Az elmúlt napokban végigfutott a hír a magyar sajtóban, miszerint Siófokon, a Petőfi sétányon olyan új térfigyelő kamerákat telepítettek, amelyek - mesterséges intelligencia alapú megoldások alkalmazásával - arcfelismerésre is alkalmasak. A rendszer - a város polgármesterének Facebook-on közzétett bejegyzése, illetve a sajtóhírek megjelenését követően, a siófoki önkormányzat által kiadott közlemény alapján - az alábbiak szerint működne:
A beruházás keretében 39 új, mesterséges intelligenciával ellátott kamera került telepítésre a Petőfi sétány területén. Az új kamerák arcdetektálásra képesek, vagyis az adott emberre jellemző vonásokat rögzítve tudja az adatokat továbbítani a rendszerben lévő egyéb kamerák részére és így a bűncselekményt feltételezetten elkövető személyt nyomon lehet követni. A kamerák képeit a rendőrségen kialakított operatív szobában csak a rendőrség és a városőrség munkatársai láthatják és a felvételek 30 nap múlva törlésre kerülnek a hatályos jogszabályoknak megfelelően, az ezzel kapcsolatos adatvédelmi tájékoztató Siófok város honlapján elérhető (https://www.siofok.hu/hu/adatvedelem). A kamerarendszer zárt, egyéb adatbázissal nincs összekötve, a felvételeken szereplők személyazonossága nem megállapítható. (Siófok Önkormányzatának közleménye, 2021.06.10.)
A megjelent hírek kiemelten foglalkoznak azzal, hogy a rendszer beszállítója egy olyan cég (Dahua), amely az Egyesült Államokban, mint nemzetbiztonsági kockázatot jelentő társaság feketelistán szerepel. Ugyanakkor néhány utaláson kívül arról kevés szó esik, hogy egy arcfelismerést (vagy ahogy a közleményben szerepel, arcdetektálást) lehetővé tévő rendszer milyen adatvédelmi, illetve más alapjogokat érintő kérdéseket vet fel. (Az arcfelismerő rendszerek alapjogi vonatkozásairól érdemes elolvasni az Európai Unió Alapjogi Ügynökségének [FRA] anyagát: "Facial recognition technology: fundamental rights considerations in the context of law enforcement".)
Az alábbiakban az arcfelismerésre is képes kamerarendszer alkalmazásával kapcsolatos néhány alapvető adatvédelmi szempontot emelek ki.
1. Az arcfelismerés vajon mi?
Első lépésként érdemes megvizsgálni, hogy az arcfelismerés egyáltalán milyen adatkezelést jelent. Az arcfelismerés ugyanis egy olyan gyűjtőfogalom, amely mögött különböző technológiai megoldások, illetve eljárások húzódhatnak meg. Sor kerülhet arcfelismerő technológia alkalmazására úgy, hogy korábban gyűjtött adatbázison futtatják az azonosítást, illetve olyanok is amelyek élőben (valós időben) végzik a nyomon követést. Lehetnek olyan rendszerek, amelyek automatizáltan működnek, de olyanok is, amelyek valamely ember által végzett eljárást támogatnak. Egyes esetekben a konkrét személy egyértelmű beazonosítása a cél, máskor elegendő annyi, hogy – a konkrét személyazonosság megállapítása nélkül – nyomon követhető legyen az egyén viselkedése.
A Siófokon alkalmazni tervezett rendszer - az elérhető információk alapján - "arcdetektálást" végezne, azaz a tömegben az operátor által "kiszúrt" személy automatizált nyomon követését tenné lehetővé, így az ember által végzett megfigyelést támogatná valós időben, ugyanakkor a konkrét személyazonosság megállapítására nem lenne alkalmas. (A Facebook bejegyzésben még arcfelismerés szerepelt, ugyanakkor a közlemény már arcdetektálást ír.) A közlemény kitér arra, hogy a felvételeket rögzítik és 30 napig tárolják, de arra vonatkozóan nincs információ, hogy "az adott emberre jellemző vonások" rögzítése miként működik, ezeket is tárolja-e a rendszer, később is futnak ezekre keresések vagy csak valós időben történik ilyen jellegű "arcdetektálás".
Az arcfelismerő (arcdetektáló?) rendszerek alkalmazása kapcsán (de még általánosabban) a kamerás megfigyelés esetében is egyértelműen megállapítható, hogy adatkezelésre kerül sor, így az adatvédelmi szabályok alkalmazása szükséges. Ugyanakkor az már egyáltalán nem ilyen egyértelmű, hogy egyes esetekben pontosan mely szabályok alkalmazandók a különböző rendszerek esetében.
2. Arcfelismerés, mint biometrikus adatkezelés
A biometrikus adat egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat. Ezt a definíciót alkalmazza a GDPR és – a bűnügyi adatvédelmi irányelv átültetése nyomán – az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) is (lásd Infotv. 3. § 3b. pont).
Egy fénykép önmagában, ha nem kezelik valamilyen azonosítást lehetővé tévő speciális eszközzel, nem biometrikus adat (lásd GDPR Preambulum (51) bekezdés). Egy olyan arcfelismerő rendszer viszont, amely - akár a konkrét személyazonosság meghatározása nélkül - lehetővé teszi vagy megerősíti az egyének azonosítását, már biometrikus adat kezelését valósíthatja meg, így a különleges adatok kezelésére vonatkozó szabályok is vonatkoznak ezen megoldásokra. A siófoki rendszerről elérhető információk etekintetben nem túl részletesek, ugyanakkor a kiadott közlemény azon fordulata, miszerint "[a]z új kamerák arcdetektálásra képesek, vagyis az adott emberre jellemző vonásokat rögzítve tudja az adatokat továbbítani a rendszerben lévő egyéb kamerák részére és így a bűncselekményt feltételezetten elkövető személyt nyomon lehet követni" [kiemelések tőlem], arra enged következtetni, hogy egyedi azonosítását (de nem személyazonosítást) lehetővé tévő rendszerről beszélhetünk, így a biometrikus adatkezelésre vonatkozó szabályok is alkalmazhatóak lehetnek.
Amennyiben megállapítható a különleges adat (biometrikus adat) kezelése az adott megoldás kapcsán, úgy az adatkezelés jogalapja tekintetében is szigorúbb szabályok alkalmazandók (lásd alább).
3. Milyen szabályok vonatkoznak az arcfelismerést lehetővé tévő kamerák alkalmazására?
Ahogy a fentiekben is jeleztem, az adatvédelmi szabályok alkalmazandók a kamerarendszerek esetében (beleértve az arcfelismerésre is alkalmas rendszereket), de felmerül a kérdés, hogy pontosan mely szabályokról beszélünk. Az alkalmazandó jogszabályok meghatározásához vizsgálandó az adatkezelés célja és az adatkezelő személye. Bűnüldözési célú adatkezelés esetében ugyanis nem a GDPR alkalmazandó, helyette - Magyarországon - az Infotv. rendelkezései az irányadók.
Az Infotv. szerint (3.§ 10a. pont), bűnüldözési célú adatkezelés: a jogszabályban meghatározott feladat- és hatáskörében a közrendet vagy a közbiztonságot fenyegető veszélyek megelőzésére vagy elhárítására, a bűnmegelőzésre, a bűnfelderítésre, a büntetőeljárás lefolytatására vagy ezen eljárásban való közreműködésre, a szabálysértések megelőzésére és felderítésére, valamint a szabálysértési eljárás lefolytatására vagy ezen eljárásban való közreműködésre, továbbá a büntetőeljárásban vagy szabálysértési eljárásban megállapított jogkövetkezmények végrehajtására irányuló tevékenységet folytató szerv vagy személy (a továbbiakban együtt: bűnüldözési adatkezelést folytató szerv) ezen tevékenység keretei között és céljából - ideértve az ezen tevékenységhez kapcsolódó személyes adatok levéltári, tudományos, statisztikai vagy történelmi célból történő kezelését is - (a továbbiakban együtt: bűnüldözési cél) végzett adatkezelése
Mielőtt kétségbe esnénk, hogy a GDPR szigorú szabályai helyett az Infotv. alkalmazandó ilyen magas kockázatú adatkezelésekre, fontos kiemelni, hogy az Infotv. szabályai - a GDPR-ral egyszerre elfogadott - bűnügyi adatvédelmi irányelvvel (2016/680/EU irányelv) összhangban, azt átültetve szabályozzák a személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelését (lásd Infotv. 2.§ (3) bekezdés).
A bűnügyi adatvédelmi irányelv (így átültetése nyomán az Infotv. is) az esetek nagy részében a GDPR-hoz hasonló logikájú és tartalmú szabályokat tartalmaz, néhány ponton a szabályozott kifejezetten érzékeny adatkezelési terület (bűnüldözési, nemzetbiztonsági, honvédelmi célú adatkezelés) sajátosságait figyelembe véve határoz meg - adott esetben a GDPR-nál is szigorúbb követelményeket rögzítő - szabályokat.
Előfordulhatnak olyan esetek, amikor ún. arcképelemző rendszerek alkalmazására, illetve arckép alapján történő személyazonosításra kerülhet sor. Ilyen megoldások alkalmazására - az általános adatvédelmi szabályokon túl - külön törvényi szabályozás vonatkozik (lásd 2015. évi CLXXXVIII. törvény az arcképelemzési nyilvántartásról és az arcképelemző rendszerről). A híradások és a siófoki önkormányzat által kiadott közlemény szerint a Siófokon kialakított (illetve kialakításra kerülő) rendszer más adatbázissal nem kerül összekapcsolásra, és személyazonosság megállapítására nem lesz alkalmas. Az viszont további kérdéseket vet fel, hogy "az adott emberre jellemző vonások" rögzítése miként működik, például későbbi azonosítást lehetővé tesz-e.
A siófoki önkormányzat közleménye utal a város honlapján elhelyezett adatkezelési tájékoztatóra is, mint amely a kamerás adatkezelésre vonatkozó információkat tartalmazza. (Pontos link nem szerepel, egy adatvédelmi tájékoztatókat tartalmazó gyűjtőoldalra utalás található a közleményben, de az itt elérhető tájékoztatók közül a "Siófok Város területén található közterületi kamerákkal kapcsolatban" készített adatkezelési tájékoztató lehet releváns jelen esetben.) A hivatkozott tájékoztató szerint a Siófokon kihelyezett kamerák kapcsán az adatkezelés jogalapját és kereteit a közterület-felügyeletről szóló 1999. évi LXIII. törvény (Kftv.) határozza meg. Az adatkezelési tájékoztatóban szereplő linken pedig eljuthatunk a Siófokon kihelyezett kamerák pontos elhelyezését és látószögét bemutató melléklethez is (amely egyelőre 14 kamerát jelez a Petőfi sétányon, a közleményben szereplő 39 helyett). A tájékoztató alapján az adatkezelésre "közbiztonsági, bűnmegelőzési célból, valamint az önkormányzati és közösségi vagyon védelme céljából" kerül sor. Erre tekintettel is megállapítható, hogy a Kftv. alapján végzett - bűnüldözési célú - közterületet érintő térfigyelő rendszer üzemeltetése az Infotv. hatálya alá tartozó adatkezelési tevékenység (ezt erősíti meg a Nemzeti Adatvédelmi és Információszabadság Hatóság adatvédelmi tisztviselőknek szervezett 2020-as konferenciáján, a közterületi kamerázással kapcsolatos előadása is).
A Kftv. alapján "[a] felügyelet közterületen, közbiztonsági, illetve bűnmegelőzési célból, bárki számára nyilvánvalóan észlelhető módon képfelvevőt helyezhet el, és felvételt készíthet. A képfelvevő elhelyezéséről, valamint a képfelvevővel megfigyelt közterület kijelöléséről a felügyelet előterjesztésére a képviselő-testület dönt." (Kftv. 7. § (3) bekezdés) A Kftv. meghatározza az adatok felhasználásának lehetséges céljait (Kftv. 7. § (6)-(6a) bekezdések, illetve 7/A. § (2) bekezdés). A Kftv. továbbá rögzíti, hogy a felvételek 30 napig őrizhetők meg, megfelelő adatbiztonsági intézkedésekkel kell gondoskodni az adatok védelméről és a felvételek továbbításának szabályait is tartalmazza (lásd Kftv. 7/A. §.) Ugyanakkor a Kftv-ben hiába keresünk arcfelismerő rendszerekre vagy ilyen képességgel is ellátott térfigyelő rendszerekre, esetleg valós időben, az arckép alapján történő automatizált nyomon követésre vonatkozó szabályokat, mivel e körben a Kftv. további rendelkezéseket nem tartalmaz, így az Infotv. általános szabályaira támaszkodhatunk.
(A közlemény utal arra, hogy "a kamerák képeit a rendőrségen kialakított operatív szobában csak a rendőrség és a városőrség munkatársai láthatják [...]", ugyanakkor a tájékoztató részleteiben nem tér ki a rendőrség adatkezelésben betöltött pontos szerepére. Ez abból a szempontból is fontos lenne, hogy a rendőrség által végzett kamerás megfigyelésre vonatkozóan a rendőrségi törvény tartalmaz szabályokat. Persze a rendőrség részére - a Kftv-ben meghatározottak szerint - a közterület-felügyelet által üzemeltetett kamerarendszer által rögzített képek továbbítására is sor kerülhet.)
4. Mi lehet az adatkezelés jogalapja?
Abban az esetben, ha az alkalmazott megoldás különleges adat (jelen esetben biometrikus adat) kezelésével jár, bűnüldözési célú adatkezelések esetében, törvény rendelheti el az adatkezelést (ha az törvényben kihirdetett nemzetközi szerződés végrehajtásához feltétlenül szükséges és azzal arányos, vagy az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése, felderítése vagy üldözése érdekében vagy honvédelmi érdekből szükséges), illetve – törvényi felhatalmazás hiányában – akkor kerülhet sor az adatkezelésre, ha az az érintett vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges és azzal arányos, vagy ha a személyes adatot az érintett kifejezetten nyilvánosságra hozta, és az az adatkezelés céljának megvalósulásához szükséges, és azzal arányos.
Továbbá figyelembe kell venni azt is, hogy - a közlemény szerint - a beruházás mesterséges intelligenciával ellátott kamerák telepítését jelentette és "[a]z új kamerák arcdetektálásra képesek, vagyis az adott emberre jellemző vonásokat rögzítve tudja az adatokat továbbítani a rendszerben lévő egyéb kamerák részére és így a bűncselekményt feltételezetten elkövető személyt nyomon lehet követni." [kiemelés tőlem] A megoldás tehát felveti az automatizált adatkezelés lehetőségét, amelyre abban az esetben kerülhet sor, ha azt törvény vagy az EU kötelező jogi aktusa kifejezetten lehetővé teszi és az Infotv. 6. §-ában meghatározott további feltételeknek is megfelel (beleértve, hogy kifejezett törvényi felhatalmazás hiányában különleges adat felhasználására nem kerül sor). Persze lehet azzal érvelni, hogy nem "kizárólag automatizált" adatkezelésről van szó, az emberi közreműködés folyamatosan biztosított, ugyanakkor kérdéses, hogy ha az adatkezelés egyes elemei felett biztosított is az emberi kontroll, a háttérben folyó "arcdetektálás" és a rögzített "emberre jellemző vonások" továbbítása a többi kamera felé nem igényli-e az Infotv. 6. §-ának alkalmazását is.
A Kftv. - tekintve, hogy az "egyszerű" térfigyelő kamerák működtetésén túlmenően nem tartalmaz különleges adatok (biometrikus adatok) kezelésére is vonatkozó előírást, továbbá az automatizált adatkezelésre sem tér ki - jelen formájában nem biztosít érdemi garanciákat az arcfelismerő rendszer közterület-felügyelet által történő használatára vonatkozóan. Kérdés persze, hogy kell-e egyáltalán a Kftv-nek ilyen rendelkezéseket tartalmaznia, hiszen fontos cél, hogy arcfelismerő technológia alkalmazása a feltétlenül szükségesnél és indokoltnál szélesebb körben ne váljon gyakorlattá, illetve az ilyen rendszerek potenciális üzemeltetőinek körét is érdemes szűk körre korlátozni, ezért az ezek alkalmazására adott felhatalmazással nagyon óvatosan kell bánni.
5. Attól még, hogy lehet, kell-e?
Az adatkezelések során az alapelvek szerepe kiemelten fontos annak megítélése kapcsán, hogy egy potenciális adatkezelésről eldönthető legyen, a megvalósítása az adott adatkezelési cél érdekében szükséges és arányos, nem jelent túlzott beavatkozást az érintettek magánéletébe, nem korlátozza túlzottan a jogaikat.
Ahogy az Európai Adatvédelmi Testület kamerás megfigyelésekre vonatkozó iránymutatása is kiemeli:
A biometrikus adatok felhasználása, különösen az arcfelismerés az érintettek jogaira nézve fokozott kockázatokkal jár. Elengedhetetlenül fontos, hogy az ilyen technológiák csak a jogszerűség, a szükségesség, az arányosság és az adattakarékosság általános adatvédelmi rendeletben rögzített elvének tiszteletben tartása mellett vehetők igénybe. Mivel ezeknek a technológiáknak a használata különösen hatékonynak tekinthető, az adatkezelőknek először az alapvető jogokra és szabadságokra gyakorolt hatást kell vizsgálniuk, és mérlegelniük kell, hogy az adatkezelés jogszerű célja elérhető-e magánszférára kevesebb behatással járó megoldásokkal. (3/2019. számú iránymutatás a személyes adatok videoeszközökkel történő kezeléséről, 73. pont)
Önmagában, bármilyen csábító is egy új technológiai megoldás alkalmazása, nem jelenti azt, hogy minden helyzetben alkalmaznunk kell ezeket. Egy bűnüldözési célú arcfelismerő rendszer alkalmazása bizonyos esetekben szükséges és arányos lehet, de ezt csak gondos és körültekintő mérlegelés alapján lehet megállapítani. Ez a mérlegelés nem kerülhető el, illetve nem intézhető el néhány általános megállapítással.
Ezen a ponton érdemes rögzíteni azt is, hogy attól, hogy bizonyos adatkezelések technológiai szempontból megvalósíthatók, nem jelenti azt, hogy azokat ténylegesen meg is kell valósítani, illetve elképzelhető, hogy az alkalmazásuk csak nagyon szűk, jól körülhatárolt körben indokolt.
6. Adatvédelmi hatásvizsgálatot szükséges végezni?
Az Infotv. 25/G. §-ában foglaltak nem hagynak sok kétséget afelől, hogy egy az "emberre jellemző vonások" rögzítésén alapuló nyomon követést végző rendszer olyan, adatvédelmi szempontból magas kockázatokat hordoz, amely adatvédelmi hatásvizsgálat elvégzését teszi szükségessé. (A NAIH - GDPR 35. cikk (4) bekezdése alapján kiadott - listája is tartalmaz több olyan adatkezelés-típust, illetve műveletet, amely alapján a hatásvizsgálat elvégzése ebben az esetben nehezen megkerülhető.) Ezt erősíti az Európai Adatvédelmi Testület 3/2019. számú iránymutatás a személyes adatok videoeszközökkel történő kezeléséről is, amely több helyen is utal az adatvédelmi hatásvizsgálat szükségességére (például olyan esetben, amikor különleges adat kezeléséről is szó van; lásd 3/2019. sz. iránymutatás, 71. pont). Az adatvédelmi hatásvizsgálat alkalmas eszköz lehet arra, hogy a tervezett adatkezelést alaposan átgondolja az adatkezelő, beleértve a szükségesség, arányosság kérdését, az adatkezelés alapelveinek érvényesülését, a jogalapot, az adatbiztonsággal kapcsolatos kérdéseket és további szempontokat, amelyek alapján egyrészt megítélhető, hogy végezhető-e egyáltalán az adatkezelés és milyen kockázatok merülhetnek fel és ezek hogyan csökkenthetők.
Az Infotv. 25/H. § alapján pedig a Hatósággal való előzetes konzultáció lefolytatásának szükségessége is felmerül, a tervezett adatkezelés magas kockázatot mutató jellegére tekintettel.
A jelen ügyben eddig nem merült fel információ arról, hogy az adatkezelő adatvédelmi hatásvizsgálatot végzett-e, illetve, hogy folytattak-e előzetes konzultációra a Hatósággal.
A kamerás megfigyelés kapcsán jó gyakorlatként említhető a brit példa, ahol a kamerás megfigyelés területének külön biztosa (Surveillance Camera Commissioner) működik és több segédanyagot tett közzé a kamerás megfigyelést végző szervezetek számára, így adatvédelmi hatásvizsgálati mintát is. Az ez alapján készült hatásvizsgálatot pedig gyakran az interneten is elérhetővé teszik az adatkezelők.
7. Elegendő-e egy egyszerű kamerás tájékoztató készítése?
Az önkormányzat által kiadott közlemény utal arra, hogy készült adatkezelési tájékoztató, amely a városban működtetett térfigyelő kamerák működésére vonatkozik. A tájékoztató azonban még nem tér ki az új képességgel rendelkező kamerákra és a rendszer "egyszerű" térfigyelő kameráktól eltérő sajátosságaira (persze, lehetséges, hogy még korai számon kérni ezt a kiegészítést, hiszen a kamerák telepítése ugyan megtörtént, de az nem egyértelmű, hogy az új funkcionalitással mikor kezdődik meg a rendszer működése, így az sem kizárt, hogy erre egy későbbi időpontban kerül sor, és addig még kiegészítésre kerül a tájékoztató).
A tájékoztatóban szükséges lehet kiemelni a rendszer sajátos működését, leírni, hogy az "arcdetektálás" milyen módon történik és miként születnek döntések arra vonatkozóan, hogy a "nyomon követés" kiket érintsen. Ezt a tájékoztatást az Infotv. 16. §-a is elvárja, hiszen előírja, hogy az előzetes tájékoztatásnak szólnia kell "az adatkezelés körülményeivel összefüggő minden további érdemi tényről" (Infotv. 16. § (2) bekezdés e) pont). A rendszer speciális tulajdonságai pedig mindenképpen ilyen érdemi ténynek tekinthetők.
Az adatkezelési tájékoztató kiegészítése mellett a figyelemfelhívó táblákon is szükséges lenne jelezni, hogy olyan kamerákkal megfigyelt területről van szó, amely mesterséges intelligencián alapuló nyomon követést tesz lehetővé.
8. Összegzés: milyen kérdések merülnek fel az arcfelismerő megoldást alkalmazó adatkezelés kapcsán?
A fentiekben is láthattuk, hogy egy ilyen kiemelten érzékeny adatkezelés kapcsán számos szempont merül fel, amelyeket az adatkezelőnek - az adatkezelést megelőzően - mérlegelnie és dokumentálnia kell. (Természetesen a fentiek nem jelentenek teljes körű katalógust az adatkezelés kapcsán értékelendő szempontokról, de talán jól érzékeltetik, hogy egy rövid közleménynél és egy már meglévő adatkezelési tájékoztatóra utalásnál többre van szükség egy ilyen érzékeny adatkezelés kapcsán.)
Összefoglalásként érdemes kiemelni - részben ismételten - néhány szempontot, amelyet egy, a siófokihoz hasonló (tervezett) adatkezelés kapcsán mérlegelni érdemes:
- Szükséges-e, és arányos-e a tervezett adatkezelés? (Az "egyszerű" térfigyelő kamerákhoz képest a magánszférába sokkal komolyabb behatást jelentő megoldás alkalmazása indokolt-e, valóban olyan mértékű bűnmegelőzési potenciál van-e egy ilyen rendszerben, amely az alapvető jogok komolyabb korlátozását is indokolja, különösen úgy, hogy a közlemény kitér arra, miszerint "[...] az évekkel ezelőtt elkezdett bűnmegelőzési stratégia eredményeként a bűnesetek száma 90%-kal csökkent a 8-10 évvel ezelőtti adatokhoz képest Siófok nyári időszakban az egyik legnépszerűbb közterületén [...], a Petőfi sétányon", azaz a már alkalmazott, adatvédelmi szempontból kisebb beavatkozást jelentő eszközökkel is jelentős előrelépést sikerült elérni.)
- Miként érvényesülnek az adatkezelés alapelvei (különösen a tisztességesség, célhoz kötöttség, adattakarékosság, pontosság, korlátozott tárolhatóság, integritás és bizalmas jelleg) egy ilyen magas kockázatú adatkezelés esetén?
- Biztosított-e, illetve biztosítható-e az adatkezelés jogalapja? (Figyelemmel arra is, hogy biometrikus adat kezelése esetén a különleges adatok kezelésére vonatkozó szabályok alkalmazása is szükséges, megfelelő törvényi keretek állnak-e rendelkezésre az adatkezeléshez.)
- Történik automatizált adatkezelés? (A mesterséges intelligencia alapú megoldás alkalmazására tekintettel, az automatizált adatkezelésre vonatkozó szabályok figyelembe vétele is szükséges lehet.)
- Szükséges adatvédelmi hatásvizsgálatot végezni? A Hatósággal való előzetes konzultáció indokolt? (Az adatkezelés jellegéből fakadóan, hatásvizsgálat elvégzése szinte kikerülhetetlen, sőt a hatósággal történő előzetes konzultáció is szükséges lehet.)
- Miként biztosítható a megfelelő tájékoztatás, az adatkezelés átláthatósága? (Az "egyszerű" térfigyelő kamerákra vonatkozó adatkezelési tájékoztató, illetve figyelemfelhívó táblák ebben az esetben kevésnek bizonyulhatnak, hiszen olyan többlet adatkezelés történik, amelyre az érintettek figyelmét fel kell hívni, erre vonatkozóan is megfelelő tájékoztatást kell kapniuk.)
- Érvényesülnek-e az érintetti jogok az adatkezelés kapcsán?
- Az adatok biztonságos kezelése biztosított? Milyen további intézkedések szükségesek a nagyobb kockázatot jelentő technológiai megoldások alkalmazására tekintettel?
A kérdések sora még folytatható lenne, de talán ezek az alapvető kérdések és szempontok is jelzik, nagyon megfontolt és körültekintő eljárásra van szükség, amikor magas kockázatú, a személyes adatok védelmét, a magánszférát jelentős mértékben érintő rendszerek alkalmazásáról van szó, mert az estleges előnyök mellett komoly veszélyek is felmerülhetnek. Bár nehéz ellenállni a technológiai lehetőségek csábításának, néha mégis szükséges lehet....
Tekintettel arra, hogy a kamerarendszer kapcsán elhangzott a bűvös varázsszó, a "mesterséges intelligencia" alkalmazása, érdemes utalni arra, hogy a Bizottság a közelmúltban tette közzé az MI szabályozására vonatkozó rendelettervezetét, amely nagy hangsúlyt fektet a nagy kockázatú MI-rendszerek szabályozására, sőt egyes, MI-rendszerek alkalmazása kapcsán tilalmakat is megállapít. A rendelettervezetre persze még hosszas egyeztetés vár és elfogadása esetén - a jelenlegi tervek szerint - 2 éves felkészülési időt biztosítana, ugyanakkor néhány, a tervezetben meghatározott szempont már most segítségünkre lehet olyan esetekben, amikor MI-rendszerek felhasználására kerülne sor.