A közelmúltban hatályba lépett és több lépcsőben alkalmazandóvá váló MI Rendelet mellett az Európai Bizottság 2022. októberében két irányelvre vonatkozó javaslatot tett, amelyeknek a mesterséges intelligencia rendszerek tekintetében is komoly relevanciája van. Egyrészt a hibás termékekért való felelősségre (termékfelelősség) vonatkozó irányelv (85/374/EEC) felülvizsgálatát, másrészt a mesterséges intelligencia alkalmazásával összefüggésben felmerülő szerződésen kívüli károkozás szabályainak harmonizálását javasolták.

Az MI-vel kapcsolatos felelősségre vonatkozó szabályokat tartalmazó irányelv tárgyalása viszont időközben némileg elakadt és az is kérdésként merült fel, hogy egyáltalán szükséges-e további szabályozás e téren és ha igen, akkor pontosan milyen tartalommal. Az Európai Parlament által megrendelt és most megjelent hatásvizsgálat kimozdíthatja az MI-vel kapcsolatos felelősségre vonatkozó irányelvet övező diskurzust a holtpontról és kijelölheti a további egyeztetések irányát is. Az alábbiakban röviden bemutatom a kiegészítő hatásvizsgálat legfontosabb megállapításait, illetve azt, hogy milyen irányt vehet az MI felelősségi irányelvet érintő szabályozás a hatásvizsgálatban foglaltak alapján.  

Az Európai Unió hivatalos lapjában megjelent az új termékfelelősségi irányelv (2024/2853 sz. irányelv a hibás termékekért való felelősségről és a 85/374/EGK tanácsi irányelv hatályon kívül helyezéséről), amely - a legutóbb 1999-ben felülvizsgált - 1985 óta hatályban lévő korábbi irányelvet (85/374/EGK) váltja fel. Az irányelv a kihirdetést követő 20. napon (december 8.) lép hatályba és a tagállamoknak 2026. december 9. napjáig kell a nemzeti jogukba átültetniük. Az irányelvben szereplő szabályok a 2026. december 9. után forgalomba hozott vagy használatba vett termékekre alkalmazandók. (A korábbi irányelv 2026. december 9-én hatályát veszti, de továbbra is alkalmazandó marad az ezen időpont előtt forgalomba hozott vagy használatba vett termékekre.)

The AI Act entered into force on 1 August 2024 and its provisions on AI governance (Chapter VII) will apply from 2 August 2025. The AI governance on the EU level includes the AI Office, the European Artificial Intelligence Board, an advisory forum and a scientific panel of independent experts should also be established. 

At the same time, on the national level, Member States are responsible for implementing and enforcing the AI Act. Each Member State shall establish or designate as national competent authorities at least one notifying authority and at least one market surveillance authority for the purposes of the AI Act (Art. 70 AI Act). Member States shall communicate to the Commission the identity of the notifying authorities and the market surveillance authorities and the tasks of those authorities, as well as any subsequent changes thereto. Member States shall designate a market surveillance authority to act as the single point of contact for the AI Act, and shall notify the Commission of the identity of the single point of contact. The Commission shall make a list of the single points of contact publicly available.

A francia adatvédelmi hatóság (CNIL) mobilalkalmazások fejlesztésére vonatkozó útmutatót tett közzé azzal a céllal, hogy elősegítse az adatvédelmi szabályoknak megfelelő alkalmazásfejlesztést (a teljes útmutató egyelőre francia nyelven érhető el).

A téma fontosságát nehéz túlbecsülni, hiszen a mobilalkalmazások az egyik legfontosabb eszközei a digitális tartalmak és szolgáltatások elérésének. Ráadásul a mobilalkalmazások fejlesztését és felhasználók számára elérhetővé tételét biztosító ökoszisztéma egyre összetettebb és így könnyen átláthatatlanná válhat a felhasználók számára, hogy az adataikat milyen folyamatok szerint, milyen célból, kik és hogyan kezelik. Fontos tisztázni tehát, hogy az egyes szereplőknek milyen minimális követelményeknek kell megfelelniük, illetve ezen túlmenően is, milyen jó gyakorlatok állnak rendelkezésre, amelyek a megfelelést teljesebbé tehetik. 

Fontos kielemni, hogy az útmutató a GDPR-nak és az elektronikus hírközlési adatvédelmi irányelvnek (adatvédelmi követelményeknek) való megfelelésre fókuszál és nem érinti az egyéb jogszabályi követelményeknek (pl. fogyasztóvédelem, digitális piacokról szóló rendelet, stb.) való megfelelés kérdéseit. (Ugyanakkor a CNIL az útmutató kapcsán egyeztetett a francia versenyhatósággal, az ADLC-vel is, mivel az elmúlt években egyre inkább világossá vált az adatvédelem és a versenyjog közötti kölcsönhatás, jelentős mértékben éppen az online térben zajló folyamatokra és megjelenő üzleti modellekre tekintettel.)

Az adatkezelő személyének változásával járó jogügyletek ("eszközértékesítések") során gyakran merül fel a kérdés, hogy a személyes adatokat tartalmazó adatbázisokhoz miként biztosítható hozzáférés, hogyan továbbíthatók az adatok úgy, hogy közben az adatvédelmi szabályoknak megfelelően járjon el az adatkezelő. A témával kapcsolatban több NAIH állásfoglalást is olvashattunk már korábban, illetve a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz; DSK) néhány éve - röviden - szintén foglalkozott a kérdéssel. A napokban a DSK egy újabb állásfoglalással (2024. szeptember 11.) jelentkezett a téma kapcsán, amely már részletesebben, adatkategóriákra és az adatbázisban szereplő adatok életciklusára lebontva mutatja be, hogy milyen adatvédelmi szempontokat kell figyelembe venni az eszközértékesítésekhez (asset deal) kapcsolódó adattovábbítások során.     

Az alábbiakban nézzük meg röviden, hogy mely szempontokra hívja fel a figyelmet a frissen publikált állásfoglalás az eszközértékesítések során felmerülő adattovábbítási kérdésekkel kapcsolatban.

A személyes adatok kezelésével járó tudományos kutatások kapcsán elsődleges kérdés, hogy a GDPR alkalmazása során mit tekinthetünk tudományos kutatásnak, mely esetekben alkalmazhatók az erre vonatkozó speciális szabályok. A német adatvédelmi biztosok konferenciája (Datenschutzkonferenz, DSK) ebben a kérdésben ad segítséget az adatkezelőknek egy, a napokban megjelent állásfoglalásában.

Bár több helyen hivatkozik a "tudományos és történelmi kutatásra", mint adatvédelmi szempontból speciális kezelést igénylő tevékenységre, a GDPR a fogalmat nem határozza meg. 

In connection with scientific research involving the processing of personal data, the primary question is what can be considered scientific research during the application of the GDPR, and in which cases the specific rules of GDPR can be applied. Although the GDPR refers to "scientific and historical research" in several cases as an activity requiring special data protection rules for processing (see Articles 5 (1) b), e), 9 (2) j), 14 (5) b), 17 (3) d), 21 (6) and 89), the GDPR does not define the notion of "scientific research". The Conference of German Data Protection Commissioners (Datenschutzkonferenz, DSK) is assisting data controllers in this regard in a recent position paper.

Az árnyékinformatika ("shadow IT") fogalma egyáltalán nem új, évtizedes jelenségről van szó, amely a felhőszolgáltatások megjelenésével, illetve az egyre fejlettebb számítástechnikai eszközöknek a felhasználók széles körében történő elterjedésével  kapott igazán nagy lendületet (különösen az okostelefonok, illetve hordozható számítógépek, laptopok, tabletek megjelenésével - vö. az ún. "Bring Your Own Device", BYOD jelenséggel, amely szintén komoly belső szabályozási kihívásokkal jár(t) a vállalkozások számára). Újabban, leginkább a ChatGPT 2022. novemberi elérhetővé válását követően az árnyékinformatikai jelenségek egy újabb alcsoportjával a "shadow AI", azaz a nem jóváhagyott, nem ellenőrzött mesterséges intelligencia (MI) alkalmazások használatának veszélyével ismerkedhetünk. 

The concept of shadow IT is by no means new, it is a decades-old phenomenon that gained momentum with the advent of cloud services and the spread of increasingly advanced computing devices among a wide range of users (especially with the advent of smartphones, laptops, tablets - cf. the so-called "Bring Your Own Device", BYOD phenomenon, which also entailed serious internal regulatory challenges for businesses).

More recently, and mainly after ChatGPT became available in November 2022, we have become familiar with another subset of shadow IT phenomena: the threat of using "shadow AI", i.e. the use of unapproved, unverified artificial intelligence (AI) applications.

The rise of large language models (LLMs) poses challenges to the applicability of data protection rules. There is a lot of debate about the question of whether or not LLMs themselves store personal data. Recently, the Hamburg Commissioner for Data Protection and Freedom of Information (Hamburg DPA) published a discussion paper on large language models and personal data and this paper contains three basic theses as follows:  

1. The mere storage of an LLM does not constitute processing within the meaning of article 4 (2) GDPR. This is because no personal data is stored in LLMs. Insofar as personal data is processed in an LLM-supported AI system, the processing must comply with the requirements of the GDPR. This applies in particular to the output of such an AI system.
2. Given that no personal data is stored in LLMs, data subject rights as defined in the GDPR cannot relate to the model itself. However, claims for access, erasure or rectification can certainly relate to the input and output of an AI system of the responsible provider or deployer.
3. The training of LLMs using personal data must comply with data protection regulations. Throughout this process, data subject rights must also be upheld. However, potential violations during the LLMs training phase do not affect the lawfulness of using such a model within an AI system.

The above three theses make it clear that according to the Hamburg DPA, no personal data is stored in LLMs. After the release of this discussion paper, some contra and pro arguments were published discussing this statement. Below, I´ll show the arguments regarding the question whether LLMs store personal data or not and I´ll also show why this question can be relevant.