközelítés egyszerre támogatja az ügyfélbizalmat, a vendor due diligence folyamatokat, a felelős beszerzést, a hatósági megfelelés demonstrálhatóságát és azt, hogy a technológiai megoldás ne csak működőképes, hanem ellenőrizhető, dokumentálható és felelősen üzemeltethető legyen.

Delivery réteg Compliance-központú működés
Jogszabályi és szerződéses követelmények A releváns AI-, adatvédelmi, információbiztonsági, kiberbiztonsági, e-kereskedelmi, marketing-, szerzői jogi, ágazati és szerződéses követelményeket projektkövetelményekké, elfogadási kritériumokká és kontrollpontokká fordítjuk, az adott projekt jellegéhez és kockázatához igazodva.
Technológiai architektúra Az adatáramlás, hozzáférés-kezelés, naplózás, integráció, modell/API-használat, adatmegőrzés, tesztadat-kezelés, incidensútvonal és beszállítói kapcsolódás tervezési kérdés, nem pusztán utólagos dokumentációs feladat.
Fejlesztési életciklus A privacy, security, compliance, AI-governance és vendor governance szempontok megjelennek a specifikációban, architektúrában, fejlesztésben, tesztelésben, élesítésben, átadásban és változáskezelésben.
Bizonyíték és auditálhatóság A kontrollokhoz olyan dokumentációs és működési artefaktumok kapcsolhatók, amelyek ügyfél-, beszállítói, belső audit-, procurement- vagy hatósági kérdések esetén demonstrálhatják a gondos, kockázatarányos és dokumentált eljárást.
Ügyféloldali használat A Cogniforce nemcsak technológiai megoldást ad át, hanem segít láthatóvá tenni a rendszer célját, működési logikáját, ismert korlátait, emberi kontrollpontjait, adatkezelési összefüggéseit és felelősségi rendjét is.
Folyamatos működés és változáskezelés A felelős technológiai működés nem ér véget az átadással. Új adatforrás, új modell, új integráció, új felhasználási cél, érdemi konfigurációs változás vagy beszállítói változás esetén szükség lehet a kontrollok, dokumentációk és kockázati értékelések felülvizsgálatára.

Komplexebb vagy magasabb kockázatú projektekben a Cogniforce számára szükség esetén rendelkezésre áll piacvezető, díjnyertes és nemzetközi tapasztalattal rendelkező AI-, adatvédelmi és digitális szabályozási jogi szakértői támogatás. Ez a támogatás elősegítheti, hogy a technológiai megoldás felelősségi, adatkezelési, kockázati és ügyféloldali megfelelési keretei megfelelően értékelhetők, dokumentálhatók és ügyféloldali vagy hatósági kérdések esetén alátámaszthatók legyenek.

Ez különösen releváns lehet magas kockázatú vagy potenciálisan magas kockázatú AI-rendszerek, banki, biztosítási, HR-, munkahelyi, egészségügyi vagy más erősen szabályozott felhasználások, személyeket érintő értékelés, rangsorolás, megfigyelés vagy döntéstámogatás, érzékeny adatok kezelése, EGT-n kívüli adattovábbítás, külső AI-modell/API használata, illetve DPIA, AI-kockázatértékelés, érdekmérlegelési teszt, transzferhatás-vizsgálat vagy más compliance jóváhagyás szükségessége esetén.

4.4 By design és by default szakmai alapelvek

Az alábbi elvek azt mutatják be, hogy a Cogniforce hogyan fordítja le a magas szintű compliance-, adatvédelmi, AI-governance, információbiztonsági és kiberbiztonsági elvárásokat konkrét fejlesztési, bevezetési, üzemeltetési és projektirányítási kontrollokká.

Az elvek nem minden projektben azonos mélységben alkalmazandók. A kontrollok részletezettsége az adott megoldás céljától, kockázati profiljától, az érintett adatok jellegétől, az automatizáció fokától, az ügyféloldali felhasználási környezettől és a szerződéses szerepmegosztástól függ.

Elv Szakmai jelentés Cogniforce kontrollszintű megjelenése
Privacy by Design Az adatvédelmi követelmények nem utólagos jogi ellenőrzési pontként, hanem a célmeghatározás, architektúra, adatmodell, hozzáférés-kezelés és üzemeltetési folyamat részeként jelennek meg. Adatáramlási térkép, cél- és jogalap-tisztázás, adatminimalizálás, adatkezelési szerepek, adatmegőrzési szabályok, hozzáférési kontrollok és DPIA-trigger már a projekttervezés során.
Privacy by Default A rendszer alapértelmezett beállításai a szükséges legkisebb adatkört, hozzáférést, láthatóságot és megőrzési időt alkalmazzák. Nincs indokolatlan naplózás, túl széles jogosultság, automatikus publikusság, alapértelmezett tracking vagy szükségtelen éles adat használata.
Compliance by Design A releváns jogi, ágazati, szerződéses és beszerzési követelmények termék- és projektkövetelményekké alakulnak, nem csak átadás előtti jogi mellékletté. Compliance követelménylista, felelősségi mátrix, elfogadási kritériumok, dokumentációs outputok, kontrollpontok és kontrollbizonyítékok kerülnek a delivery folyamatba.
Security by Design A biztonsági kontrollok az architektúrába és a fejlesztési életciklusba épülnek: jogosultságkezelés, titokkezelés, naplózás, titkosítás, validáció, tesztelés és sérülékenység-kezelés. A biztonság nem utólagos hardening, hanem követelmény a tervezésben, fejlesztésben, konfigurációban, integrációban, élesítésben és üzemeltetésben.
Security by Default A megoldás alapértelmezés szerint biztonságosabb működésre törekszik, és nem várja el, hogy az ügyfél utólag fedezze fel a kockázatos beállításokat. Korlátozott alapjogosultságok, kontrollált adminisztrátori hozzáférés, kikapcsolt szükségtelen funkciók, biztonságos konfiguráció és élesítés előtti ellenőrzés.
Accountability by Design A döntések, szerepek, adatáramlások, kontrollok és lényeges változtatások utólag is igazolható módon dokumentálhatók. Projektjegyzőkönyvek, kontrollmátrix, változásnapló, adatkezelési szerepek, beszállítói döntések, felelősségi pontok és releváns jóváhagyások rögzítése.
Transparency by Design A felhasználók és ügyfelek számára a rendszer célja, működése, korlátai és emberi kontrolljai érthető módon kommunikálhatók. AI- vagy automatizációs tájékoztató, demo-disclaimer, output-korlátok, ügyféloldali dokumentáció, felhasználói kommunikációs minták és szükség esetén transzparencia-kötelezettségi kontrollok.
Human Oversight by Design Ahol a technológia személyeket vagy lényeges üzleti döntéseket érinthet, a felülvizsgálat, beavatkozás és felülbírálat lehetősége előre tervezett kontroll. Human-in-the-loop, human-on-the-loop vagy human-in-command kontrollmodell az automatizáció kockázatához, a döntési környezethez és az érintetti hatáshoz igazítva.
Risk Management by Design A technológiai, adatvédelmi, AI-, kiberbiztonsági, beszállítói és üzleti kockázatokat strukturáltan, a projekt életciklusában kell kezelni. Kockázati besorolás, DPIA/AIA-screening, beszállítói review, residual risk döntések, kontrollfrissítés és újraértékelés lényeges változás esetén.
Data Governance by Design Az adatok eredete, minősége, célja, hozzáférése, megőrzése, továbbítása és tesztelési felhasználása a rendszertervezés része. Data lineage, adatminőségi kontroll, forrásrendszer-azonosítás, adatgazdák, adatretenció, adatmaszkolás, tesztadat-stratégia és adatáramlási dokumentáció.
Model Governance by Design AI-modell vagy külső AI API használatakor a modellválasztás, verzió, input/output kontroll, értékelés, ismert korlátok és beszállítói feltételek dokumentáltak. Model/provider assessment, prompt- és output-kontroll, verziókezelés, evalok, red teaming jellegű vizsgálat, modellváltási eljárás és modellhasználati korlátok, ahol releváns.
Vendor Governance by Design Felhő-, AI-, RPA-, API- és SaaS-beszállítók használatakor a compliance lánc is bővül, ezért a beszállítói kontroll nem adminisztratív formalitás. DPA, SCC/transfer assessment, al-adatfeldolgozói review, biztonsági dokumentáció, rendelkezésre állási, adatfelhasználási, exit- és portability szempontok értékelése.
Auditability and Evidence by Design Hatósági, ügyféloldali vagy vendor due diligence kérdésekre akkor lehet meggyőzően válaszolni, ha a kontrollok mögött megfelelő bizonyíték is keletkezik. Kontroll evidence pack: kockázatértékelések, adatáramlási ábrák, döntési és változáslogok, tesztjegyzőkönyvek, hozzáférési review-k, beszállítói értékelések és dokumentációs outputok.
Explainability and Contestability by Design Ahol az output személyt vagy lényeges üzleti folyamatot érint, a magyarázhatóság, értelmezhetőség és vitathatóság a bizalmi működés része. Output-értelmezési útmutató, emberi review, hibajelzési és korrekciós mechanizmus, eszkalációs út, panasz- vagy kifogáskezelési lehetőség, ahol szükséges.
Fairness and Non-Discrimination by Design A méltányosság nem általános etikai állítás, hanem adat-, folyamat-, tesztelési, hozzáférhetőségi és emberi felügyeleti kérdés. Érzékenyebb vagy személyeket érintő felhasználásnál torzítási kockázatok, proxy-változók, csoporthatások, hozzáférhetőség, reprezentativitás és aránytalan hatás vizsgálata.
Resilience and Fail-Safe by Design Az automatizált rendszernek kezelnie kell a hibát, bizonytalanságot, szolgáltatói kiesést, rossz inputot, váratlan outputot és kivételes működési helyzeteket. Rollback, leállítás, kivételkezelés, fallback folyamat, emberi jóváhagyás, monitorozás, hibajelzés és incidenskezelés a megoldás kockázatához igazítva.
Lifecycle Governance by Design A felelős technológia nem ér véget az átadással: új adatforrás, új modell, új integráció, új felhasználási cél vagy lényeges konfigurációs változás újraértékelést igényelhet. Release governance, change impact assessment, periodic review, sunset/retirement terv, supplier change review, kontrollfrissítés és dokumentációfrissítés.
Regulatory Horizon Scanning by Design A gyorsan változó AI-, adat-, kiberbiztonsági és digitális szabályozási környezet miatt a megfelelés nem statikus állapot. Jogszabályi, hatósági és piaci standardfejlemények követése, szerződéses és dokumentációs frissítési mechanizmusok, ügyfélértesítési vagy újraértékelési pontok, ahol releváns.

4.5 Bizalmi és bizonyítási réteg ügyfelek, vendorként értékelő partnerek és hatósági megfelelés számára

A jelen dokumentum célja nem tanúsítvány, auditjelentés vagy formális megfelelőségi igazolás helyettesítése, hanem egy olyan nyilvános, ellenőrizhető és szakmailag strukturált szemlélet bemutatása, amely támogatja a felelős beszerzést, a vendor due diligence folyamatokat, az ügyféloldali compliance értékelést és a hatóságálló megfelelési narratívát.

A Cogniforce megközelítése szerint a felelős technológiai működés nemcsak elvi vállalásokból áll, hanem olyan dokumentációs, kontroll- és bizonyítási rétegből is, amely adott projekt esetén segítheti a döntések, szerepek, adatáramlások, kockázatok, beszállítói függőségek és emberi kontrollpontok utólagos igazolhatóságát.

Az alábbi táblázat indikatív jellegű: nem jelenti azt, hogy minden felsorolt bizonyíték vagy kontrollartefaktum minden projektben automatikusan létrejön. Az alkalmazandó dokumentációs és kontrollszintet az adott projekt jellege, kockázata, szerződéses kerete és ügyféloldali megfelelési igénye határozza meg.

Bizalmi / megfelelési cél Indikatív bizonyítékok és kontrollartefaktumok
Hatósági megfelelés demonstrálása Jogi hivatkozási térkép, adatkezelési szerepek tisztázása, DPIA/AIA-trigger, érdekmérlegelési vagy transzferhatás-vizsgálati szempontok, kontrollmátrix, naplózás, döntési dokumentáció és lényeges kockázati döntések rögzítése.
Ügyfélbizalom építése Átlátható rendszerleírás, cél- és felhasználási eset leírása, ismert korlátok, felelősségi rend, emberi felügyeleti pontok, support- és hibakezelési útvonal, biztonságos alapbeállítások és ügyféloldali kommunikációs elemek.
Vendor due diligence támogatása Beszállítói és alvállalkozói információk, DPA/SCC vagy más adattovábbítási státusz, security dokumentáció, adatfeldolgozási és hozzáférési modell, al-adatfeldolgozói kontroll, rendelkezésre állási, exit- és portability szempontok.
Fejlesztési minőség bizonyítása SDLC/DevSecOps kontrollok, specifikációs és elfogadási kritériumok, teszteredmények, változáskezelési nyomvonal, release dokumentáció, sérülékenység-kezelési, titokkezelési és konfigurációs kontrollok.
AI és automatizációs kockázatok kezelése Model/provider assessment, prompt- és output-kontroll, emberi review, red-team jellegű vagy ellenállóképességi tesztelés, evalok, drift- és változásfigyelés, modellváltási eljárás és ismert korlátok dokumentálása, ahol releváns.
Adatvédelmi és információbiztonsági kontrollok igazolása Adatáramlási térkép, cél- és jogalap-tisztázás, hozzáférési kontrollok, adatminimalizálási döntések, retention szabályok, naplózási logika, incidensútvonal és beszállítói adatvédelmi / biztonsági értékelés.
Üzleti megkülönböztetés Compliance-centric delivery modell, beépített dokumentáció, ellenőrizhető kontrollok, ügyféloldali jogi, procurement, security és compliance kérdésekre előkészített válaszok, valamint felelős technológiai működésre épülő bizalmi pozicionálás.

5. Alapelveink

A Cogniforce felelős technológiai megközelítése az alábbi alapelvekre épül. Ezek az alapelvek nem önálló garanciavállalások, hanem olyan szakmai és működési irányok, amelyek az adott projekt jellegéhez, kockázatához, technológiai környezetéhez és szerződéses keretéhez igazodva jelennek meg a tervezésben, fejlesztésben, bevezetésben és támogatásban.

Alapelv Mit jelent Gyakorlati alkalmazás
1. Emberközpontú és üzletileg értelmes technológia A Cogniforce technológiai megoldásainak célja, hogy mérhető üzleti értéket teremtsenek, miközben tiszteletben tartják az emberek jogait, méltóságát, magánszféráját és jogos elvárásait. A megoldás célját, érintettjeit, várható hatását, üzleti értékét és kockázati profilját a projekt elején tisztázzuk. Nem támogatunk olyan technológiai megoldást, amelynek célja, üzleti értéke vagy kockázati kerete nem kellően tisztázott pusztán azért, mert technikailag megvalósítható.
2. Emberi felügyelet és döntési felelősség Az AI-, RPA- és automatizációs rendszerek elsősorban támogatják, gyorsítják vagy strukturálják az emberi munkát; nem helyettesítik automatikusan a felelős üzleti, jogi vagy szakmai döntést. Magasabb kockázatú vagy személyeket érintő felhasználásnál emberi ellenőrzési, beavatkozási, jóváhagyási vagy felülbírálati pontokat tervezünk be, az adott döntési környezethez és kockázathoz igazodva.
3. Átláthatóság, magyarázhatóság és érthető kommunikáció A technológia megbízhatóságának alapja, hogy az ügyfél és az érintett felhasználók értsék, mire szolgál a rendszer, milyen adatokat használ, milyen outputokat állít elő, mire alkalmas, és hol vannak a korlátai. Projekt-dokumentációban vagy kapcsolódó ügyféloldali anyagokban rögzítjük a fő funkciókat, adatáramlásokat, integrációkat, outputokat, ismert korlátokat, emberi kontrollpontokat és felelősségi köröket.
4. Adatvédelem, adatminimalizálás és célhoz kötöttség A személyes adatokat, ügyféladatokat és bizalmas információkat csak meghatározott, jogszerű és dokumentált célból, a szükséges mértékben kezeljük. Adatvédelmi szempontokat már a tervezési szakaszban figyelembe veszünk. Ügyféladatot, személyes adatot vagy védett tartalmat modelltréningre, finomhangolásra vagy másodlagos célra csak megfelelő szerződéses felhatalmazás, jogalap és biztonsági keret mellett használunk.
5. Méltányosság, hozzáférhetőség és diszkriminációmentesség Az automatizált vagy AI-támogatott rendszerek nem működhetnek olyan módon, amely indokolatlanul hátrányos helyzetbe hoz személyeket vagy csoportokat, vagy aránytalan hatást gyakorol rájuk. Személyeket érintő, érzékenyebb vagy magasabb kockázatú felhasználásoknál vizsgáljuk a lehetséges torzításokat, proxy-változókat, aránytalan hatásokat, hozzáférhetőségi szempontokat és emberi felülvizsgálati lehetőségeket.
6. Biztonság, megbízhatóság és ellenállóképesség A technológiai bizalom nemcsak etikai vagy jogi, hanem mérnöki kérdés is: hozzáférés-kezelés, naplózás, titokkezelés, biztonságos konfiguráció, változáskezelés és incidenskezelés nélkül nincs felelős működés. A megoldás kockázatához igazodó technikai és szervezési intézkedéseket alkalmazunk vagy javaslunk, ideértve a jogosultsági kontrollokat, naplózást, biztonsági beállításokat, beszállítói kockázatok kezelését és incidenskezelési útvonalakat.
7. Adatminőség, tesztelés és validáció A rendszer teljesítménye csak annyira megbízható, amennyire a célmeghatározás, az adatok, a logika, az integrációk és a tesztelés megbízhatók. A fejlesztés során funkcionális, biztonsági, integrációs és – ahol releváns – minőségi, torzítási, output-konzisztencia vagy használati esethez igazított validációs vizsgálatokat alkalmazunk.
8. Dokumentálhatóság, nyomon követhetőség és elszámoltathatóság Felelős technológia nem működhet utólag rekonstruálhatatlan döntési, adatkezelési és üzemeltetési folyamatokkal. A projekt jellegéhez igazodva dokumentáljuk a szerepeket, döntési pontokat, adatáramlásokat, változtatásokat, naplózási logikát, beszállítói döntéseket és üzemeltetési felelősségeket.
9. Beszállítói és modellhasználati kontroll Felhő-, AI-, API-, RPA-, SaaS- és más technológiai szolgáltatók használata esetén a felelősség nem tűnik el, hanem a kockázati és megfelelési lánc bővül. Értékeljük vagy az ügyféllel együtt tisztázzuk a harmadik fél szolgáltatók adatvédelmi, információbiztonsági, rendelkezésre állási, adatfelhasználási, nemzetközi adattovábbítási és szerződéses feltételeit, és a lényeges kockázatokat a projektben kezeljük.
10. Folyamatos felülvizsgálat és felelős fejlődés Az AI, az automatizáció, a felhőszolgáltatások és a digitális szabályozás gyorsan változik; ezért a felelős működés nem egyszeri nyilatkozat, hanem folyamatos irányítási gyakorlat. A megoldásokat, kontrollokat, dokumentációkat és beszállítói hátteret a technológiai, jogi, biztonsági és üzleti változásokhoz igazodva felülvizsgáljuk vagy felülvizsgálatra javasoljuk.

6. Hogyan alkalmazzuk ezeket az elveket a gyakorlatban?

Az alapelvek akkor teremtenek valódi értéket, ha konkrét projekt-, termékfejlesztési és üzemeltetési gyakorlatokban is megjelennek. A Cogniforce ezért a megoldás jellegéhez, kockázatához, adatkezelési környezetéhez, automatizációs szintjéhez és szerződéses szerepmegosztásához igazodva az alábbi kontrollokat alkalmazza, illetve ügyféloldali felelősségi kör esetén javasolja és dokumentálja.

Életciklus-szakasz Felelős technológiai kontrollok
Előkészítés A cél, üzleti igény, érintetti kör, adatforrások, rendszerkapcsolatok, várható outputok, kockázati szint, ügyféloldali felhasználási környezet és felelősségi rend azonosítása.
Tervezés Adatvédelmi, információbiztonsági, hozzáférési, naplózási, adatmegőrzési, emberi felügyeleti, hibakezelési és beszállítói kontrollok beépítése a megoldás architektúrájába.
Fejlesztés Verziókezelés, hozzáférés-korlátozás, titokkezelés, elkülönített fejlesztési és tesztkörnyezetek, kód- és konfigurációs kontrollok, valamint dokumentált fejlesztési és review folyamatok alkalmazása.
Tesztelés és validáció Funkcionális tesztek, jogosultsági és adatáramlási ellenőrzések, integrációs tesztek, output-minőségi vizsgálatok, biztonsági ellenőrzések, valamint szükség esetén torzítási, aránytalan hatásra vagy használati esetre irányuló validációs vizsgálatok.
Bevezetés Üzemeltetési felelősségek, emberi ellenőrzési pontok, incidens- és hibakezelési folyamatok, support útvonalak, felhasználói tájékoztatás, képzési igények és átadás-átvételi dokumentáció rögzítése.
Üzemeltetés és változáskezelés Naplózás, monitorozás, jogosultság-felülvizsgálat, változtatások dokumentálása, beszállítói változások követése, kontrollok frissítése, valamint új adatforrás, új modell, új integráció vagy lényeges felhasználási változás esetén újraértékelés.
Kivonás vagy átállás A megoldás megszüntetése, lecserélése vagy migrációja esetén az adatok törlésének, visszaadásának, archiválásának, hozzáférések megszüntetésének, dokumentációk lezárásának és ügyféloldali átállás támogatásának kezelése.

7. Mesterséges intelligencia használata

A Cogniforce az AI-t nem önálló döntéshozóként, hanem olyan technológiai komponensként kezeli, amely megfelelő cél, adatkörnyezet, emberi felügyelet és kontroll mellett támogathatja az üzleti folyamatokat. Az AI alkalmazása különösen információkinyerésre, szöveg- vagy dokumentum-automatizációra, ügyfélkommunikáció támogatására, folyamatoptimalizálásra, elemzésre, osztályozásra, keresésre, tudásbázis-alapú válaszadásra, tartalom-előkészítésre vagy más döntéstámogató funkcióra irányulhat.

AI-alapú vagy AI-t is tartalmazó megoldásoknál különösen az alábbiakat vizsgáljuk:

  • mire szolgál a rendszer, és milyen döntési, üzleti vagy operatív folyamatot támogat;
  • milyen adatokat használ, azok honnan származnak, és szükségesek-e a meghatározott célhoz;
  • az output tájékoztató, előkészítő, ajánló, döntéstámogató vagy operatív automatizációs szerepet tölt-e be;
  • szükséges-e emberi felülvizsgálat, jóváhagyás, felülbírálat, hibajavítási vagy panaszkezelési mechanizmus;
  • fennállhat-e diszkriminációs, torzítási, adatvédelmi, információbiztonsági, félrevezetési, túlzott automatizációs vagy alapjogi kockázat;
  • milyen transzparencia-, felhasználói tájékoztatási, dokumentációs vagy ügyféloldali compliance követelmény kapcsolódik a használathoz;
  • a megoldás tartozhat-e az EU AI Act szerinti tiltott AI-gyakorlatok, magas kockázatú AI-rendszerek, átláthatósági kötelezettség alá tartozó AI-rendszerek vagy általános célú AI-modellekhez kapcsolódó kötelezettségek körébe;
  • szükséges-e adatvédelmi hatásvizsgálat, AI-kockázatértékelés, beszállítói / modellhasználati értékelés, emberi felügyeleti modell vagy ügyféloldali belső jóváhagyás.
AI-demo, chatbot vagy interaktív bemutató

A Cogniforce weboldalán, demóiban vagy bemutatóiban elérhető AI- vagy automatizációs funkciók – eltérő kifejezett tájékoztatás hiányában – technológiai és üzleti tájékoztatási célt szolgálnak. Ezek a funkciók nem minősülnek jogi, pénzügyi, adózási, egészségügyi, HR-, compliance- vagy más szabályozott szakmai tanácsadásnak, és nem hoznak az érintettekre nézve joghatással vagy hasonlóan jelentős hatással járó döntést.

Az ilyen demók, chatbotok vagy interaktív funkciók célja a technológiai működés, a felhasználási lehetőségek vagy az üzleti koncepció bemutatása. Az általuk előállított output tájékoztató, demonstrációs vagy előzetes jellegű, és magasabb kockázatú, személyeket érintő, jogi, pénzügyi, HR-, egészségügyi, compliance vagy más jelentős döntési helyzetben nem használható emberi szakmai értékelés nélkül.

8. RPA, workflow-automatizáció és rendszerintegráció

Az RPA, a workflow-automatizáció és a rendszerintegráció sok esetben nem minősül mesterséges intelligenciának, de ettől függetlenül jelentős üzleti, adatvédelmi, információbiztonsági, működési vagy compliance kockázatot hozhat létre. Egy automatizált folyamat hibás jogosultsággal, pontatlan adattal, nem megfelelő kivételkezeléssel, hiányos naplózással vagy hibás integrációval ugyanúgy okozhat kárt, mint egy rosszul kontrollált AI-rendszer.

A Cogniforce ezért az RPA-, workflow-, automatizációs és integrációs projektekben nemcsak a technikai megvalósítást, hanem az automatizált folyamat célját, adatáramlásait, jogosultságait, kivételkezelését, naplózhatóságát, üzleti hatását és üzemeltetési felelősségeit is vizsgálja.

Ezért RPA- és integrációs projektekben különösen az alábbi kontrollokat tartjuk fontosnak:

  • a legkisebb szükséges jogosultság elve, technikai felhasználók és szolgáltatásfiókok kontrollja;
  • hozzáférési jogosultságok, adminisztrátori hozzáférések és rendszerkapcsolatok dokumentálása;
  • naplózás, futási riportok, hibajelzési folyamatok és rendellenes működés észlelésére alkalmas monitoring;
  • kivételkezelési, leállítási, visszaállítási, rollback és emberi jóváhagyási pontok meghatározása;
  • tesztkörnyezet és éles környezet megfelelő elválasztása;
  • éles adatok tesztelési célú használatának korlátozása, maszkolása vagy más megfelelő védelme;
  • adatminőségi ellenőrzések, duplikációkezelés, hibás adatkezelési szabályok és inputvalidáció;
  • változáskezelés, verziózás, konfigurációs kontrollok és release dokumentáció;
  • dokumentált üzemeltetési, support-, hibakezelési és ügyféloldali felelősségek;
  • beszállítói, API-, felhő- vagy al-adatfeldolgozói függőségek azonosítása és kezelése.
  • Amennyiben az automatizáció személyeket érintő értékelést, rangsorolást, jogosultsági döntést, monitoringot, munkavállalói vagy ügyféladatok kezelését, pénzügyi vagy compliance folyamatot, illetve más magasabb kockázatú üzleti döntési pontot támogat, további adatvédelmi, AI-governance, információbiztonsági vagy jogi értékelés is indokolt lehet.

9. Adatvédelem és ügyféladatok kezelése

A Cogniforce kiemelten kezeli az ügyféladatok, személyes adatok, üzleti titkok, bizalmas információk és technikai adatok védelmét. A felelős technológiai működés része, hogy az adatkezelési szerepek, adatáramlások, hozzáférések, adatmegőrzési szabályok, beszállítói kapcsolatok és biztonsági kontrollok már a projekt tervezési és megvalósítási szakaszában tisztázottak legyenek.

A projekt jellegétől és a konkrét adatkezelési helyzettől függően a Cogniforce eljárhat önálló adatkezelőként, közös adatkezelőként vagy adatfeldolgozóként. E szerepeket és felelősségeket az adott projekt szerződésében, adatfeldolgozási megállapodásában, adatkezelési dokumentációjában, műszaki specifikációjában vagy más projektdokumentációban kell pontosítani.

Alapértelmezett adatvédelmi megközelítésünk:

  • csak a meghatározott célhoz szükséges adatokat kérjük, használjuk vagy továbbítjuk;
  • az adatkezelési célokat, szerepeket, jogalapokat, adatforrásokat, adattovábbításokat és megőrzési időket az adott projekt jellegéhez igazodva tisztázzuk;
  • ügyféladatot, személyes adatot, üzleti titkot, bizalmas információt vagy védett tartalmat nem használunk általános modelltréningre, finomhangolásra, harmadik fél céljára vagy másodlagos célra kifejezett felhatalmazás, megfelelő jogalap és megfelelő biztonsági keret nélkül;
  • személyes adatok kezelése esetén figyelembe vesszük a GDPR jogalapra, tájékoztatásra, adatminimalizálásra, célhoz kötöttségre, adatbiztonságra, érintetti jogokra, adatfeldolgozásra és nemzetközi adattovábbításra vonatkozó követelményeit;
  • adatfeldolgozói helyzetben az ügyfél dokumentált utasításai, az adatfeldolgozási megállapodás és az alkalmazandó biztonsági, al-adatfeldolgozói és adattovábbítási feltételek keretei szerint járunk el;
  • a szükségtelen adathozzáférést, adatmásolatot, túlzott naplózást, indokolatlan adatmegőrzést és éles adatokkal történő szükségtelen tesztelést kerülni kell;
  • ahol lehetséges és indokolt, teszteléshez, fejlesztéshez vagy validációhoz anonimizált, álnevesített, maszkolt vagy szintetikus adatokat kell előnyben részesíteni;
  • magasabb kockázatú, személyeket érintő vagy érzékeny adatokat kezelő projektek esetén szükség lehet adatvédelmi hatásvizsgálatra, érdekmérlegelési tesztre, AI-kockázatértékelésre, transzferhatás-vizsgálatra vagy más ügyféloldali compliance jóváhagyásra.
  • A Cogniforce weboldalain és általános kommunikációs csatornáin nem cél különleges személyes adatok, üzleti titkok, bizalmas vállalati dokumentumok vagy harmadik személyek személyes adatainak bekérése. Ilyen adatok kezelése csak megfelelő szerződéses, adatvédelmi, információbiztonsági és technikai keret mellett történhet.

10. Tiltott és nem támogatott felhasználások

A Cogniforce nem kíván olyan technológiai megoldásokat fejleszteni, bevezetni, integrálni vagy támogatni, amelyek célja, működése vagy ésszerűen előrelátható hatása ellentétes az alapvető jogokkal, az alkalmazandó jogszabályokkal, az ügyféllel megállapodott szerződéses és biztonsági keretekkel, vagy a jelen dokumentumban rögzített felelős technológiai alapelvekkel.

A Cogniforce különösen nem támogat olyan felhasználásokat, amelyek célja vagy ésszerűen előrelátható hatása:

  • jogellenes, megtévesztő, manipulatív, kényszerítő vagy az érintettek autonómiáját indokolatlanul korlátozó technológiai működés;
  • személyek vagy csoportok diszkriminatív, zaklató, indokolatlanul hátrányos, kizsákmányoló vagy méltóságot sértő kezelése;
  • tiltott, jogellenes vagy megfelelő jogalappal, szükségességgel és arányossággal nem igazolható biometrikus azonosítás, biometrikus kategorizálás, érzelemfelismerés, megfigyelés, profilalkotás vagy viselkedéselemzés;
  • olyan automatizált döntéshozatal vagy döntéstámogatás, amely megfelelő jogalap, tájékoztatás, emberi felügyelet, dokumentált felelősségi rend és jogorvoslati vagy vitatási lehetőség nélkül jár joghatással vagy hasonlóan jelentős hatással;
  • ügyféladatok, személyes adatok, üzleti titkok, védett tartalmak vagy bizalmas információk jogosulatlan felhasználása modelltréningre, finomhangolásra, továbbításra, nyilvánosságra hozatalra vagy másodlagos célra;
  • biztonsági kontrollok megkerülése, jogosulatlan hozzáférés, credential harvesting, adatkinyerés, visszaélés, csalás, károkozás vagy más jogellenes informatikai tevékenység;
  • olyan rendszer vagy automatizált folyamat létrehozása, amelynek érdemi működése, adatforrása, outputja, felelősségi rendje vagy emberi kontrollja az ügyfél, a felhasználók vagy az érintettek számára nem tisztázható megfelelően;
  • olyan felhasználás, amelynél a szükséges adatvédelmi, információbiztonsági, AI-governance, ágazati vagy ügyféloldali compliance feltételek nem alakíthatók ki megfelelően.
  • A Cogniforce fenntartja annak lehetőségét, hogy egy projektet, funkciót vagy felhasználási esetet elutasítson, módosításra javasoljon, további értékeléshez kössön vagy megfelelő szerződéses, adatvédelmi, biztonsági és governance feltételek kialakítását kérje, ha a felhasználás kockázatai ezt indokolják.

11. Ügyfélspecifikus felelősségi rend

A Cogniforce B2B környezetben működik. Számos projektben az ügyfél határozza meg a technológia üzleti célját, az adatforrásokat, a felhasználói környezetet, a downstream döntési folyamatokat, az érintett személyi kört és azt, hogy a rendszer outputját hogyan használják fel a saját működésében.

Ezért a felelős technológiai működés közös irányítási feladat. A Cogniforce a szerződéses szerepéhez igazodva technológiai, fejlesztési, adatfeldolgozói, integrációs, support- vagy tanácsadói feladatokat láthat el, míg az ügyfél felelős lehet a saját üzleti céljaiért, belső döntési folyamataiért, jogszerű adatforrásaiért, felhasználói tájékoztatásáért, ágazati megfeleléséért és a rendszer outputjainak megfelelő használatáért.

Az alábbi táblázat általános felelősségi logikát mutat be. A konkrét felelősségi rendet mindig az adott szerződés, adatfeldolgozási megállapodás, műszaki specifikáció, projektterv, információbiztonsági melléklet vagy más projektdokumentáció határozza meg.

Téma Cogniforce szerepe Ügyfél szerepe
Cél és felhasználási eset Technikai és szakmai támogatás, megvalósíthatósági, adatvédelmi, biztonsági, AI-governance és kockázati szempontok jelzése a szerződéses szerephez igazodva. Az üzleti cél, felhasználási környezet, döntési folyamat, érintetti kör és ügyféloldali megfelelési elvárások meghatározása.
Adatok Adatáramlások, integrációk, hozzáférések, naplózási logika, technikai kontrollok és adatfeldolgozói működés kialakítása vagy támogatása az irányadó dokumentáció szerint. Jogszerű adatforrások, adatminőség, adatkezelési jogalapok, érintetti tájékoztatás, belső jogosultságok és ügyféloldali adatkezelési döntések biztosítása.
Outputok használata A rendszer működésének, ismert korlátainak, output-típusainak, ellenőrzési pontjainak és releváns technikai feltételeinek dokumentálása. Az outputok megfelelő értelmezése, emberi döntési folyamatba illesztése, felülvizsgálata, szükség szerinti korrekciója és a végső ügyféloldali döntések meghozatala.
Emberi felügyelet A technológiai megoldásba beépíthető emberi ellenőrzési, jóváhagyási, eszkalációs vagy felülbírálati pontok támogatása és dokumentálása. Az emberi felügyelet tényleges működtetése, a megfelelő belső felelősök kijelölése, a döntéshozók képzése és a felülvizsgálati folyamat fenntartása.
Megfelelés Adatfeldolgozói, technikai, fejlesztési, integrációs, support- vagy tanácsadói kötelezettségek teljesítése a szerződés, DPA és projektdokumentáció szerint. Saját jogi, HR-, munkajogi, adatvédelmi, ágazati, üzleti, kiberbiztonsági és belső compliance kötelezettségek teljesítése.
Beszállítók és külső szolgáltatók A Cogniforce által igénybe vett releváns technológiai szolgáltatók, alvállalkozók vagy al-adatfeldolgozók szerződéses és biztonsági kontrolljainak kezelése az irányadó feltételek szerint. Az ügyfél által választott vagy előírt rendszerek, adatforrások, integrációk, belső szolgáltatók és további downstream felhasználások megfelelőségének biztosítása.
Változáskezelés A Cogniforce által kezelt vagy támogatott technikai változások, release-ek, konfigurációs módosítások és beszállítói változások dokumentálása vagy jelzése a szerződéses keretek szerint. Az ügyféloldali felhasználási cél, szervezeti folyamat, döntési logika, adatforrás vagy jogi környezet változásának jelzése, és szükség esetén belső újraértékelés kezdeményezése.

12. Projekt-szintű governance ellenőrzőlista

Magasabb kockázatú, személyeket érdemben érintő, erősen szabályozott környezetben alkalmazott vagy komplex adatáramlással, AI-komponenssel, automatizációval vagy külső szolgáltatóval működő projektekben javasolt legalább az alábbi kérdések dokumentált tisztázása.

Ez az ellenőrzőlista nem helyettesíti az adott projektre vonatkozó szerződéses, adatvédelmi, információbiztonsági, AI-governance vagy ágazati megfelelőségi értékelést, de segíthet azonosítani azokat a kérdéseket, amelyeket a projekt előkészítése, tervezése, bevezetése vagy módosítása során kezelni kell.

  • Mi a megoldás pontos célja, és milyen döntési, üzleti, operatív vagy támogatási folyamatot szolgál?
  • Kik az érintett felhasználók, ügyfelek, munkavállalók, álláspályázók, fogyasztók vagy más természetes személyek?
  • Milyen személyes, üzleti, technikai, bizalmas vagy érzékeny adatokat használ a rendszer?
  • Mi az adatok forrása, ki felel az adatminőségért, és szükségesek-e az adatok a meghatározott célhoz?
  • Van-e AI-komponens, külső AI-modell vagy API, RPA-bot, autonóm folyamat, rendszerintegráció vagy jelentős beszállítói függőség?
  • Az output tájékoztatás, javaslat, rangsorolás, scoring, jóváhagyási előfeltétel, riasztás, döntéstámogatás vagy automatikus művelet?
  • Érinthet-e a megoldás joghatással járó vagy hasonlóan jelentős döntést, magas kockázatú AI-felhasználást, munkavállalói / HR-folyamatot, banki, biztosítási, egészségügyi, oktatási, megfigyelési vagy más érzékeny felhasználási helyzetet?
  • Milyen emberi felülvizsgálati, jóváhagyási, beavatkozási, felülbírálati, hibajavítási, eszkalációs vagy panaszkezelési mechanizmus szükséges?
  • Milyen adatvédelmi, információbiztonsági, titokvédelmi, AI-governance, beszállítói, szerzői jogi, ágazati vagy üzleti kockázatok merülnek fel?
  • Szükséges-e adatvédelmi hatásvizsgálat, AI-kockázatértékelés, érdekmérlegelési teszt, transzferhatás-vizsgálat, kiberbiztonsági kockázatértékelés, jogi minősítés vagy ügyféloldali belső compliance jóváhagyás?
  • Milyen dokumentációt, naplózást, monitoringot, hozzáférés-kezelést, változáskezelést és kontrollbizonyítékot kell fenntartani?
  • Mikor kell a rendszert újraértékelni, frissíteni, korlátozni, kivonni vagy más kontrollszintre helyezni?

13. Panaszok, kérdések és kapcsolat

A Cogniforce szívesen fogadja a felelős technológiahasználattal, mesterséges intelligenciával, automatizációval, adatvédelemmel, információbiztonsággal vagy a jelen dokumentumban bemutatott alapelvekkel kapcsolatos kérdéseket és visszajelzéseket.

Kapcsolatfelvétel: hello@cogniforce.io

A jelen kapcsolattartási lehetőség nem helyettesíti az adott projektre, szerződésre, adatfeldolgozási megállapodásra, supportfolyamatra vagy adatvédelmi tájékoztatóra vonatkozó külön kommunikációs csatornákat. Amennyiben a megkeresés konkrét ügyfélprojekthez, technikai supporthoz, érintetti joggyakorláshoz vagy szerződéses kérdéshez kapcsolódik, a Cogniforce a megkeresést a megfelelő belső vagy szerződéses folyamat szerint kezelheti.

14. Felülvizsgálat és módosítás

A technológiai, szabályozási, piaci és ügyféloldali elvárások gyors változása miatt a Cogniforce időről időre felülvizsgálhatja és módosíthatja a jelen dokumentumot.

A módosítás különösen akkor lehet indokolt, ha változik az alkalmazott technológiai környezet, az AI-, RPA-, automatizációs vagy integrációs megoldások jellege, a releváns jogszabályi vagy hatósági környezet, a szakmai best practice, a beszállítói háttér, illetve a Cogniforce szolgáltatási vagy governance gyakorlata.

A mindenkor hatályos változat a Cogniforce weboldalain érhető el. A dokumentumban feltüntetett hatálybalépési, utolsó frissítési és verzióinformáció jelzi, hogy az adott változat mikortól alkalmazandó.

Lényeges módosítás esetén a Cogniforce az adott körülményekhez igazodó módon tájékoztatást adhat, például a weboldalon közzétett értesítéssel vagy más megfelelő kommunikációs csatornán.

15. Felhasznált szakmai és jogi keretek

Az alábbi lista azokat a főbb jogszabályi, szabályozási és szakmai kereteket foglalja össze, amelyek a Cogniforce felelős technológiai és AI-governance megközelítésének kialakítását támogathatják.

A felsorolás nem jelenti azt, hogy minden hivatkozott jogszabály, standard, ajánlás vagy szakmai keretrendszer minden Cogniforce-projektre automatikusan, teljes egészében vagy azonos módon alkalmazandó. Az alkalmazandó követelményeket mindig az adott projekt konkrét jellege, technológiai működése, felhasználási célja, szerződéses szerepmegosztása, adatkezelési helyzete, földrajzi és ágazati környezete, valamint ügyféloldali felhasználása alapján kell meghatározni.

Forrás Dokumentum / hivatkozás
EU AI Act Az Európai Parlament és a Tanács (EU) 2024/1689 rendelete a mesterséges intelligenciára vonatkozó harmonizált szabályokról: https://eur-lex.europa.eu/eli/reg/2024/1689/oj
GDPR Az Európai Parlament és a Tanács (EU) 2016/679 rendelete: https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX:32016R0679
Infotv. 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról: https://njt.hu/jogszabaly/2011-112-00-00
ePrivacy irányelv Az Európai Parlament és a Tanács 2002/58/EK irányelve: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32002L0058
Ektv. 2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatásokról és az információs társadalommal összefüggő szolgáltatásokról: https://njt.hu/jogszabaly/2001-108-00-00
Grt. 2008. évi XLVIII. törvény a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól: https://njt.hu/jogszabaly/2008-48-00-00
NIS2 Az Európai Parlament és a Tanács (EU) 2022/2555 irányelve: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022L2555
Kiberbiztonsági tv. 2024. évi LXIX. törvény Magyarország kiberbiztonságáról: https://njt.hu/jogszabaly/2024-69-00-00
Cyber Resilience Act Az Európai Parlament és a Tanács (EU) 2024/2847 rendelete: https://eur-lex.europa.eu/eli/reg/2024/2847/oj
Data Act Az Európai Parlament és a Tanács (EU) 2023/2854 rendelete: https://eur-lex.europa.eu/eli/reg/2023/2854
Data Governance Act Az Európai Parlament és a Tanács (EU) 2022/868 rendelete: https://eur-lex.europa.eu/eli/reg/2022/868/oj
DSM irányelv Az Európai Parlament és a Tanács (EU) 2019/790 irányelve: https://eur-lex.europa.eu/eli/dir/2019/790/oj
EU Alapjogi Charta Az Európai Unió Alapjogi Chartája: https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX:12012P/TXT
Európai digitális jogok és elvek European Declaration on Digital Rights and Principles for the Digital Decade: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32023C0123(01)
Európai Bizottság AI Act áttekintés, kockázatalapú megközelítés, átláthatóság és emberi felügyelet: https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
EU High-Level Expert Group on AI Ethics Guidelines for Trustworthy AI és ALTAI: https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai
Európai Bizottság / AI Office General-Purpose AI Code of Practice és GPAI iránymutatások: https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai
OECD AI Principles Human-centred values, transparency, robustness, safety and accountability: https://www.oecd.org/en/topics/ai-principles.html
NIST AI RMF AI Risk Management Framework and trustworthy AI characteristics: https://www.nist.gov/itl/ai-risk-management-framework
NIST SSDF Secure Software Development Framework, SP 800-218: https://csrc.nist.gov/pubs/sp/800/218/final
CISA Secure by Design Secure-by-Design and Secure-by-Default resources: https://www.cisa.gov/resources-tools/resources/secure-by-design
EDPB Endorsed WP29 Guidelines: transparency, automated decision-making/profiling, DPIA, portability and other GDPR guidance: https://www.edpb.europa.eu/our-work-tools/general-guidance/endorsed-wp29-guidelines_en
EDPB Guidelines 4/2019 on Article 25 Data Protection by Design and by Default: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-42019-article-25-data-protection-design-and
ISO ISO/IEC 42001, ISO/IEC 23894, ISO/IEC 27001/27002 – irányadó standardhivatkozások, ahol releváns; a jelen dokumentum nem állít ISO-tanúsítottságot vagy auditált ISO-megfelelést: https://www.iso.org
ISO ISO/IEC 27701 privacy information management extension – irányadó standardhivatkozás, ahol releváns; a jelen dokumentum nem állít ISO-tanúsítottságot vagy auditált ISO-megfelelést: https://www.iso.org/standard/71670.html |
OWASP OWASP Top 10 for LLM Applications and GenAI security resources: https://owasp.org/www-project-top-10-for-large-language-model-applications/