AI chatbot GDPR megfelelés 2026
Röviden
- A GDPR kötelezi a chatbot-üzemeltetőket az egyértelmű tájékoztatásra és az adatkezelési alapok dokumentálására
- Adatfeldolgozói szerződés (DPA) szükséges az AI-chatbot szolgáltatójával – ez nem opcionális
- Cookie-beleegyezés és chatbot-hozzájárulás két különböző jogi kérdés, mindkettőt külön kell kezelni
- Az Apex Web chatbotja GDPR-kompatibilis alapból: tájékoztatás, DPA és átláthatósági feliratok beépítve
- Weboldali AI chatbot 24 900 Ft/hó-tól, teljes GDPR-dokumentációval együtt
A weboldali AI chatbot GDPR-megfelelése három kötelező elemet igényel: (1) a felhasználó tájékoztatása arról, hogy AI-rendszerrel kommunikál, (2) az adatkezelési tájékoztató linkje a chatbot felületén, (3) az adatok megőrzési idejének és törlési folyamatának dokumentálása. Az Apex Web chatbotja ezeket alapból tartalmazza.
2026-ban a magyar kis- és középvállalkozások egyre több weboldali AI chatbotot telepítenek – ügyfélszolgálatra, foglaláskezelésre, termékajánlásra. Ami korábban egyedi fejlesztés volt, ma már havidíjas SaaS-szolgáltatásként is elérhető. A jogi keret azonban ugyanolyan szigorú maradt: a GDPR és az idén teljesen hatályba lépő EU AI Act együtt határozza meg, mit kell egy törvényes chatbot-telepítésnek tartalmaznia.
Ez a cikk nem általános GDPR-összefoglalót ad, hanem kizárólag a weboldali AI chatbotokra vonatkozó kötelezettségeket veszi végig – azt a hat konkrét területet, amelyek mentén egy vállalkozás megfelel vagy elbukik egy hatósági vizsgálaton.
Mi vonatkozik a GDPR-ból a weboldali chatbotra?
Az általános adatvédelmi rendelet (GDPR, 2016/679/EU) nem tesz különbséget aközött, hogy egy vállalkozás emberi munkatárson vagy AI-rendszeren keresztül gyűjt-e személyes adatot. Ha a chatbot a látogatótól nevet, e-mail-címet, telefonszámot vagy bármilyen más, személyre visszavezethető adatot kap, a GDPR teljes terjedelemben alkalmazandó.
A weboldali chatbotra vonatkozó négy legfontosabb kötelezettség:
- AI-tájékoztatás: A látogatónak egyértelműen tudnia kell, hogy AI-rendszerrel – nem valódi személlyel – kommunikál. Ez nem „jó szokás", hanem 2026-tól az EU AI Act 50. cikke alapján jogszabályi kötelezettség.
- Adatkezelési tájékoztató elérhetősége: A chatbot felületén közvetlen linknek kell mutatnia az adatkezelési tájékoztatóra, amelynek tartalmaznia kell a chatbot-adatkezelés célját, jogalapját és időtartamát.
- Adatfeldolgozói megállapodás (DPA): Ha a chatbot üzemeltetője és fejlesztője/hosztolója különböző szervezet, kötelező Data Processing Agreement-et kötni. Ez dokumentálja, hogy a fejlesztő milyen feltételekkel kezel adatot az üzemeltető nevében.
- Törlési és hozzáférési kérelmek kezelése: Az érintett jogai (hozzáférési jog, törlési jog, adathordozhatóság) a chatbot-beszélgetésekre is kiterjednek. Az üzemeltetőnek 30 napon belül kell tudnia teljesíteni ezeket.
Mire gyűjt adatot egy AI chatbot?
Sok vállalkozástulajdonos azt feltételezi, hogy a chatbot „csak válaszol" – nem gyűjt adatot. Ez téves. Egy tipikus weboldali AI chatbot az alábbi adatokat dolgozza fel:
- Szöveges üzenetek tartalma: Az összes beírt szöveg, amely személyes adatot tartalmazhat (pl. „Kovács János vagyok, időpontot szeretnék").
- E-mail-cím és telefonszám: Ha a chatbot kéri, vagy a látogató önkéntesen megadja a kapcsolatfelvétel érdekében.
- Session azonosító: Technikai adat, amely a munkamenetet azonosítja, és közvetve a látogatóhoz köthető.
- IP-cím: Az EU joggyakorlata szerint személyes adat, amelyet a szerver automatikusan naplóz.
- Böngésző és eszközinformáció: User-agent adatok, amelyek profilalkotásra felhasználhatók.
Fontos különbség: a cookie-beleegyezés és a chatbot-hozzájárulás nem ugyanaz. A cookie-banner kezeli a sütik jóváhagyását; a chatbot-adatkezelés jogalapját külön kell meghatározni (általában szerződéses szükségesség vagy jogos érdek az ügyfélszolgálati kommunikációhoz, esetenként hozzájárulás).
GDPR-megfelelési összehasonlítás
| GDPR-elem | Szükséges intézkedés | Apex Web chatbot |
|---|---|---|
| AI-tájékoztatás | Felirat a chatbot felületén: „AI-vel kommunikál" | ✓ Alapból beépítve |
| Adatkezelési tájékoztató | Link a chatbot indítófelületén | ✓ Konfigurálható link |
| Adatfeldolgozói megállapodás | DPA az AI-szolgáltatóval | ✓ Minden ügyféllel megkötjük |
| Törlési kérelem | 30 napos teljesítési kötelezettség | ✓ Adminfelületről törölhető |
| Adatmegőrzési időszak | Dokumentált határidő az adatkezelési tájékoztatóban | ✓ 90 nap alapértelmezett, rövidíthető |
| IP-cím kezelése | Adatkezelési tájékoztatóban rögzíteni | Üzemeltető adatkezelési tájékoztatójában szükséges |
| Cookie-hozzájárulás | Különálló cookie-banner | Üzemeltetőnél lévő cookie-rendszerrel koordinálandó |
Adatfeldolgozói megállapodás: mi ez és mikor kell?
A GDPR 28. cikke értelmében, ha egy adatkezelő (a weboldalt üzemeltető vállalkozás) egy külső szervezetet bíz meg személyes adatok kezelésével (az AI chatbot fejlesztője/hosztolója), kötelező írásban rögzíteni az adatkezelés feltételeit. Ezt hívják Data Processing Agreement-nek (DPA), magyarul adatfeldolgozói megállapodásnak.
A DPA-nak tartalmaznia kell:
- Az adatkezelés tárgyát, időtartamát és jellegét
- Az érintett személyek kategóriáit és a kezelt adatok típusait
- Az adatfeldolgozó kötelezettségeit az adatok bizalmasságára vonatkozóan
- Az adatbiztonságra vonatkozó technikai és szervezeti intézkedéseket
- Az al-adatfeldolgozók (pl. felhőszolgáltatók) igénybevételének feltételeit
Az Apex Web minden ügyfelével megköti a DPA-t a chatbot üzembe helyezésekor. Ez nem pótdíjas opció, hanem az alap 24 900 Ft/hó-s csomag része – ugyanúgy, ahogy a GDPR-átláthatósági feliratok és a törlési funkció is.
Ha egy vállalkozás saját maga telepít egy chatbot-widgetet (pl. egy külföldi SaaS-eszközt), a DPA-t az adott szolgáltatóval kell megkötni – és érdemes ellenőrizni, hogy az adatokat az EU-n belül tárolják-e. Az EU-n kívüli adattárolás esetén a GDPR 44–49. cikkeinek megfelelőségi feltételei is teljesítendők.
AI Act és chatbot átláthatósága 2026
Az EU mesterséges intelligenciáról szóló rendelete (AI Act, 2024/1689/EU) 2026-ra teljes egészében hatályba lépett. A rendelet 50. cikke kötelezővé teszi, hogy az AI-rendszerek – köztük a weboldali chatbotok – egyértelműen jelezzék a felhasználónak, hogy géppel, nem emberrel kommunikál.
A kötelező átláthatósági követelmény konkrétan azt jelenti:
- A chatbot indításakor vagy az első üzenet előtt megjelenő felirat vagy bemondás: „AI-asszisztenssel kommunikál" vagy hasonló, félreérthetetlen szöveg.
- A felhasználó nem kérheti, hogy a chatbot tagadja meg, hogy AI – a rendszernek valódi identitását el kell ismernie, ha megkérdezik.
- A vállalkozás nem tévesztheti meg a látogatót azzal, hogy a chatbotot emberi munkatársként mutatja be.
Az AI Act megsértéséért kiszabható bírság elérheti a 15 millió euró vagy a globális éves forgalom 3%-ának megfelelő összeget – ami a GDPR-bírságoknál (20 millió euró / 4%) valamivel alacsonyabb, de egy kisvállalkozás számára egyformán érzékeny.
Az Apex Web chatbotja 2025 vége óta tartalmazza az AI-azonosítás kötelező feliratát, így az AI Act-nek való megfelelés nem igényel külön konfigurációt az ügyfelek részéről.
Hogyan lesz GDPR-kompatibilis az Apex Web chatbot?
Az Apex Web chatbot-megoldása a GDPR- és AI Act-megfelelést nem utólag illesztett dokumentumként, hanem a termék részeként kezeli. A telepítés után az ügyfél az alábbiakat kapja alapból:
- Átláthatósági felirat: A chatbot indítófelületén és az első üzenetben egyértelműen szerepel, hogy AI-rendszerről van szó.
- Adatkezelési tájékoztató link: A chatbot widget konfigurálható linkkel mutat az ügyfél saját adatkezelési tájékoztatójára.
- Aláírt DPA: Az üzembe helyezéskor megkötjük a Data Processing Agreement-et, amely EU-jog szerint érvényes adatfeldolgozói szerződésnek minősül.
- 90 napos adatmegőrzés alapértelmezett: A chatbot-beszélgetések 90 nap után automatikusan törlődnek, ez rövidebbre is állítható.
- Adminfelületi törlés: Törlési kérelem esetén az üzemeltető az adminfelületről azonnal és nyomtalanul törölheti az érintett beszélgetéseit.
- EU-adattárolás: Minden chatbot-adat EU-n belüli szerveren kerül tárolásra, harmadik országba adattovábbítás nem történik.
Amit az üzemeltetőnek kell intéznie: a saját adatkezelési tájékoztatójának frissítése a chatbot-adatkezelés leírásával, valamint a cookie-banner és a chatbot-hozzájárulás összehangolása, ha mindkettő van a weboldalon. Ebben az Apex Web tanácsadással segít.
Nézd meg, megfelel-e a chatbotod a GDPR-nak
Ingyenes auditot végzünk a weboldaladra: megnézzük az aktuális chatbot-megoldást (vagy a hiányát), és pontosan megmondjuk, mi hiányzik a megfeleléshez.
Chatbot auditot kérek a weboldalamraGyakori kérdések
Kötelező jelezni, hogy AI chatbottal kommunikál a látogató?
Igen, az EU AI Act 2026 és a GDPR alapján is kötelező az átláthatóság. Az Apex Web chatbot alapból tartalmazza az „AI-vel kommunikál" feliratot, így ez a követelmény automatikusan teljesül – az üzemeltetőnek semmit nem kell külön konfigurálnia.
Kell adatfeldolgozói megállapodás a chatbot-fejlesztővel?
Igen. Ha a chatbot üzemeltetője (pl. Apex Web) személyes adatot kezel a megbízó nevében, Data Processing Agreement szükséges. Az Apex Web biztosítja ezt minden ügyfelének az alapcsomag részeként – nem pótdíjért, hanem a telepítés mellé automatikusan.
Hogyan kezeljük a törlési és hozzáférési kérelmeket?
Az Apex Web chatbot adminfelületéről az üzemeltető le tudja tölteni és törölni a tárolt beszélgetéseket. Törlési kérelem esetén 30 napon belül teljesítjük – ez megfelel a GDPR 17. cikke szerinti határidőnek. Az üzemeltető maga is elvégzi a törlést az adminfelületen.
Mennyi ideig tárolják a chatbot-beszélgetéseket?
Alapértelmezetten 90 nap, de ez az adatkezelési tájékoztatóhoz igazítható. Az üzemeltető rövidebbre is beállíthatja az adminfelületen. A 90 napos időszak lejárta után a beszélgetések automatikusan, visszaállíthatatlanul törlődnek.
Mennyibe kerül egy GDPR-kompatibilis AI chatbot?
Az Apex Web weboldali AI chatbotja 24 900 Ft/hó-tól elérhető, és tartalmazza a GDPR-dokumentációt, adatfeldolgozói megállapodást és az átláthatósági feliratokat. Nincs belépési díj, nincs rejtett jogi pótdíj.