AI integráció GDPR-megfelelően — Útmutató vállalkozásoknak
Az AI-használat nem jogellenes — a gondatlan AI-használat az. Ebben a cikkben megmutatjuk, hogyan építünk mi (MyForge Labs) chatbotot, RAG-rendszert és AI-ügyfélszolgálatot úgy, hogy senki nem kap NAIH-bírságot.
Miért probléma a „csak raktuk be az OpenAI-t"
A GDPR két kérdést tesz fel minden adatkezelésre: (1) ki a felelős, (2) mi a jogalap. Ha OpenAI, Anthropic vagy Google API-t hívsz meg, és közben magyar ügyfeled mondatát küldöd ki, akkor:
- Az amerikai szolgáltató adatfeldolgozó lesz (Art. 28).
- Ehhez DPA (Data Processing Agreement) kell.
- Mivel harmadik ország (USA), transzfer mechanizmus is (tipikusan SCC + TIA).
- A felhasználót tájékoztatni kell, hogy melyik modellnek, hová megy az adata.
Ha ez mind hiányzik — kérhetsz akár 20 millió eurós bírságot (vagy éves forgalom 4%-a).
A 4 fő AI-adatkezelési forgatókönyv
1) Nyilvános cloud LLM (OpenAI API, Anthropic, Gemini)
- Kockázat: magas. Ügyféladat megy USA-ba.
- Mikor OK: ha nincs személyes adat az inputban (pl. általános B2B tartalomgenerálás).
- Mikor NEM: ügyféllevél, név, CRM-adat, egészségügyi adat.
2) Nyilvános cloud LLM EU-régióval (OpenAI EU Data Residency, Azure OpenAI West Europe)
- Kockázat: közepes.
- Mikor OK: ha DPA van + ügyfél tájékoztatva + adat nem különleges kategória.
- Plussz: a Microsoft Azure OpenAI nem használja fel tréninghez az adatot alapból. Ez írásban is rögzítve van.
3) Önhostolt open-source modell (Llama 3, Mistral, magyar saját VPS-en)
- Kockázat: alacsony — minden adat nálad marad.
- Költség: ellenben nagy. GPU infra havi 200 ezer – 2 millió Ft.
- Mikor OK: ha szigorú compliance-kategóriában vagy (egészségügy, pénzügy, ügyvéd).
4) Hibrid (nyilvános LLM + anonimizáló proxy)
- Hogyan: saját szervereden lévő proxy kiszedi a személyes adatokat (név, email, TAJ-szám) az inputból, mielőtt LLM-hez menne.
- Kockázat: alacsony, ha jó a proxy.
- Ezt a modellt alkalmazzuk nagyobb ügyfeleknél a MyForge Labs-nál.
5 tipikus buktató és megoldás
- Chat-logok örökké tárolva. → Kell automatikus retention policy (30 / 90 / 365 nap, és törlődik).
- Felhasználó nem tudja törölni a beszélgetését. → Jogi minimum GDPR Art. 17 (törlési jog). Implementálni kell egy „Töröld az adataim" gombot.
- Nincs információ a cookie-bannerben az AI-ról. → A chatbot-használat adatkezelés. Kell külön jogalap vagy legitim érdekre alapozott tájékoztatás.
- Prompt injekcióval kiszedhetők más felhasználók adatai. → Security. Nálunk minden chatbotnál RAG-beágyazás, nem fine-tune (nincs keresztszivárgás kontextusok közt).
- Nincs log arról, hogy mi ment ki. → Audit trail kötelező. Ki, mikor, milyen adatot küldött ki az LLM-nek.
Gyakorlati ellenőrző lista (MyForge Labs minimum)
- ✅ EU-régió (Azure West Europe vagy OpenAI EU)
- ✅ DPA írásban
- ✅ Retention policy (alapból 90 nap)
- ✅ Törlési jog UI-ba építve
- ✅ Privacy policy frissítve
- ✅ Cookie banner kiegészítve
- ✅ Prompt sanitizáció (PII-strip)
- ✅ Audit log 1 éves megőrzéssel
Mi a következő lépés?
Ha most kezdesz AI-projektet, olvasd el a BMAD módszer-t — mi ezzel kezdünk minden ügyfélnél. Ha már fut valami és nem vagy biztos, hogy GDPR-kompatibilis, kérj egy ingyenes 30 perces AI-compliance auditot a kapcsolati űrlapon.
További forrás: Kiberbiztonsági szolgáltatások és Adatkezelés.
Ingyenes AI-compliance audit
30 perces online videohívás, 3 oldalas jegyzőkönyv. Megmondjuk, hol vagy NAIH-kockázatos és mit kell csinálni.