Mielőtt AI chatbotot vezetsz be a cégednél, ezt a 10 pontot feltétlenül nézd meg. GDPR és EU AI Act szempontjából minden hiányzó pont bírság- vagy peres kockázatot jelent — és ezek többségére csak a szerződéskötés előtt van esélyed alku-eszközként. A jogi keretet a GDPR (EU 2016/679) és az EU AI Act (2024/1689) adja, a magyar hatóság pedig a NAIH.
1. Hol futnak az adatok? — EU-s hosting
Kérdezz rá: melyik országban vagy régióban tárolódnak a beszélgetések és a tudásbázis? Ha USA vagy más harmadik ország, Standard Contractual Clauses (SCC) szerződés kötelező. EU-régiós tárolás (Frankfurt, Belgium, Dublin) minimalizálja a GDPR-kockázatot. A SmartAIChat AWS EU-infrastruktúrán fut (Frankfurt és Belgium régió).
2. Data Processing Agreement (DPA)
Kérd írásban a DPA-t a szerződéskötés előtt. A GDPR 28. cikke kötelezi az adatkezelőt, hogy az adatfeldolgozóval írásbeli DPA legyen. Ha a chatbot-szolgáltató nem tud DPA-t adni — piros zászló.
3. Retention — meddig tárolják az adatokat?
Általános szabály: néhány nap–néhány hónap. A SmartAIChat 90 napig tárolja a beszélgetéseket, utána automatikusan törli. Ha a szolgáltató „határozatlan ideig” vagy 1 évnél hosszabban tárol, az kockázatot jelent.
4. Audit trail és naplózás
Minden AI-interakciót naplózni kell: időbélyeg, input, output, forráshivatkozás. Ez egyrészt a GDPR 30. cikk szerinti Record of Processing Activities (ROPA) miatt kötelező, másrészt egy AI-hiba visszakereséséhez szükséges.
5. Al-adatfeldolgozók (subprocessors) listája
A chatbot-szolgáltató is használ alvállalkozókat (infrastruktúra, LLM, email). Kérd a teljes listát és a DPA-t mindegyikkel. A SmartAIChat subprocessor-listája: AWS (infrastruktúra, EU Frankfurt és Belgium régió), Google Vertex AI és Anthropic Claude (LLM modellek), AWS SES (tranzakciós email). Az aktuális teljes lista a DPA-ban található.
6. Adatalanyi jogok érvényesítése (GDPR 15–22. cikk)
A szolgáltatónak támogatnia kell, hogy hozzáférési (15. cikk), törlési (17. cikk), adathordozhatósági (20. cikk) kérelmeket 30 napon belül teljesítsen. Kérdezd meg: van-e dedikált e-mail cím és workflow? A SmartAIChat kapcsolati címe: office[@]smartaichat.hu.
7. No-training garancia az LLM-nél
Az üzleti beszélgetések nem kerülhetnek be harmadik fél LLM-jének tanításába. A SmartAIChat Google Vertex AI és Anthropic Claude EU-régiós végpontokat használ, ahol a szolgáltató nem használja az input adatokat modell-tanításhoz (szerződéses garancia). Kérdezd meg: az LLM-provider szerződés szerint kizárja-e a training-célú adatfelhasználást?
8. EU AI Act kockázati besorolás
Az EU AI Act (2024/1689 rendelet) szerint a chatbot általában limited-risk kategória: kötelező felhasználói transzparencia („AI-val beszélsz” értesítés). Ha a chatbot automatikus döntést hoz (például hitelbírálat, biometrikus azonosítás), akkor már high-risk — jelentősen nagyobb compliance-teher.
9. NAIH bejelentés és adatkezelési tájékoztató
Magán cégeknek nem kötelező a NAIH-nál bejelentkezni, de az adatkezelési tájékoztatót frissíteni kell az AI chatbot bevezetésekor: milyen adatok kerülnek feldolgozásra, melyik szolgáltató, hol tárolják. Minden AI-érintkezési pontnál linkelni kell a tájékoztatót.
10. Security-alap — TLS, titkosítás, 2FA
Minimum követelmény: TLS 1.3 minden kommunikáción, adatok nyugalmi állapotban is titkosítva (AES-256), kétfaktoros hitelesítés (2FA) minden admin hozzáféréshez. Ha a szolgáltató nem tud ilyen alapvető garanciát adni, ne szerződj vele.
Scorecard-táblázat
| Pont | Kritérium | Minimum | Piros zászló ha hiányzik |
|---|---|---|---|
| 1 | EU-s hosting | Frankfurt / Belgium / Dublin | USA tárolás SCC nélkül |
| 2 | DPA szerződés | Írásbeli, GDPR 28. cikk szerinti | Nem ad DPA-t |
| 3 | Retention | Mérsékelt: 30–90 nap | „Határozatlan idejű” |
| 4 | Audit trail | Minden interakció naplózott | Nincs ROPA-képes napló |
| 5 | Subprocessors | Teljes lista + DPA mindegyikkel | „Bizalmas”, nem adják ki |
| 6 | Art. 15–22 jogok | 30 napos teljesítés, dedikált cím | Nincs dedikált folyamat |
| 7 | No-training garancia | Szerződéses kizárás | Alapértelmezésben tanít |
| 8 | EU AI Act besorolás | Limited-risk + transzparens | Rejtett high-risk funkció |
| 9 | Adatkezelési tájékoztató | NAIH-mintájú, linkelt | Nincs frissítve |
| 10 | Security | TLS 1.3, AES-256, 2FA | TLS 1.2 vagy nincs 2FA |
Rövid scorecard értelmezés
10/10 pont: az AI chatbot-szolgáltató GDPR és EU AI Act szempontjából megfelel. 7–9 pont: kezelhető kockázat — explicit SCC vagy kiegészítő műszaki intézkedés szükséges. 7 pont alatt: ne szerződj.
SmartAIChat megfelelés
A SmartAIChat mind a 10 pontot teljesíti: AWS EU (Frankfurt + Belgium) hosting, DPA minden ügyfélnek, 90 napos retention, teljes audit trail, dokumentált subprocessors (AWS, Google, Anthropic, AWS SES), 15–22. cikk szerinti workflow, no-training garancia, limited-risk transzparens chatbot, NAIH-kompatibilis adatkezelési tájékoztató minta, TLS 1.3 és 2FA. Részletek: GDPR és EU AI Act megfelelési oldal.
Szeretnél GDPR-auditált chatbot implementációt? Kérj ingyenes konzultációt — végigvesszük a 10 pontot a te cégedre alkalmazva.