Tényleg EU-szerveren fut az „EU GDPR-konform" AI chatbot? 30 másodperces teszt
Nyolc magyar „EU GDPR-konform" AI chatbotot átnéztem a böngészőm devtools-ával. Hatnál az adat egyenesen az USA-szerverre megy — miközben a marketing pont az ellenkezőjét ígéri. Megmutatom, hogyan ellenőrzöd 30 másodperc alatt a saját chatbotodat, és mit jelent ez jogilag a webhely tulajdonosának.
Tartalomjegyzék
- A történet, ami miatt megírtam
- Miért fontos ez neked
- A 30 másodperces teszt — lépés-lépés
- A három árulkodó jel
- Mi az OpenAI ChatKit, és miért tévedt sokakat félre?
- Hogyan néz ki egy valódi EU-GDPR-konform chatbot?
- A vásárló ellenőrzőlistája
- Mi a jogi kockázat?
- A magyar piac helyzete röviden
- Összegzés
A történet, ami miatt megírtam
Pár hete egy magyar webfejlesztő-ismerős küldött egy linket: „Nézd meg, ezt írja a chatbot-szolgáltatóm honlapján — EU GDPR-konform AI chatbot, EU-szerverek, anonim adatkezelés. Mi a véleményed?"
Megnéztem.
A landing-en végig az állt, hogy minden adat EU-ban marad. A „Rólunk" oldalon: „Magyar fejlesztés, GDPR-prioritás, EU-szerverek." A GYIK-ben: „Az ügyfeled adatai nem hagyják el az Európai Uniót."
Megnyitottam a böngészőm devtools-át (F12), átkapcsoltam a Network fülre, és írtam a chatbotnak egy üzenetet.
A network-panelen ez jelent meg:
Ezzel az „EU GDPR-konform" ígéret két percnyi munkával kiderült: nem igaz.
És nem ez az egyetlen. Az elmúlt két hétben nyolc magyar AI chatbot-szolgáltató integrációját néztem át — hatnál ugyanez a kép.
Miért fontos ez neked
Egy magyar KKV-tulajdonosnak ugyanaz lehet az élménye. Megnézi az árlistát, lát egy „GDPR-konform" plecsnit, megrendeli. Két hónap múlva NAIH-vizsgálat érkezik — vagy egy felháborodott ügyfél jogi képviselője —, és kiderül:
- Az ügyfeleidnek nevét, e-mail-címét, telefonszámát USA-szerverre küldte a chatbot
- A beszélgetés-tartalmat OpenAI USA-szervere tárolja (a beszélgetés-azonosító alapján visszakereshető)
- A Data Processing Agreement (DPA) nincs aláírva OpenAI-jal — sem az ügyfél, sem a chatbot-szolgáltató nevére
- A Zero Data Retention opció nincs bekapcsolva — OpenAI a beszélgetéseket alapból 30 napig tárolja a saját logjaiban
- Az adatkezelési tájékoztatóban egyetlen sor sem említi, hogy az adat USA-ba megy
A jogi felelős nem a chatbot-szolgáltató — hanem te, a webhely tulajdonosa. GDPR-szempontból te vagy az „adatkezelő" (Data Controller), a chatbot-szolgáltató csak az „adatfeldolgozó" (Data Processor). Az ügyfél téged perel, te kapod a NAIH-bírságot.
A NAIH-bírság szintje: KKV-knál tipikusan 5–50 millió forint, a 4%-os árbevétel-szankció elvileg 20 millió euróig él. Nem érdemes találgatni, mit visel el a céged.
A 30 másodperces teszt — lépés-lépés
Ehhez a teszteléshez semmilyen technikai tudás nem kell. Csak egy laptop és egy böngésző.
1. Nyisd meg a chatbotot
Akár a sajátodat, akár egy versenytársét, akár a szolgáltatód demóját. A lényeg, hogy a chatbot-widget aktív legyen a weboldalon.
2. Nyisd meg a böngésző devtools-át
- Windows / Linux: F12 vagy Ctrl+Shift+I
- macOS: Cmd+Option+I
A felugró panelen kapcsolj át a Network (Hálózat) fülre.
3. Indíts egy beszélgetést a chatbottal
Írj be egy üzenetet, küldd el. A Network-panelen most megjelenik egy csomó HTTP-kérés.
4. Keresd a chat- vagy message-tartalmú URL-eket
A Network-panel tetején van egy kereső/szűrő mező. Írd be: chat vagy message. Csak azok a kérések maradnak, amelyek a chatbothoz tartoznak.
5. Olvasd el a Request URL első részét
Ez a kulcskérdés. Mit látsz?
| Amit látsz | Mit jelent |
|---|---|
https://api.openai.com/... | ❌ Az adat USA-szerverre megy. OpenAI default infrastruktúrája az USA-ban van. |
https://api.anthropic.com/... | ⚠️ Globális endpoint — DPF-tanúsítvány alatt, de adat-residency nincs garantálva (USA default). |
https://eu.api.openai.com/... | ✅ EU adattárolás OpenAI-nál (a 2025-ben bevezetett európai régió). |
https://europe-west*-aiplatform.googleapis.com/... | ✅ EU adattárolás Google Vertex AI-n (Frankfurt, Hollandia stb.). |
https://<saját-domain>/api/... | ✅ Server-side proxy — a chatbot a saját szerveredre megy, onnan kezeled az AI-hívást. |
Az utolsó kettő a valódi EU-residency. A felső három nem.
A három árulkodó jel
Ha a Request URL api.openai.com-ra megy (a leggyakoribb eset), tovább nézheted a fejléceket. Klikk a kérésre, a részletek-panelen menj a Headers alá.
1. A Remote Address mezőben Cloudflare-IP látszik
Tipikusan 162.159.x.x környékén, és a cf-ray végén egy 3-betűs város-kód, például ...VIE (Vienna).
A nem-szakember azt hiszi: „Bécs, tehát EU!" De nem. A Cloudflare csak az edge-network (CDN-réteg), ami a kérést csak továbbküldi az OpenAI USA-backend-jére. Az adat-feldolgozás nem itt történik.
2. A authorization token tartalma
Az Authorization: Bearer ek_... header második fele base64-kódolt JSON. Másold ki a base64-részt, és dekódold egy egyszerű online dekódolóval (például base64decode.org):
A data_locality: null azt jelenti: nincs adatszuverenitás beállítva. Az adat OpenAI default infrastruktúrájára, vagyis az USA-ba kerül.
Ha valódi EU-residency lenne, itt "data_locality": "eu" állna.
3. Az openai-organization és openai-project mezők
Ezeket nem szabadna látnod, ha a fejlesztő mindent szerveroldalon tartana. Ha látod, akkor a beágyazás közvetlen (kliens-oldali), nem proxyzva.
Mi az OpenAI ChatKit, és miért tévedt sokakat félre?
Az OpenAI ChatKit önmagában tisztességes termék — az OpenAI 2024–2025-ben adta ki azoknak a fejlesztőknek, akik gyorsan szeretnének chat-funkciót integrálni. Pár sor kód, és kész.
A probléma nem a ChatKit. A probléma az, hogy a magyar piacon „EU GDPR-konform AI chatbot"-ként hirdetik, miközben semmilyen EU-residency beállítás nincs benne. A data_locality paramétert lehet „eu"-ra állítani — de a kivitelezők többsége nem teszi meg, mert:
- Nem tudnak róla
- Nem éri meg nekik (lassabb az EU-régió, drágább pár centtel)
- Az ügyfél úgyse fogja ellenőrizni
A „marketing-igazság" és a „technikai igazság" eltérése évek óta tartó probléma az AI-chatbot piacon. A különbség most az, hogy devtools-szal mérhető.
Hogyan néz ki egy valódi EU-GDPR-konform chatbot?
Három minimum-feltétel együtt:
1. Server-side proxy
A chatbot widgetje a saját domainedre küldi a kéréseket, nem közvetlenül OpenAI-ra vagy Anthropic-ra. A Network tabon csak valami-saját-domain.hu/api/chat/message-szerű hívásokat látsz.
2. EU-régiós AI-endpoint a háttérben
A saját szervered (ami a böngésző helyett hívja az AI-t) EU-régiós végpontra megy:
- OpenAI:
eu.api.openai.com+ projekt-régió „Europe" - Anthropic:
inference_geo: 'eu'paraméter (+10% felár a global helyett) - Google Gemini:
europe-west4-aiplatform.googleapis.com(Hollandia) vagyeurope-west3(Frankfurt)
3. Aláírt DPA + Zero Data Retention
A chatbot-fejlesztő bemutatja:
- Aláírt Data Processing Agreement-et OpenAI/Anthropic-kal
- Bekapcsolt Zero Data Retention (ZDR) opciót
- Adatkezelési tájékoztatót, ami expliciten nevén nevezi az AI-feldolgozót
Ha ez a három együtt megvan, akkor a chatbot tényleg EU-GDPR-konform.
Kíváncsi vagy, hogyan néz ki egy valódi EU-residency chatbot?
A digitaldynamics.hu/ai-chatbot.html oldalon kipróbálhatod a sajátunkat. A Network-tabon csak digitaldynamics.hu/api/chat/... hívásokat látsz — a háttérben Google Vertex AI europe-west4 + Anthropic DPF. Bárki ellenőrizheti.
A vásárló ellenőrzőlistája
Mielőtt egy chatbotra szerződnél, kérj a kivitelezőtől négy dolgot:
- Architektúra-ábra — bemutatja, hogy a chatbot-kérelmek a saját szerverüket vagy közvetlenül egy nemzetközi AI-szolgáltatót hívnak
- AI-szolgáltató DPA-példánya — OpenAI/Anthropic-tól ingyenesen kapható, a fejlesztő tudja igazolni, hogy aláírta
- Zero Data Retention (ZDR) bekapcsolásának igazolása — egy beállítási screenshot vagy email-megerősítés
- EU-region projekt-azonosító — vagy az OpenAI „Europe" projektből, vagy a Vertex AI europe-west régióból
Ezeket a fejlesztőnek 2–3 napon belül kell tudnia adni. Ha „majd küldjük" vagy „bonyolult elmagyarázni" választ kapsz, valószínűleg nincsenek meg.
Plusz a böngésződ devtools-ával a saját szemeddel is ellenőrizheted, ahogy fent leírtam.
Mi a jogi kockázat?
Ha a chatbotod USA-szerverre küldi a magyar ügyfeleid adatait DPF-DPA-SCC nélkül, a következő történhet:
| Forgatókönyv | Mit lehet várni? |
|---|---|
| Egy ügyfél NAIH-bejelentést tesz | NAIH-vizsgálat indul (6–18 hónap), a végén pénzügyi szankció — KKV-nél tipikusan 5–50 millió Ft |
| Egy ügyfél polgári pert indít | Sérelemdíj 100 ezer – 1 millió Ft, plusz jogi költségek |
| Egy nagyobb B2B ügyfél auditot kér | A céged kiesik a beszállítói körből, üzleti veszteség |
| NIS2-érintett ügyfél compliance-igazolásra kötelez | Be kell mutatnod az adatfeldolgozási láncot — ha nem tudod, elveszíted a megbízást |
A bírság az ügyfélnek megy, nem a chatbot-fejlesztőnek. De a fejlesztő ellen polgári per indítható félrevezető marketing miatt.
A magyar piac helyzete röviden
Az elmúlt két hétben nyolc népszerű magyar AI chatbot-szolgáltató kínálatát teszteltem (devtools-szal, nem szakértői audittal). Az eredmény:
| Mit találtam | Hány szolgáltatónál |
|---|---|
Közvetlen api.openai.com hívás a böngészőből, data_locality: null | 6 / 8 |
| Server-side proxy + EU-region endpoint | 2 / 8 |
| DPA / ZDR explicit közlése a landing-en | 1 / 8 |
A neveket nem írom le, mert nem szeretnék konkrét versenytársamba beleállni. De a teszt bárki által megismételhető. Ha kíváncsi vagy a saját chatbotod helyzetére, fent leírtam, mit nézz meg.
Összegzés
Két perc:
- Nyisd meg a chatbotodat (vagy a vizsgálni kívánt versenytársét)
- F12 → Network → írj egy üzenetet
- Nézd meg, mi az első kérés URL-je
Ha api.openai.com-ot vagy api.anthropic.com-ot látsz közvetlenül a böngészőből, kérdezd meg a fejlesztődet ezt a négy kérdést:
- Be van állítva az EU-region projekt OpenAI-nál vagy Anthropic-nál?
- Van DPA aláírva, és mutatható az ügyfélnek?
- Be van kapcsolva a Zero Data Retention?
- Az adatkezelési tájékoztatóm nevén szerepel az AI-szolgáltató?
Ha nem kapsz mindenre konkrét igent és bizonyítékot, akkor a „GDPR-konform" plecsni csak színes felirat.
Készen állsz egy őszinte ellenőrzésre?
Megnézzük a meglévő chatbotodat (akár tőlünk, akár máshonnan kaptad), és átláthatóan elmondjuk, hol áll GDPR-szempontból. Nyomás nélkül — ha minden rendben van, azt is megmondjuk.
Ingyenes chatbot-átvilágítás kérése →