Szerző: Ujvári Péter · 2026. május 3. · 9 perc olvasás
TL;DR
Az AI használatát a GDPR és 2026-ra már részben hatályos EU AI Act együtt szabályozza. KKV-szinten 80%-ban három dolog dönti el, hogy szabályosan használsz-e AI-t: (1) aláírtál-e adatfeldolgozói szerződést (DPA-t) az AI szolgáltatóddal, (2) tájékoztattad-e az érintetteket, hogy AI-t használsz, (3) nem küldesz-e olyan személyes adatot LLM-be, amit nem kéne. Ez az írás nem jogi tanácsadás — gyakorlati keret a leggyakoribb KKV-helyzetekre.
Disclaimer. Nem vagyok ügyvéd. Ez a cikk a saját bevezetési tapasztalataim és a 2026 első félévében elérhető hivatalos NAIH- és EU-iránymutatások alapján íródott. Konkrét esetre kérj jogi konzultációt — különösen, ha egészségügyi, pénzügyi vagy gyermekekkel kapcsolatos adatot kezelsz.
1. A két szabályrendszer egyben
A GDPR arról szól, hogyan kezelhetsz személyes adatot — neveket, emailcímeket, ügyféladatokat. Az EU AI Act pedig magát az AI rendszert szabályozza, kockázati kategóriákba sorolva (tiltott, magas, korlátozott, minimális kockázat). KKV-knál tipikusan a „minimális" vagy „korlátozott" kockázati kategória érvényes — de a GDPR akkor is teljes súllyal alkalmazandó.
2. Mit lehet — bátran
Use case
Státusz
Mire figyelj
Belső szöveggenerálás (marketing, ötletelés)
OK
Ne tölts fel ügyféladatot a promptba
Saját kódhoz code review / generálás
OK
Üzleti titok jellegű kódnál enterprise tier
Saját céges tudásbázison futó belső chat (RAG)
OK
DPA + hozzáférés-szabályozás kell
Beszállítói számlafeldolgozás
OK
Adatfeldolgozói szerződés a szolgáltatóval
Ügyfélszolgálati chatbot
OK
Tájékoztatás kötelező: a felhasználónak tudnia kell, hogy AI-val beszél (AI Act 50. cikk)
3. Mit lehet — feltételekkel
Use case
Státusz
Mit kell tenni
Ügyféladatok feldolgozása LLM-mel
Feltételes
DPA + jogalap (általában szerződés teljesítése v. jogos érdek) + EU/EGT-ben tárolt vagy SCC-vel fedett adattovábbítás
Önéletrajz-előszűrés AI-val
Feltételes
Tájékoztatás a jelölteknek; végleges döntés ne automatikus legyen (GDPR 22. cikk)
Hangrögzítés + automatikus átirat
Feltételes
Felhívás a felvétel kezdetén + tárolási idő + jogalap
Hír-/közösségi tartalom monitorozás
Feltételes
Csak nyilvános adat; profilalkotás külön jogalap
4. Amit NEM
Use case
Státusz
Miért
Érzelemfelismerés munkahelyen vagy iskolában
TILOS
EU AI Act 5. cikk — tiltott gyakorlat
Social scoring magánszemélyekről
TILOS
EU AI Act 5. cikk
Egészségügyi adat publikus LLM-be
NEM
Különleges adat, GDPR 9. cikk — külön jogalap kell, és publikus modell jellemzően nem szabályos
Teljesen automatikus elbocsátási / elutasítási döntés
NEM
GDPR 22. — érintettnek joga van emberi felülvizsgálatra
Hitelképesség pusztán LLM-alapú besorolása
Magas kockázat
EU AI Act magas kockázatú lista; külön megfelelés kell
5. A három minimum, amit egy KKV-nak meg kell tennie
DPA aláírása minden AI szolgáltatóval, aki személyes adatot feldolgoz. OpenAI, Anthropic, Google, Microsoft mind kínál ezt — a default fogyasztói tier általában nem elég, enterprise/API tierre kell szerződni.
Adatkezelési tájékoztató frissítése. Külön bekezdésben jelenjen meg, hogy AI rendszereket használsz, milyen célra, kinek adod át, és milyen jogalapon.
Belső szabályzat a munkavállalóknak. Egyetlen A4 oldal: mit lehet beletenni a ChatGPT-be és mit nem. Konkrét példákkal — nem absztrakt elvekkel.
6. Gyakori téves hiedelmek
„Ha EU-s a szolgáltató, akkor jó." — Nem feltétlen. A jogalap és a tájékoztatás akkor is kell.
„A ChatGPT-be írt prompt nem személyes adat." — De igen, ha ügyfél nevét, emailjét, ügyét tartalmazza.
„Kicsi cég vagyunk, nem ellenőriz a NAIH." — Igaz, hogy célzott KKV-ellenőrzés ritka, de panaszra (egy elégedetlen ügyfél) bárkit ellenőriznek.
Bizonytalan vagy egy konkrét use case-nél? Írj, és 30 percben átnézzük technikai oldalról — jogi részhez ügyvédet ajánlok.