GDPR

Adatvédelem mindenkinek / Data protection for everyone

Adatvédelmi hatósági eljárások mesterséges intelligencia alkalmazása kapcsán

2023. május 12. 15:30 - poklaszlo

A mesterséges intelligenciát érintő jogalkotási és jogalkalmazási kérdések komoly figyelmet kaptak az elmúlt időszakban: először a ChatGPT-t érintően Olaszországban megindított adatvédelmi hatósági eljárás kapott nagy figyelmet (amely eljárás a szolgáltatás időleges olaszországi felfüggesztésével is járt), majd a napokban az EU mesterséges intelligencia rendelettervezetének az Európai Parlament illetékes bizottságai általi jóváhagyása tarthatott szélesebb körű érdeklődésre számot.      

Az Európai Parlament illetékes bizottságai - május 11-én - támogatólag szavaztak az EU mesterséges intelligenciára vonatkozó rendelettervezete kapcsán, így rövidesen (várhatóan június közepén) sor kerülhet az Európai Parlament plenáris ülésén is a szavazásra. Amenniyben az Európai Parlament plenáris ülése rábólint a tervezetre, jöhet a következő lépés, a Parlament és a Tanács közötti egyeztetés, illetve - az informális - trilógus ("háromoldalú egyeztetés"), amikor a Parlament, a Tanács és a Bizottság tárgyal a jogszabály végső verziójának elfogadása érdekében. A felek által kialkudott szöveg kerülhet aztán végleges elfogadásra. A várakozások szerint a jogszabály elfogadására 2024 első felében kerülhet majd sor. (A parlamenti bizottságok által jóváhagyott szöveg elérhető itt.)      

Fontos kiemelni, hogy a mesterséges inetlligencia szabályozás egyáltalán nem egy pilléren, azaz nem az adatvédelmi szabályok MI-vel összefüggő alkalmazásán nyugszik, ennél sokkal több szempontot vesz figyelembe. Ugyanakkor az is figyelemre méltó, hogy - az MI-specifikus szabályok hiányában - egyelőre az adatvédelmi szabályok alkalmazása az MI-alapú technológiák kapcsán kiemelt szerepet játszik (lásd a ChatGPT körüli eseményeket). Ugyan a ChatGPT működésének olaszországi felfüggesztése volt talán az első olyan MI-t érintő adatvédelmi eljárás, amely a szélesebb közvélemény figyelmét felkeltette (Olaszország határain kívül is), köszönhetően a ChatGPT-t övező kiemelt érdeklődésnek, de egyáltalán nem ez volt az első eset, hogy MI alapú adatkezelés került adatvédelmi hatósági célkeresztbe. Az alábbiakban olyan ügyeket gyűjtöttem össze (alapvetően az EU-ból), amelyek a mesterséges intelligencia alkalmazását adatvédelmi kontextusban vizsgáltak.   

1. ChatGPT

A ChatGPT-t érintő - jelenleg is folyamatban lévő - olaszországi eljárás kapta eddig a legnagyobb figyelmet, de emellett más uniós hatóságok (pl. a francia és a spanyol adatvédelmi hatóság) szintén élénken érdeklődni kezdtek a ChatGPT-t illetően, illetve az Európai Adatvédelmi Testület is munkacsoportot hozott létre a ChatGPT körüli adatvédelmi kérdések vizsgálatára, a hatósági megközelítések összehangolására. 

A ChatGPT kapcsán az alábbi főbb kérdések merültek eddig fel (elsősorban az olasz hatóság intézkedései és sajtóközleményei nyomán):

  • adatkezelés jogalapja, 
  • tájékoztatás és átláthatóság, 
  • érintetti jogok gyakorolhatósága, 
  • gyermekek védelme. 

2. Replika 

Szintén Olaszországhoz és egy chatbot-hoz kapcsolódó eset 2023. februárjából, amikor a Garante (olasz hatóság) a Replika nevű chatbot blokkolása mellett döntött. A "virtuális barátot" ígérő MI-alapú alkalmazás működésének időleges tiltására a gyermekek és egyéb sérülékeny csoportok védelmére tekintettel került sor. Adatvédelmi oldalról elsősorban az alábbi követelményeknek való megfelelést hiányolta a hatóság: 

  • megfelelő adatkezelési jogalap hiánya (a 6. cikk (1) bekezdés b) pontja szerinti szerződéses jogalapot nem találta megfelelőnek a hatóság), 
  • átláthatóság, tájékoztatás hiányosságai, 
  • életkori szűrés nem biztosított. 

Az ügyben további fejlemények várhatók majd, hiszen a 2023. februári döntés a felfüggesztésről még nem az eljárás végét jelentette, csupán azonnali, az érintettek (különösen a sérülékeny csoportba tartozók) védelmét szolgálta és a vizsgálat folyamatban van. 

3. Clearview AI

Az adatvédelmi hírek rendszeres szereplője a Clearview AI nevű alkalmazás, amelynek már a neve is mutatja a mestersges intelligencia alapú működést. A Clearview AI arcfelismerő rendszert fejleszt és ehhez óriási mennyiségben kezel személyes adatokat (többek között az internetről, számos forrásból összegyűjtött arcképeket). A cég a szolgáltatásait gyakran bűnüldöző szervek részére értékesíti. (A cég tevékenysége kapcsán lásd a New York Times 2020-as tényfeltáró anyagát, illetve a rendőrségi együttműködésekre fókuszáló, 2023-as BBC cikket, amelyből az is kiderül, hogy a cég 30 milliárd (!) képet gyűjtött közösségi médiás és más nyilvános forrásokból, természetesen az érintettek engedélye nélkül.)

A Clearview AI működését az elmúlt években számos adatvédelmi hatósági eljárás kíséri: 

  • Németország, Hamburg (2020, 2021): 10 ezer eurós bírság a hatósággal való megfelelő együttműködés hiánya miatt (lásd a Hamburgi Adatvédelmi Hatóság éves beszámolóját, 105-107. o.), illetve egyedi ügyben hozott döntés adatok törléséről, 
  • Olaszország (2022. február): az olasz hatóság 20 millió eurós bírsággal "jutalmazta" a cég ténykedését, 
  • Egyesült Királyság (2022. május): 7,5 millió font bírság a cégnek,  
  • Görögország (2022. június): a görög hatóság is a 20 milliós bírságösszeget találta megfelelőnek a Clearview AI ténykedése kapcsán, 
  • Franciaország (2021. november, 2022. október és 2023. április): a francia hatóság 2021-ben megállapította a jogsértő működést és utastíotta a céget a jogszerűtlenül gyűjtött adatok törlésére, majd 2022-ben - miután a társaság nem reagált a hatóság 2021-ben kibocsátott felhívására - 20 millió eurós bírságot szabott ki a Clearview AI-ra, ezt követően pedig - mivel a Clearview AI továbbra sem teljesítette a korábbi határozatokban foglaltakat - a CNIL újabb 5,2 millió eurós bírságot állapított meg (100 ezer euró/nap az inézkedések megtételére meghatározott határidő elteltétől számítva), 
  • Ausztria (2023. április): a jogsértő működést megállapította az osztrák hatóság, de - talán némileg meglepő módon - bírságot nem szabott ki. 

A Clearview AI-t érintő fenti ügyekben tipikusan az alábbi, főbb jogsértések kerültek megállapításra: 

  • megfelelő jogalap hiánya (GDPR 6. cikk), 
  • különleges adatok kezelésére vonatkozó rendelkezések sérelme (9. cikk),
  • átláthatósági és az érintetti jogokkal kapcsolatos követelmények sérülése (12. cikk, 13. cikk, 14. cikk, 15. cikk, stb.), 
  • EU-n belüli képviselő kijelölésének elmaradása (27. cikk),
  • hatósággal való együttműködés hiánya (31. cikk). 

A bírság kiszabása mellett a hatóságok általában a jogszerűtlenül gyűjtött adatok (képek) törlését és a jogszerűtlen adatkezelési tevékenység megszüntetését is előírták. A francia hatóság ismételt határozatai is azt mutatják, hogy sajnos a kötelezések ellenére a jogszerűtlen adatkezelési gyakorlat nem szűnt meg, hanem továbbra is folyamatos.  

A közvetlenül a Clearview AI-t érintő ügyek mellett születtek határozatok az alkalmazás rendőrségi használatával kapcsolatban is: 

  • Svédország (2021): megállapításra került a jogszerűtlen használat és a rendőrségnek a Clearview AI alkalmazásával végzett jogszerűtlen adatkezelés miatt SEK 2,500,000 összegű (kb. 250,000 euró) bírságot kellett megfizetnie, 
  • Finnország (2021): szintén megállapította a hatóság, hogy a Clearview AI rendőrség általi alkalmazásának nem állnak fenn a feltételei.   

Az Európai Adatvédelmi Testület pedig egy levélben fejtette ki 2020-ban, hogy a bűnüldözési adatvédelmi irányelv alapján alapvetően nem látható, hogy a Clearview AI által nyújtott szolgáltatás miként lehetne jogszerűen alkalmazható a bűnüldöző szervek által az EU-ban, annak ellenére, hogy az irányelv alapján a biometrikus adatok bűnüldözési célú kezelése egyébként nem kizárt.   

4. Foodinho, Deliveroo

A két fenti céggel szembeni eljárás is az olasz hatósághoz köthető. A Foodinho-t érintően 2,6 millió eurós bírságot szabtak ki 2021-ben, míg a Deliveroo esetében - szintén 2021-ben - 2,5 millió euró lett a bírság összege. (Ezekről az ügyekről itt írtam részletesebben). 

Ezekben az ügyekben az alábbi, fontosabb megállapításokat tette a hatóság: 

  • átláthatóság, transzparencia sérült, 
  • a beépített és alapértelmezett adatvédelem elvei nem érvényesültek megfelelően,
  • adatbiztonsági hiányosságok, illetve a megfelelő technikai és szervezési intézkedések elmaradása, 
  • érintetti joggyakorlással, beleértve az automatizált döntéshozatallal kapcsolatos jogokat (GDPR 22. cikk), kapcsolatos követelmények sérelme, 
  • adatvédelmi hatásvizsgálat hiánya, stb. 

5. Prediktív célú, orvosi felasználás 

A fenti esetek között böngészve talán már meg sem lepődünk azon, hogy az MI "prediktív célú, orvosi alkalmazása" kapcsán, három kórházat érintően, egyenként 55 ezer eurós bírságot jelentő döntések is Olaszországban születtek. (A döntésekről olasz nyelven további információ elérhető itt.) Az elérhető információk alapján, a különleges adatok kezelésével kapcsolatos hiányosságok (megfelelő jogalap nélkül történő adatkezelés), illetve a nem megfelelő tájékoztatás, továbbá a szükséges hatásvizsgálat elvégzésének elmaradása vezettek a bírsághoz.   

6. Budapest Bank 

Magyarországon is született már az MI-vel összefüggésbe hozható hatósági döntés. Ebben az ügyben a NAIH 2022-ben 250 millió összegű bírságot állapított meg. Az ügyfészolgáltattal folytatott beszélgetések elemzésére alkalmazott megoldás kapcsán a következő adatvédelmi hiányosságokat tárta fel a NAIH: 

  • alapelvek sérelme ("jogszerűség, tisztességes eljárás és átláthatóság" és "célhoz kötöttség",  GDPR 5. cikk (1) bekezdés a) és b) pont),
  • jogalappal, illetve az eredeti céllal összeegyeztethető adatkezeléssel kapcsolatos problémák (6. cikk), 
  • átláthatósággal és tájékoztatással kapcsolatos mulasztások (12. és 13. cikk), 
  • érintetti jogok gyakorolhatósága (különös tekintettel a tiltakozáshoz való jogra, 21. cikk), 
  • megfelelő technikai és szervezési intézkedések alkalmazásának elmulasztása (24. cikk (1) bek.), 
  • beépített és alapértelmezett adatvédelem elveinek sérelme (25. cikk).

7. Összegzés

A fenti ügyek kapcsán jól látszik, hogy az MI-vel összefüggő kérdések egyre inkább fókuszba kerülhetnek az adatvédelmi jogalkalmazás során is. Egyes hatóságok - különösen az olasz (Garante) - elől járnak a jogérvényesítésben és kiemelt figyelmet fordítanak erre a területre, de vélhetően egyre több hatósági ügyben sejlik fel majd a mesterséges intelligencia szál. 

Némileg kirajzolódik az is, hogy mely, a GDPR-ban meghatározott követelmények merülnek fel leggyakrabban az MI-alapú megoldások működésével összefüggésben: 

  • jogalapot érintő kérdések, 
  • átláthatóság és tájékoztatás, 
  • érintetti jogok gyakorolhatósága, 
  • hatásvizsgálat végzése, illetve ennek esetleges elmaradása.  

Az MI megoldásokat alkalmazó adatkezelőknek, illetve az ilyen alkalmazásokat fejlesztőknek a fenti kérdésekre mindenképpen érdemes és szükséges komoly figyelmet fordítaniuk az adatvédelmi megfelelés érdekében. Természetesen - ahogy a fentiekben írtam - az MI rendszerek használatával összefüggő kérdések köre messze túlmutat az adatvédelmen, így - már az MI-re vonatkozó uniós jogszabály megszületése előtt is - lényeges, hogy a rendszerek fejlesztői és alkalmazói körültekintően járjanak el és a felmerülő kockázatokkal arányos intézkedéseket alkalmazzanak. 

Szólj hozzá!
Címkék: mesterséges intelligencia bírság átláthatóság jogalkalmazás portfolioblogger Olaszország Magyarország Európai Unió Németország Görögország Finnország Svédország NAIH Egyesült Királyság HU Francia Hatóság jogalap érintetti jogok Olasz Hatóság bűnügyi adatvédelmi irányelv bűnüldözési célú adatkezelés

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr8218106882

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása