Útmutatók

A GDPR és az AI: amit tudnia kell

GDPR és az AI: mit kell tudni a személyes adatokról, az automatizált döntéshozatalról és a NAIH-ról.

Szerző: aiReview · 2026-04-30 · 2 perc olvasás

A GDPR és a magyar 2011. évi CXII. törvény (Infotv.) a legközvetlenebb szabályok, amikor AI-t használ személyes adatokkal. A felügyeletet a NAIH látja el.

AI és adattovábbítás

Ügyfelek személyes adatainak EU-n/EGT-n kívüli AI-/felhőszolgáltatásba küldése (például egy amerikai vagy kínai LLM API-ba) harmadik országba történő adattovábbítás a GDPR (V. fejezet) szerint, és érvényes jogi alapot igényel (például az EU–US adatvédelmi keret, általános szerződési feltételek vagy eltérés). Ha az adatokat az EU-ban szeretné tartani, a megoldás egy nyílt modell self-hostolása, EU-régiós felhő vagy a helyi futtatás.

Automatizált döntések

A GDPR 22. cikke szerint az érintettnek főszabály szerint joga van ahhoz, hogy ne terjedjen ki rá kizárólag automatizált döntés hatálya, amely rá nézve joghatással jár vagy hasonlóan jelentős hatást gyakorol (például hitel, felvétel) — kivételekkel és emberi felügyelet melletti követelménnyel. Ha ilyen döntésekhez használ AI-t, tartson embert a folyamatban, és ellenőrizze az aktuális követelményeket.

Felügyelet és gyakorlat a cégeknek

Magyarországon nincs egyetlen „AI-hatóság”, hanem megosztott modell működik (a 2025. évi LXXV. törvény alapján): az AI Act piacfelügyeleti hatósága és nemzeti kapcsolattartó pontja a vállalkozásfejlesztésért felelős miniszter (a Nemzetgazdasági Minisztérium keretében); a bejelentő hatóság a Nemzeti Akkreditáló Hatóság (NAH); a pénzügyi szektorban az AI piacfelügyeletét az MNB (Magyar Nemzeti Bank) látja el. Az SZTFH nem az AI Act hatósága (az a kiberreziliencia / CRA hatóság). Az adatvédelmi felügyeleti hatóság a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság), a jogi alap a GDPR ((EU) 2016/679) + a 2011. évi CXII. törvény (Infotv.). Kérjen hozzájárulást, ahol szükséges, minimalizálja az AI-ba küldött személyes adatokat, és érzékeny adatoknál fontolja meg a self-hostingot/EU-régiót. Ez a cikk általános tájékoztatás, nem jogi vagy adótanácsadás — a szabályok, az árak és a határidők változhatnak. Ellenőrizze a hivatalos forrásokat.

Ha az AI-val való kísérletezéstől szeretne eljutni odáig, hogy be is építse a valódi munkájába, léteznek platformok, amelyek egy helyen fogják össze a csevegést, az automatizálást és az alkalmazásokat — ilyen például az osFoundry, egy agentalapú AI-platform, ahol a saját modelljét (BYO-modell) köti be

Lásd még

Ez a cikk általános tájékoztatás, nem jogi vagy adótanácsadás.

Gyakran ismételt kérdések

Mi a GDPR?

Az európai általános adatvédelmi rendelet ((EU) 2016/679), Magyarországon a 2011. évi CXII. törvénnyel (Infotv.) kiegészítve, a NAIH felügyeletével.

Használható az AI az ügyfelek adataival?

Igen, érvényes jogalappal; az adatok EU/EGT-n kívülre küldése harmadik országba történő adattovábbítás az V. fejezet szerint.

Mit mondanak a szabályok az automatikus döntésekről?

A GDPR 22. cikke főszabály szerint jogot ad arra, hogy ne terjedjen ki Önre kizárólag automatizált, jelentős hatású döntés.

Hogyan csökkentse a kockázatot?

Minimalizálja az AI-ba küldött személyes adatokat, kérjen hozzájárulást, és fontolja meg a self-hostingot vagy az EU-régiót.