callcenter2026. május 11.HU

Jogi felvétel és tájékoztatás — GDPR-konform AI hangügynök keret

GDPR-konform tájékoztatási szkript az első 5 másodpercben, AES-256-GCM tárolás, 90-napos retention, 30-napos right-to-erasure SLA.

Jogi felvétel és tájékoztatás — GDPR-konform keret

Egy AI hangügynök jogszabályi megfelelése nem opcionális, hanem létkérdés. Ha rosszul rögzítünk, rosszul tájékoztatunk, vagy rosszul tároljuk a felvételeket, az egyetlen GDPR-bírság elsöpörheti a teljes ROI-t. Ebben az írásban végigjárjuk azt a keretet, amit a Nortinia AI Call Center alapból kínál, és azokat a jurisdictiókat, ahol még nem indultunk el.

A kötelező tájékoztatási szkript

Minden bejövő és kimenő hívás első 5-8 másodpercében kötelező az alábbi tájékoztatás. Ez nem opció, hanem alapértelmezett:

"Üdvözlöm, ez a beszélgetés rögzítésre kerül szolgáltatásminőségi és képzési célból. Részvétele önkéntes, és ön bármikor jogosult kérni a felvétel törlését."

Magyar nyelven 5.2 másodperc. Angol és német változat hasonló hosszúságú. A tenant testreszabhatja a szöveget, de a négy kötelező elem nem törölhető:

A rögzítés ténye
A rögzítés célja
Az önkéntesség jelzése
A törlés joga (right-to-erasure utalás)

Ha az ügyfél a 6. másodpercben szólalna meg (próbálná megszakítani), az ügynök befejezi a tájékoztatást, mielőtt válaszolna. Ez a sorrend nem keverhető.

A felvétel tárolása

A hangfelvételek minden esetben AES-256-GCM titkosítással kerülnek tárolásra. A kulcsok tenant-specifikusak, és a Nortinia infrastruktúrán Vault-kezeltek. A titkosítás at-rest és in-transit egyaránt érvényes.

A tárolás default retention: 90 nap. Ezt minden tenant felülbírálhatja:

30 nap — minimum, alatta nem javasoljuk (audit, vita esetén kell)
90 nap — alapértelmezett, a legtöbb iparágra jó
365 nap — szabályozott iparágak (egészségügy, pénzügy) esetén
Custom — egyedi időtartam, jogi review után

A retention-időtartam lejárta után a felvételek automatikusan törlődnek a forró tárolóból, és a hideg backup-ból 7 nappal később.

Right-to-erasure SLA: 30 nap

Ha egy ügyfél kéri a róla rögzített hangfelvétel törlését (GDPR Article 17), a Nortinia 30 naptári napon belül elvégzi. A folyamat:

Kérés befogadása — emailben, telefonon, vagy a tenant ügyfél-portálján keresztül
Azonosítás — telefonszám + name match, vita esetén ID-igazolás
Felvételek lekeresése — minden olyan hívás, ahol az ügyfél részt vett
Törlés — forró tárolóból + cold backup-ból + transzkripció + származtatott adatok (vector embeddings, ha vannak)
Megerősítés — emailes visszajelzés a teljesítésről

Fél év alatt 47 right-to-erasure kérés érkezett, mind a 47-et a 30-napos SLA-n belül teljesítettük. A medián teljesítési idő 8 nap volt.

A tájékoztatás nemcsak formális; mögötte tényleges joglogika fut. Ha az ügyfél bármikor a hívás közben azt mondja, hogy "nem szeretném, hogy ezt rögzítsék" vagy "vonjuk vissza a hozzájárulásomat", az alábbi automatikus folyamat indul:

A rögzítés azonnal megáll
A korábban felvett hang azonnal flag-elődik "pending-erasure" jelzéssel
24 órán belül a felvétel törlésre kerül (kivéve, ha jogszabály mást ír elő)
A tenant audit-logba bekerül az esemény
Az AI az adott hívást emberhez adja át a végén (mert ettől a ponttól a felvétel hiánya operatív problémát okozhat)

A kimenő hívásoknál a letevés is automatikusan revocation-nak minősül; nincs külön szó-felismerés szükséges.

Két jurisdikció, ahol még nem vagyunk

Két régió van, ahol a Nortinia AI Call Center jelenleg nem érhető el szabályozási okokból:

1. USA — két-fél-consent államok. California, Florida, Pennsylvania és további 9 állam consent-required rögzítést ír elő, ami azt jelenti, hogy a beszélgetés rögzítéséhez mindkét fél explicit hozzájárulása szükséges. Az alapértelmezett "silent-recording" tájékoztatás nem elég; külön igen-választ kell rögzíteni.

Ez egy konkrét compliance-fejlesztés, amit 2026 Q3-ban tervezünk megépíteni: kötelező "hozzájárul-e?" kérdés a tájékoztatás után, és a hívás csak igen-válasz esetén folyik tovább.

2. Svájc — strict-consent rendszer. A svájci adatvédelmi szabályozás (revFADP) GDPR-nál szigorúbb, különösen az automated decision-making területén. Az AI hangügynök svájci ügyfélre alkalmazva jelenleg jogi review nélkül kockázatos. A lehetőség nyitva, de tenantonként egyedi jogi vélemény kell.

Az audit-trail

Minden hívás, minden tájékoztatás, minden consent-esemény, és minden törlés egy immutable audit-logba kerül. Ez tenant-specifikus, exportálható, és olyan formátumban tárolt, amelyet a magyar NMHH és az EU adatvédelmi hatóságok elfogadnak audit során.

Fél év alatt két tenantnál volt hatósági adatvédelmi audit. Mindkét esetben a Nortinia audit-log elegendő volt a megfelelés bizonyítására. Külön jelentés vagy beavatkozás nem kellett.