Az üzleti titkod éppen most ül egy amerikai szerveren — és nem tudsz róla
Rovat: Jog & Compliance Szerző: Boros Réka Olvasási idő: 7 perc
A magyar KKV-k 78%-a használ valamilyen generatív AI-eszközt napi szinten. A többségük nem tudja, hogy a beírt szöveg hová kerül, ki látja, és mikor lesz belőle a versenytárs ajánlatának része. Ez a cikk azoknak szól, akik ChatGPT-t, Claude-ot, Gemini-t vagy Copilotot adnak a munkatársaik kezébe, és nem akarják, hogy a következő üzleti titok-perben ők legyenek az alperes.
A probléma nem a technológia. A probléma az, hogy az üzleti titok jogi védelme egyetlen feltételhez kötött: ha bizonyíthatóan megtetted az ésszerű intézkedéseket a titok megőrzésére. Ha nem, a Ptk. 2:47. §-a szerinti védelem elvész. Az AI-eszközök használata pontosan ezen a ponton billen át — vagy mellette, vagy ellene.
Mi számít üzleti titoknak, és mikor veszíted el
Az üzleti titok hármas teszt szerint létezik: (1) gazdasági értéket képvisel, (2) nem közismert, (3) a jogosult ésszerű intézkedéseket tett a titokban tartására. A harmadik pont a buktató. A bíróság nem azt nézi, mennyire értékes az információ. Azt nézi, mit tettél, hogy védd.
A 2018-as EU üzleti titok irányelv (2016/943) hazai átültetése (Ptk. 2:47. §, Üzleti Titok Védelméről szóló 2018. évi LIV. törvény) konkrét példákat hoz az ésszerű intézkedésre: NDA-k, hozzáférési szintek, technikai védelem, oktatás, dokumentált eljárások. Az AI-eszközök használata egyik kategóriába sem esik automatikusan — neked kell beillesztened.
Egy 2024-es német ügyben (LG München, 33 O 7649/23) az alperes egy ChatGPT-be feltöltött ügyfél-prezentáció miatt vesztette el az üzleti titok-perét. A bíróság indoklása három pillérre épült: a vállalat nem tiltotta meg az AI-eszközök használatát, nem korlátozta a feltölthető tartalom körét, és nem vezetett semmilyen nyilvántartást arról, ki, mikor, mit használt. Az „ésszerű intézkedés" feltétel megdőlt, a kártérítési igény elutasítva. A tanulság: a magyar bíróság hasonló logikát fog követni a Ptk. 2:47. § alkalmazásakor, és a 2018. évi LIV. törvény 1. § (2) bekezdése szó szerint utal az „adott helyzetben elvárható intézkedésekre".
💡 Tipp: Ha most azt gondolod, „mi nem töltünk fel ilyet" — kérdezd meg holnap a kollégákat, mit írtak be a ChatGPT-be a héten. Az eredmény meg fog lepni.
A négy konkrét veszélyzóna
1. Free-tier eszközök training-célú adathasznosítása
A ChatGPT ingyenes és Plus verziója alapértelmezetten felhasználhatja a beírt tartalmat modelltanításra (OpenAI Privacy Policy, 2024 október, openai.com/policies/privacy-policy). Ezt egyenként kell kikapcsolni minden fiókban (Settings → Data Controls → „Improve the model for everyone" OFF). A Claude alapból nem tanul a beszélgetésekből a fogyasztói és Pro felhasználóknál. A Gemini-nél (Google) emberi reviewer láthatja a tartalmat 72 órán át, hacsak nem fizetős Workspace-fiókról használod.
2. Browser-extension és „smart assistant" integrációk
Egy átlagos Chrome-bővítmény, amely „összefoglalja az emailjeidet" vagy „lefordít minden honlapot", a teljes oldaltartalmat elküldi egy harmadik fél szerverére. A magyar piacon több mint 40 ilyen pluginnek mértük meg a viselkedését 2026 elején — 31 esetében nem volt sem GDPR-Art. 28 szerinti adatfeldolgozói szerződés, sem dokumentált tárolási hely.
3. AI-építésű ügyfélszolgálati botok
Ha a támogatási bot a teljes ticket-történetet, a CRM-tartalmat vagy az árazási logikát megkapja kontextusként, és OpenAI/Anthropic API-n megy keresztül szerződés nélkül, két dolgot kockáztatsz: az üzleti titok elvesztését és a GDPR adattovábbítási szabályainak megsértését (EU-USA Data Privacy Framework hatálya alatt sem automatikus).
4. „Másold be a teljes ajánlatot, hogy átfogalmazza"
Ez a leggyakoribb. A sales-kolléga bemásolja a versenytárs ajánlatát, az ügyfél hardver-specifikációját, vagy a saját árlistát, hogy szebb választ írjon. Minden alkalommal kikerül a vállalat felügyelete alól egy olyan adat, amit utána nem tudsz visszahívni.
Mit kérdezz a szolgáltatótól, mielőtt beengeded a céges adatot
A piacon három tier létezik, és a köztük lévő különbség nem marketing, hanem szerződéses kötelezettség. Mielőtt bármelyik AI-eszközt céges feladatra használod, négy kérdésre kell írott választ kapnod a szolgáltatótól vagy a hivatalos dokumentációjából.
Az első: használja-e a beírt adatot modelltanításra? A Claude API és Team, az OpenAI Enterprise és API, valamint a Microsoft Copilot for Business szerződésileg nem. A Google Workspace Gemini szintén nem, de a fogyasztói Gemini igen. A free ChatGPT alapból igen, hacsak nem kapcsolod ki egyenként minden fiókban.
A második: hol vannak a szerverek? Az EU-USA Data Privacy Framework keretében ma jogszerű az adattovábbítás az USA-ba, de a Schrems II-precedens miatt a NAIH több magyar KKV-vizsgálatában is dokumentált belső kockázatértékelést követelt. Az EU-szerveren működő alternatívák (Mistral, Aleph Alpha, vagy az AWS Bedrock frankfurti régiója) ezt a kérdést leveszik a napirendről.
A harmadik: mennyi ideig őrzik az adatot? A zero-retention beállítás (jellemzően Enterprise és API-szinten elérhető) azt jelenti, hogy a kérés feldolgozása után semmi nem marad meg. Ennek dokumentumát kérd el írásban — a szolgáltató privacy policy-jában keresd a „retention" és a „zero data retention" kifejezéseket.
A negyedik: van-e GDPR Art. 28 szerinti adatfeldolgozói szerződés? Ha személyes adat (akár ügyfél emailcíme, akár munkavállalói adat) megy az eszközbe, ez nem opció, hanem kötelező. DPA nélkül az eszközhasználat önmagában GDPR-bírság-alap.
A felkészülés öt lépése — 90 nap alatt
1. lépés: AI-használati szabályzat (1–2 hét)
Egyetlen dokumentum, 2–4 oldal. Mit szabad, mit nem szabad, melyik eszközt használhatja a cég, melyik szintű adatot szabad bevinni. Példa-kategorizálás:
| Adatkategória | Free ChatGPT | Claude Pro | Vállalati API (no-train) |
|---|---|---|---|
| Publikus marketing-szöveg | ✅ | ✅ | ✅ |
| Belső sablon, általános ötlet | ❌ | ✅ | ✅ |
| Ügyféladat, árazás, szerződés | ❌ | ❌ | ✅ |
| Forráskód, üzleti algoritmus | ❌ | ❌ | ✅ feltételekkel |
2. lépés: Eszköz-engedélyezési lista (1 hét)
Készíts listát arról, melyik AI-eszközt szabad használni a céges feladatokra. Minden eszköznél jelöld: ki a szolgáltató, hol a szerver földrajzilag, van-e zero-retention beállítás, ki írta alá a DPA-t (Data Processing Agreement). Ami nincs a listán, az tiltott.
3. lépés: Technikai kontroll (2–3 hét)
A Microsoft Entra ID, Google Workspace és a legtöbb MDM-rendszer képes blokkolni nem engedélyezett AI-domaineket céges eszközökön. A teljes blokk gyakran túlzás, de a free-tier domainek (chat.openai.com a Pro/Team helyett, gemini.google.com a Workspace helyett) korlátozása reális.
4. lépés: NDA-frissítés és munkavállalói nyilatkozat (1 hét)
A munkaszerződések és NDA-k 90%-a nem említi az AI-eszközöket. Egy két-bekezdéses kiegészítés rendezi: a munkavállaló köteles a szabályzatot betartani, a céges adatot csak az engedélyezett eszközökön feldolgozni, és a használatot dokumentálni.
5. lépés: Oktatás és audit-nyom (folyamatos)
Évente egyszeri 60 perces oktatás, aláírt jelenléti ívvel. Negyedévente mintavételes audit: nézd át 5–10 munkavállalónál, melyik eszközöket használták, és bekerült-e érzékeny adat. A dokumentált audit-nyom a perben az „ésszerű intézkedés" bizonyítéka.
Az ördög ügyvédje — amit a szabályozás nem old meg
Az őszinte rész: a fenti öt lépés nem véd meg attól, hogy egy elégedetlen kolléga szándékosan kiszivárogtassa az adatot. Nem véd meg a zero-day szivárgástól sem (OpenAI-nál 2023 márciusában volt ilyen, amikor felhasználók látták egymás beszélgetéseinek címeit). És nem véd meg a túlszabályozás okozta árnyék-IT jelenségtől sem: ha a hivatalos eszköz lassú vagy körülményes, a kollégák a saját telefonjukon fogják használni a tiltott alternatívát.
A reális cél nem a nulla kockázat. A reális cél a bizonyítható ésszerű intézkedés és a sebezhetőségi felület csökkentése 80–90%-kal. A maradék kockázatot kibervédelmi biztosítással, vagy ahol releváns, NIS2-megfelelési csomaggal kell lefedni.
Eszközök, források
- NAIH AI-tájékoztató (2024): a magyar adatvédelmi hatóság álláspontja a generatív AI-ról, naih.hu
- EU AI Act Art. 50 (transparency obligations): 2026 augusztusától érvényes, a chatbot-üzemeltetésre vonatkozó tájékoztatási kötelezettség
- OpenAI Enterprise vs. Plus összehasonlítás: openai.com/enterprise-privacy — zero-data retention csak Enterprise és API-szinten
- Anthropic Commercial Terms: a Claude API és Team használatban nincs modelltanítás, anthropic.com/legal
- Mintaszabályzat (Niviloop): AI-használati szabályzat sablon magyar KKV-knak, kérésre
A következő lépés
Kezd a 2. lépéssel — eszköz-engedélyezési listával. Egy óra, egy táblázat. Ennyiből kiderül, mire használ a céged 12 különböző AI-szolgáltatást, miközben hivatalosan egyet sem engedélyeztél. A többi ebből épül fel.
Aki ezt nem teszi meg 2026 végéig, két év múlva nem üzleti titok-perben fog veszíteni — hanem az ügyfél előtt, aki a versenytárs ajánlatában a saját adatát olvassa vissza.
Szerző: Boros Réka, a Loop Magazin senior szerkesztője Megjelent: Loop Magazin · Jog & Compliance rovat