A mesterséges intelligencia (MI) használata kapcsán számos esetben botlunk személyes adatok kezelését érintő kérdésekbe. A különböző MI rendszerek fejlesztése, tanítása, tesztelése, használata ugyanis gyakran személyes adat kezelésével jár. Nem véletlen, hogy az elmúlt időszakban az adatvédelmi hatóságok figyelme is az MI-vel összefüggő adatkezelési kérdések felé fordult. Ez megjelenik egyrészt az alakuló joggyakorlatban, illetve az egymás után publikált iránymutatásokban, ajánlásokban is.
Néhány, az elmúlt hetekben, hónapokban publikált adatvédelmi hatósági iránymutatások, ajánlások, tájékoztatók, stb. közül:
a) EU
- Frissítés (2024.01.26.): LfdI Bayern: Adatvédelmi követelményeknek megfelelő MI - Ellenőrzőlista a GDPR alapján (2024. január 24., német)
- EDPS (európai adatvédelmi biztos): Megmagyarázható MI (2023. november 16., angol, + kapcsolódó podcast)
- BDI Hamburg: LLM-alapú chatbotok megfelelő alkalmazásához kapcsolódó ellenőrzőlista (2023. november 13., angol és német)
- LfDI Baden-Württemberg: Jogalapok az MI használatával kapcsolatban (2023. november 7., német) (Frissítés (2024.01.24.): a dokumentum angol verziója is elérhetővé vált.)
- AEPD (spanyol hatóság) honlapján elérhető blogbejegyzések (2023):
- MI rendszer: egy algoritmus vagy több (2023. november 22., angol)
- Szintetikus adatok és adatvédelem (2023. november 2., angol)
- MI: átláthatóság (2023. szeptember 20., angol)
- MI: pontosság alapelve az adatkezelésben (2023. május 31., angol)
- MI: rendszer vs. adatkezelés, eszközök vs. célok (2023. április 10., angol)
- Federált tanulás (federated learning): MI alkalmazása az adatvédelmi elvárások sérelme nélkül (2023. április 26.)
- CNIL (francia hatóság): MI fejlesztés és adatvédelem (2023. október 16., angol)
- Garante (olasz hatóság): Egészségügyi szolgáltatások és MI (2023. szeptember, angol és olasz)
- AEPD (spanyol hatóság): Audit követelmények az MI-vel összefüggő adatkezelések tekintetében (2021. január, angol)
- AEPD (spanyol hatóság): MI-t alkalmazó adatkezelések GDPR megfelelése (2020. február, angol és spanyol)
b) EU-n kívül
- Global Privacy Assembly (80 ország adatvédelmi hatóságait összefogó nemzetközi együttműködés): MI és munkaviszony (2023. október, határozat, angol)
- Global Privacy Assembly: Generatív MI (2023. október, határozat angol)
- PDPC (Szingapúr): Személyes adatok használata MI ajánló és döntési rendszerekben (2023. augusztus, tervezet, angol)
- ICO (Egyesült Királyság): Hogyan használjuk az MI-t és személyes adatokat megfelelően és jogszerűen (2022. november 8., angol)
- ICO (Egyesült Királyság): MI és adatvédelem iránymutatás (2023. március, angol + kockázatértékelési segédlet)
- ICO és Tha Alan Turing Institute: MI alkalmazásával hozott döntések magyarázata (2022. október 17., angol)
- Datatilsynet (Norvégia): MI és adatvédelem (2018. január, angol)
Az alábbiakban - röviden - az MI rendszerekkel összefüggésben történő adatkezelés lehetséges jogalapjainak vizsgálatával foglalkozom elsősorban a baden-württembergi tartományi adatvédelmi hatóság (LfDI Baden-Württemberg) által - konzultációra - közzétett dokumentum alapján.
1. Az adatkezelés fázisai
Az LfDI Baden-Württemberg anyaga az alábbi adatkezelési fázisokat különbözteti meg (természetesen függően attól, hogy az adott fázisban történik-e személyes adat kezelése):
- adatok gyűjtése, generálása, struktúrálása, kategorizálása az MI rendszer tanításához,
- az adatok kezelése az MI rendszer fejlesztése során,
- MI alkalmazások elérhetővé tétele,
- MI alkalmazások használata,
- MI rendszerek által produkált kimenetek, eredmények (output, result) kezelése.
Tekintve, hogy a különböző fázisokban, különböző célból kerülhet sor adatkezelésre, az adatkezelés jogalapjának (és egyéb feltételeinek) a vizsgálata a különböző fázisokban egyaránt szükséges. (A cél alapján a fenti első két fázis szorosan összekapcsolódhat és azonos célból történhet az adatkezelés, ugyanakkor a további fázisok esetében tipikusan eltérő adatkezelési célok és gyakran a fejlesztést végző féltől eltérő szereplők jelennek meg.)
A fejlesztési fázis tekintetében az adatvédelmi kérdések vizsgálatához a francia adatvédelmi hatóság (CNIL) praktikus MI-re vonatkozó iránymutatása ("AI how-to sheet") is jó kiindulópontot jelent. A CNIL iránymutatása a fenti fázisok közül az első kettőt (adatbázis összeállítása a tanításhoz és az adatok kezelése a fejlesztéshez) fedi le.
2. Az egyes jogalapok vizsgálata
Az szóba jöhető jogalapok kapcsán - az LfDI Baden-Württemberg anyagára támaszkodva - az alábbi szempontok emelhetők ki.
2.1. Hozzájárulás
A hozzájáruláson alapuló adatkezelés kihívást jelenthet az MI-vel összefüggésben, tekintve, hogy az érintett bármikor gyakorolhatja a hozzájárulás visszavonásának a jogát, amely alapján az adatkezelést az érintett tekintetében be kell fejezni és a kezelt személyes adatot törölni kell. Az adat törlésére vonatkozó kötelezettség pedig hatással lehet az MI rendszer működésére, funkcionalitására.
Szintén nehézséget jelenthet, hogy - különösen komplex MI rendszerek esetében - az érvényes hozzájárulás megszerzésének átláthatósági feltételei teljesüljenek (azaz az érintett megfelelő információk birtokában hozhassa meg a hozzájárulással kapcsolatos döntését).
A francia hatóság (CNIL) - az MI fejlesztési fázisára fókuszáló - útmutatója a hozzájárulás alkalmazása kapcsán arra is felhívja a figyelmet, hogy a felek (adatkezelő és érintett) között olyan hatalmi helyzet (alá-fölérendeltségi viszony) állhat fenn, amelyben a hozzájárulás érvényessége megkérdőjelezhető.
2.2. Szerződés teljesítése
A szerződés teljesítéséhez, beleértve a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges adatkezelés tekintetében lényeges, hogy
- nem elegendő, ha az MI rendszer szerepel a szerződésben, annak valóban a szerződés teljesítéséhez szükséges adatkezeléshez kell kapcsolódnia, nem elegendő az sem, ha csupán hasznos funkciót biztosít a szerződéssel kapcsolatban, de valójában a "szükségesség" kritériumának nem felel meg,
A szükségesség kapcsán érdemes hivatkozni az Európai Adatvédelmi Testület 2/2019. sz. iránymutatására a személyes adatoknak az általános adatvédelmi rendelet 6. cikke (1) bekezdésének b) pontja szerinti kezeléséről az érintettek részére nyújtott online szolgáltatások összefüggésében, amely leszögezi:
"A „szükséges” kitétel értékelése magában foglalja az adatkezelés összetett, tényeken alapuló értékelését „az elérni kívánt cél és annak érdekében, hogy ez kevésbé legyen beavatkozó jellegű az ugyanazon cél eléréséhez szükséges egyéb lehetőségekhez képest”. Ha reális, kisebb beavatkozással járó alternatívák állnak rendelkezésre, akkor az adatkezelés nem „szükséges”. A 6. cikk (1) bekezdésének b) pontja nem terjed ki az olyan adatkezelésre, amely hasznos, de objektíve nem szükséges a szerződéses szolgáltatás teljesítéséhez vagy az érintett kérésére a szerződéskötést megelőző megfelelő lépések megtételéhez, még akkor sem, ha az az adatkezelő egyéb üzleti céljaihoz szükséges." (iránymutatás, 25. pont, kiemelés tőlem)
További hasznos támpontokat találhatunk ezen jogalap alkalmazhatósága kapcsán a C-252/21. számú, a Meta Platforms és a német versenyhatóság, a Bundeskartellamt közötti ügyben az Európai Bíróság által hozott ítéletben.
- tekintettel arra, hogy az MI-vel kapcsolatban gyakran több szereplős értékláncok mentén történik az adatkezelés, fontos hangsúlyozni, hogy a szerződéses adatkezelés csak az érintettel szerződéses viszonyban álló (illetve szerződést kötő) adatkezelő tekintetében adhat jogalapot az adatkezeléshez, további feleknek (adatkezelőknek) nem (így az MI-t érintő szerződéses láncban az egyes szereplők "nem vihetik tovább" ezt a jogalapot más, az érintettel közvetlenül kapcsolatban nem álló szereplőkre, pl. ha az MI-t használó adatkezelő és az MI fejlesztője elkülönül egymástól, akkor az érintettel szerződéses kapcsolatban nem álló fejlesztő nem alapozhat adatkezelést az érintett és az MI rendszer igénybevételével szolgáltatást nyújtó adatkezelő közötti szerződésre).
2.3. Jogi kötelezettség teljesítése
A jogi kötelezettség teljesítése kapcsán döntő fontosságú, hogy a kötelezettséget meghatározó jogszabály miként rendelkezik, pontosan milyen módon határozza meg a kötelezettséget és ehhez az MI rendszer alkalmazása miként kapcsolható. Az MI rendszer igénybevétele ugyanis nem tágíthatja a jogi kötelezettségen alapuló adatkezelés körét.
2.4. Az érintett vagy egy másik természetes személy létfontosságú érdekének védelme
Az LfDI Baden-Württemberg véleménye alapján ez a jogalap alapvetően az MI alkalmazás használata kapcsán jöhet szóba, figyelemmel a GDPR Preambulum (46) bekezdésére, míg az MI rendszerek fejlesztése, tanítása kapcsán nehezen képzelhető el (bár teljesen nem zárható ki), hogy a létfontosságú érdek szolgálhasson alapul az adatkezeléshez.
Az adatkezelést szintén jogszerűnek kell tekinteni akkor, amikor az az érintett életének vagy más fent említett természetes személy érdekeinek védelmében történik. Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre elvben csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető. A személyes adatkezelés néhány típusa szolgálhat egyszerre fontos közérdeket és az érintett létfontosságú érdekeit is, például olyan esetben, amikor az adatkezelésre humanitárius okokból, ideértve, ha arra a járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen természeti vagy ember által okozott katasztrófák esetében van szükség. (GDPR Preambulum (46) bekezdés, kiemelés tőlem)
2.5. Jogos érdek
(A GDPR 6. cikke szerint ez a jogalap a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre nem alkalmazható, így természetesen ezt a megkötést az MI rendszerek kapcsán is figyelembe kell venni.)
A jogos érdeken alapuló adatkezelés kapcsán, támaszkodva a már kialakult gyakorlatra (lásd erről pl. ebben a korábbi bejegyzésben, 2.2. b) pont), az alábbiak vizsgálata indokolt:
- jogos érdek fennállása,
- szükségesség,
- érdekek összemérése.
A szükségesség kapcsán külön figyelmet érdemel, hogy az MI-vel összefüggő adatkezelés más módon, személyes adat kezelése nélkül nem valóstíható-e meg (pl. anonimizált adatokkal vagy szintetikus adatokkal). A szükségesség mellett másik fontos szempont az arányosság, továbbá az érintett ésszerű elvárásainak az értékelése (az érintett mennyire számíthat arra, hogy adott kontextusban az adatait MI-vel történő adatkezelés keretében használják).
2.6. Közérdekű adatkezelés, illetve közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges adatkezelés
(Ez a jogalap is csak az adatkezelők meghatározott köre, a közhatalmi szervek tekintetében alkalmazható.)
Abban az esetben merülhet csak fel ez a jogalap, ha az adatkezelés megfelelő jogszabályi alapon nyugszik és ezen adatkezelés vonatkozásában az MI rendszer alkalmazható. Esetről-esetre kell vizsgálni tehát, hogy az MI-vel összefüggésben történő adatkezelésre sor kerülhet-e a közfeladat ellátásával vagy a közhatalmi jogosítvány gyakorlásával összefüggésben.
3. Különleges adatok kezelése
A különleges adatok kezelése kapcsán az MI-vel összefüggésben is érvényesülnie kell az adatkezelés kivételességének, hiszen a GDPR főszabálya szerint a különleges adatok kezelése tilos, kivéve, ha a GDPR 9. cikk (2) bekezdésében szereplő valamely feltétel megvalósul. A különböző MI megoldások további kockázatot jelenthetnek a különleges adatok kezelése révén az érintettekre nézve, különösen, ha nagymértékű adatkezelésre kerül sor (pl. valamely MI modell tanításához nagy mennyiségű adatra van szükség). Az LfDI Baden-Württemberg anyaga is kielemi, hogy a GDPR 9. cikk (2) bekezdése szerinti kivételeket szűken kell értelmezni. A kifejezett hozzájárulás (9. cikk (2) bekezdés a) pontja) alkalmazása esetén különösen körültekintően kell eljárni a hozzájárulásra vonatkozó adatvédelmi követelmények teljesítése érdekében.
