Tegnap bemásoltad egy ügyfeled emailjét a ChatGPT-be, hogy „kicsit csiszolja meg” a válaszodat? Vagy bedobtad egy kolléga nevét, elérhetőségét egy promptba, hogy szövegezzen neked egy levelet? Esetleg feltöltöttél egy belső prezentációt, hogy „csak összefoglalja” az AI?

Ha igen, lehet, hogy nem tudtad, de éppen megsérthetted a GDPR-t — és talán a munkaadód adatvédelmi szabályzatát is.

Ez a cikk nem azért készült, hogy megijesszen. Az AI eszközök valóban hihetetlen hatékonyságot hoznak — de érdemes pontosan érteni, mit csinálnak a feltöltött adatokkal, és hol húzódnak az európai adatvédelmi törvény határai. Miután végigolvasod, sokkal magabiztosabban tudod majd használni az AI-t — és pontosan tudod, mit szabad és mit nem.

Amit az AI-ba írsz, nem feltétlenül marad ott

Sokan azt gondolják, hogy a ChatGPT-vel folytatott beszélgetés olyan, mint egy privát chat — ott van, aztán eltűnik. A valóság egy kicsit összetettebb.

Az ingyenes AI eszközök — legyen szó ChatGPT-ről, Gemini-ről vagy Claude-ról — alapértelmezetten felhasználhatják a promptjaidat és a válaszokat a modelljük fejlesztéséhez. Ez nem titok, benne van a felhasználási feltételekben, de a legtöbben nem olvassák el.

Konkrétan mit jelent ez? Ha beírsz valamit a ChatGPT ingyenes verziójába, az OpenAI eltárolja a beszélgetést, és azt emberi értékelők is elemezhetik annak érdekében, hogy a modell jobb legyen. A tárolt adatokat aztán felhasználhatják a következő modelverzió tanításához — hacsak nem kapcsoltad ki ezt a beállítást, vagy nem Enterprise előfizetéssel dolgozol.

A három legnagyobb AI platform adatkezelése jelenleg így néz ki:

  • ChatGPT (OpenAI): Az ingyenes és Plus előfizetésnél alapértelmezetten bekapcsolt a modelltanítás. Ki lehet kapcsolni a Beállítások › Adatvédelem menüben. Az Enterprise verzió ezt nem teszi — ott a vállalati adatok nem kerülnek be a tanítási folyamatba.
  • Claude (Anthropic): 2025 szeptemberétől alapértelmezetten opt-in rendszer: ha nem reagálsz a szabályzatváltozásra, az hozzájárulásnak minősül. Az API-alapú és Enterprise verzió nem érintett.
  • Gemini (Google): Az ingyenes verzió 18 hónapig tárolja a beszélgetéseket, és emberi értékelők is láthatnak anonimizált részleteket. A Google Workspace vállalati verziónál nincs ilyen tanítás.

Az adattárolás csak az egyik szempont. A másik az, hogy a promptjaid — legalábbis egy ideig — a platform szerverein vannak. Ha személyes adatokat, üzleti titkokat vagy egészségügyi információkat tartalmaznak, ez komoly biztonsági kockázatot jelent, függetlenül attól, hogy tanítják-e a modellt velük.

A 7 kritikus dolog, amit SOHA ne tölts fel AI-ba

Van néhány adattípus, amelyet a GDPR külön véd, és amelynek AI chatbotba másolása szinte biztosan jogsértést jelent — legalábbis ha nincs megfelelő jogalap, adatfeldolgozói szerződés és tájékoztatási kötelezettség teljesítve.

1. Ügyféladatok és személyes azonosítók

Ügyfeled neve, email-címe, telefonszáma, lakcíme — ezek mind személyes adatok a GDPR értelmében. Ha beilleszted egy promptba („Írj választ Kovács Péternek, az emailje peter.kovacs@example.com...”), az adatfeldolgozásnak minősül. Ehhez jogalap kell, és az érintettet tájékoztatni kell — amit a legtöbb esetben senki sem tesz meg.

2. Egészségügyi és orvosi adatok

Az egészségügyi adatok a GDPR szerint „különleges kategóriájú” adatok, amelyek fokozott védelmet élveznek. Orvosi leletek, diagnózisok, beteginformációk AI-ba másolása extrém kockázatú — szinte lehetetlen megfelelő jogalapot találni rá. Egészségügyi szakemberek számára ez az egyik legszigorúbb korlát.

3. Jelszavak, hozzáférési adatok

Ez talán a legnyilvánvalóbb, mégis előfordul: valaki beilleszti egy promptba az adatbázis-kapcsolati karakterláncot, API-kulcsot, vagy jelszót, hogy „segítsen megérteni a hibaüzenetet”. Ezeket az adatokat azonnal le kell cserélni, ha AI-ba kerültek.

4. Céges pénzügyi adatok, üzleti tervek

Bevételi adatok, árajánlatok, nyereségadatok, befektetési tervek — ezek üzleti titkok. A Samsung-incidens éppen erre mutatott rá: az alkalmazottak nem rossz szándékkal cselekedtek, de a feltöltött forráskód és meeting-összefoglalók a vállalat legbizalmasabb adatait érintették.

5. Alkalmazotti adatok, HR-információk

Bérlisták, teljesítményértékelések, fegyelmi ügyek, pályázók adatai — mindezek személyes adatok, amelyeket a munkavállalók és pályázók nevében kezelsz. Ezeket AI-ba másolni ugyanúgy jogsértés lehet, mint az ügyféladatokat.

6. Jogi dokumentumok, szerződések

Ügyvédi levelek, szerződések, NDA-k, bírósági iratok — ezek jellemzően bizalmas információkat tartalmaznak harmadik felek adatairól, üzleti feltételekről. A feltöltésük üzleti titok megsértése is lehet, nem csak GDPR-probléma.

7. Forráskód és szellemi tulajdon

A Samsung-eset pontosan erről szólt: a fejlesztők saját forráskódjukat töltötték fel hibakeresés céljából. Ha a kód szellemi tulajdon — márpedig szinte minden vállalati kód az — ez komoly kockázat, mivel a kód az AI rendszerébe kerülhet.

👀
Biztonságosan használod az AI-t?

Iratkozz fel hírlevelünkre — heti tippek az AI biztonságos és hatékony használatáról.

Feliratkozás →

Valós esetek: amikor az AI-használat drámává vált

A Samsung-ügy: 3 incidens 3 hét alatt

2023 márciusában a Samsung Electronics — éppen hogy feloldotta a ChatGPT-tilalmat a vállalaton belül — hamarosan szembesült azzal, hogy alkalmazottai bizalmas adatokat osztottak meg az AI-val. Legalább három külön incidens történt rövid időn belül.

Az egyik mérnök egy hibás félvezető-adatbázis forráskódját illesztette be a chatbotba, hogy segítséget kérjen a hibajavításhoz. Egy másik dolgozó a gyártósor meghibásodott berendezéseit azonosító programkódot töltötte fel optimalizálás céljából. A harmadik eset talán a legdrámaibb: valaki egy belső meeting teljes átiratát adta be az AI-nak, azzal a kéréssel, hogy készítsen belőle összefoglalót.

A Samsung reakciója gyors volt: azonnali tilalmat vezettek be a generatív AI eszközök vállalati használatára. A forráskód és a meeting-tartalom — beleértve az ott elhangzott üzleti döntéseket és stratégiai irányokat — az OpenAI szerverein landolt.

Olaszország: az első ország, amely letiltotta a ChatGPT-t

2023 márciusában Olaszország lett az első nyugati ország, amely megtiltotta a ChatGPT működését — legalábbis ideiglenesen. Az olasz adatvédelmi hatóság, a Garante azonnali intézkedést rendelt el az OpenAI ellen, miután több GDPR-sértést azonosított.

A hatóság kifogásolta, hogy az OpenAI nem tájékoztatta megfelelően a felhasználókat arról, hogyan kezeli az adataikat; nem volt megfelelő jogalap a személyes adatok tanítási célú felhasználásához; a rendszer pontatlan adatokat adhatott vissza valódi személyekről; és nem volt életkor-ellenőrzési rendszer a kiskorúak védelméhez.

Az OpenAI néhány hét alatt javításokat eszközölt — jobb átláthatóság, opt-out lehetőség — és a tiltást feloldották. De ez volt az előjátéka egy súlyosabb következménynek.

A 15 milliós bírság: 2024 decembere

2024 decemberében a Garante 15 millió eurós bírságot szabott ki az OpenAI-ra a ChatGPT GDPR-megsértései miatt. A vizsgálat megállapította, hogy az OpenAI nem megfelelő jogalapra támaszkodott a személyes adatok tanítási célú feldolgozásánál, elmulasztotta az átláthatósági kötelezettségek teljesítését, és nem értesítette a hatóságot a 2023 márciusi adatszivárgásról a kötelező 72 órán belül.

Az OpenAI szerint a bírság aránytalan — állításuk szerint az olaszországi bevételük közel hússzorosát teszi ki. A cég fellebbez. De az üzenet világos: az európai adatvédelmi hatóságok komolyan veszik az AI adatkezelési kérdéseit.

Replika: 5 millió eurós bírság 2025-ben

Az olasz hatóság nem állt meg az OpenAI-nál. 2025-ben az érzelmi AI chatbot Replika fejlesztőjét, a Luka Inc.-t 5 millió eurós bírsággal sújtotta. A vád: személyes adatok gyűjtése megfelelő hozzájárulás nélkül, átláthatatlan adatkezelési tájékoztatók és a kiskorúak védelmi mechanizmusainak hiánya.

GDPR és AI: hol húzódik a határ?

A GDPR szempontjából az AI használatának négy kritikus kérdése van:

1. Mi minősül adatfeldolgozásnak?

A GDPR szerint bármilyen művelet, amelyet személyes adatokon végzünk — tárolás, olvasás, elemzés, módosítás — adatfeldolgozásnak minősül. Ha beírsz egy ügyfél nevét egy AI promptba, az adatfeldolgozás. Ha az AI elemzi azt, az is adatfeldolgozás. Ehhez jogalap kell.

2. Mik a lehetséges jogalapok?

A GDPR hat jogalapot ismer el. Az AI-használatnál a leggyakrabban szóba jövők:

  • Hozzájárulás: Az érintett beleegyezik az adatai AI-val való feldolgozásába. A legtöbb esetben ezt senki sem kéri meg az ügyfelektől.
  • Jogos érdek: A cégnek jogos érdeke fűződik az adatfeldolgozáshoz, és ez felülírja az egyén érdekeit. Az AI-hatékonyság önmagában általában nem elegendő jogos érdek — az érdekmérlegelési tesztet el kell végezni.
  • Szerződés teljesítése: Ha az adatfeldolgozás a szerződés teljesítéséhez szükséges. Ez szűk kivétel, és ritkán alkalmazható AI-ra.

3. Tájékoztatási kötelezettség

Ha személyes adatokat adsz meg egy AI platformnak — akár ügyféladatot, akár alkalmazotti adatot — az érintetteket tájékoztatni kell erről. Jellemzően ez azt jelenti, hogy az adatkezelési tájékoztatónak tartalmaznia kell az AI eszközök használatát. A legtöbb cég adatkezelési tájékoztatója erről nem szól.

4. Adatfeldolgozói szerződés

Ha AI eszközt használsz személyes adatok feldolgozásához, az AI szolgáltató — az OpenAI, az Anthropic vagy a Google — adatfeldolgozónak minősül. Ezzel adatfeldolgozói szerződést kell kötni. Az ingyenes és privát verziók jellemzően nem kínálnak ilyet; az Enterprise verziók igen.

Free vs. Enterprise: miért számít, melyiket használod

Sokan használják az ingyenes AI verziókat munkahelyi feladatokra — és ez az egyik legnagyobb kockázati forrás. A különbség az ingyenes és az Enterprise verziók között nem csak az ár kérdése.

Ingyenes verziók — mit kockáztatsz?

  • A promptjaid bekerülhetnek a tanítási folyamatba
  • Emberi értékelők láthatják az anonimizált verziókat
  • Nincs adatfeldolgozói szerződés (DPA)
  • Nincs SOC 2 Type 2 megfelelőség a te cégeddel szemben
  • Nincs naplózás, audit trail
  • A tárolt adatok törlése nem garantált

Enterprise verziók — mit kapsz?

  • A vállalati adatok NEM kerülnek be a tanítási folyamatba
  • Aláírható adatfeldolgozói szerződés (DPA) — GDPR-megfelelőség szempontjából ez kötelező
  • SOC 2 Type 2 audit — iparági biztonsági szabvány
  • Zero data retention opció (az OpenAI Enterprise esetén)
  • Admin vezérlőpult, naplózás, hozzáférés-kezelés
  • Dedikált adatizolálás — a te adataid nem keverednek más cégek adataival

Ha GDPR-alá eső személyes adatokat akarsz AI eszközzel feldolgozni, az Enterprise verzió — és az aláírt adatfeldolgozói szerződés — nem opció, hanem jogi követelmény.

10 lépéses checklist a biztonságos AI használathoz

A jó hír: nem kell lemondani az AI-ról ahhoz, hogy felelősen használd. Ezzel a 10 lépéssel a legtöbb kockázatot kezelheted:

  1. Kapcsold ki a modelltanítást — ChatGPT-ben: Beállítások › Adatvédelem › „Fejleszd a modellt mindenkinek” — ki. Claude esetén az opt-out linket kövesd az Anthropic oldalán. Ez az első és legegyszerűbb lépés.
  2. Anonimizáld az adatokat — Mielőtt bármit beillesztenél, cseréld ki a neveket, e-mail-címeket, telefonszámokat általánosra. „Kovács Péter, peter@xyz.hu” helyett „egy ügyfél, ügyfél@email.com”. A lényeg így is átjön.
  3. Soha ne illessz be valódi jelszavakat, API-kulcsokat — Ha kódhibát keresel, cseréld ki az összes érzékeny értéket placeholder-rel (YOUR_API_KEY, DB_PASSWORD) mielőtt beilleszted.
  4. Tesztelj fiktív adatokkal — Ha az AI-t ügyfélkommunikáció generálásához használod, hozz létre fiktív ügyfélprofilt a teszteléshez. Ezt az AI önmaga is meg tudja tenni neked.
  5. Vállalati adatokhoz Enterprise verziót használj — Ha rendszeresen dolgozol személyes adatokkal, kerülj tárgyalásba az AI szolgáltatóval, és írj alá adatfeldolgozói szerződést.
  6. Frissítsd az adatkezelési tájékoztatót — Ha cégedben AI eszközöket használtok ügyféladatok feldolgozásához, az adatkezelési tájékoztatónak tartalmaznia kell ezt. Ez nem opcionális.
  7. Ne töltsd fel teljes dokumentumokat — Ha csak az összefoglaló kell, csak azt add be. Egy 50 oldalas szerződés feltöltése helyett írd le a lényeget szavakban.
  8. Figyelj a képekre és hangfelvételekre is — Arcfelismerés, hangazonosítás — ezek különleges kategóriájú biometrikus adatok. Valódi személyek képeit vagy hangfelvételeit NE töltsd fel AI-ba azonosítási célra.
  9. Rendszeresen ellenőrizd a beállításokat — Az AI platformok adatvédelmi beállításai változhatnak. Negyedévente ellenőrizd, hogy az opt-out beállításaid érvényben vannak-e.
  10. Alakíts ki céges AI-szabályzatot — Ha cégvezetőként vagy HR-esként olvasod ezt, az alábbiakban erről is szó lesz.

Miért életbevágó a munkahelyi AI-szabályzat?

A Samsung nem volt egyedi. Egy 2025-ös kutatás szerint az alkalmazottak 77%-a töltött már fel vállalati adatokat fogyasztói AI-eszközökbe — és 82%-uk személyes fiókokat használt ehhez, nem a céges rendszereket. 32% ügyféladatokat adott meg nem jóváhagyott platformokon, 37% belső, bizalmas céges adatokat osztott meg.

Ha nincs céges AI-szabályzat, az alkalmazottak nem azért sértik meg a szabályokat, mert rosszak — hanem mert senki nem mondta el nekik, mi a határ. A jó AI-policy nem a tiltásról szól, hanem arról, hogy hogyan lehet hatékonyan és felelősen használni az eszközöket.

Egy alapvető munkahelyi AI-szabályzat minimálisan tartalmazza:

  • Mely AI eszközök használata engedélyezett (és melyeké nem)
  • Milyen adatkategóriákat TILOS AI-ba vinni
  • Hogyan kell anonimizálni az adatokat AI-használat előtt
  • Ki felelős az AI eszközök jóváhagyásáért
  • Hogyan kell incidenseket jelenteni, ha valaki tévedésből érzékeny adatot osztott meg

Különösen fontos ez az egészségügyi szektorban, ahol az egészségügyi adatok különleges kategóriájú adatnak minősülnek, és a jogsértések bírságtétele a legmagasabb.

Összefoglalás: felelős AI-használat, nem félelem

Az AI nem az ellenséged. A ChatGPT, Claude és Gemini fantasztikus eszközök — de mint minden eszköznél, a felelős használathoz érteni kell, hogyan működnek.

A lényeg három mondatban: ne tölts fel személyes adatokat ingyenes AI-eszközökbe. Ha muszáj, anonimizálj előtte. Ha rendszeresen kell személyes adatokkal dolgoznod AI segítségével, Enterprise verziót és adatfeldolgozói szerződést használj.

Az olasz adatvédelmi hatóság 15 millió eurós bírságot szabott ki az OpenAI-ra. Ez nem azt jelenti, hogy az AI rossz — azt jelenti, hogy az adatvédelem komoly üzlet Európában. Az európai vállalkozások és szakemberek, akik ezt megértik, versenyelőnybe kerülnek azokkal szemben, akik figyelmen kívül hagyják.

Az AI-forradalom zajlik. Csatlakozz hozzá okosan.

Gyors emlékeztető: Ellenőrizd a ChatGPT adatvédelmi beállításaidat. Beállítások › Adatvédelem › „Fejleszd a modellt mindenkinek” — kapcsold ki, ha még nem tetted meg. Ez 30 másodperc, és máris felelősebb AI-felhasználó lettél.