Izgalmas kérdést boncolgat a NAIH közelmúltban közzétett állásfoglalása: milyen módon alkalmazandók az ügyvédi titokra vonatkozó szabályok a hozzáférési igény teljesíthetőségével kapcsolatban? 

1. Tényállás

Az ügy szálai egy volt házastársak közötti pereskedséhez vezetnek el, amelynek kapcsán a panaszos hozzáférési jogát kívánta gyakorolni a volt házastársa (ellenérdekű fél) képviseletét ellátó ügyvéd által folytatott adatkezelés tekintetében. A panaszos megkeresése arra irányult, hogy az ügyvéd kezeli-e a panaszos személyes adatait, kifejezetten megjelölve a peres eljárásban benyújtott hangfelvételeket, emaileket és videófelvételeket. A megkeresésben a panaszos tájékoztatást kért az adatkezelés céljáról, a kezelt adatok típusáról, az adatok esetleges továbbításáról, az adatkezelés időtartamáról és az adatok forrásáról, továbbá kérte a személyes adatok másolatát a GDPR 15. cikk (3) bekezdése alapján.

Az ügyvéd a hozzáférési jog gyakorlásával kapcsolatos megkeresésre adott válaszában az érdemi válaszadást - ügyvédi titokra hivatkozással - megtagadta, figyelemmel arra, hogy az ügyvéd a hozzáférési joggal érintett adatok kezelése során az ügyvédi tevékenységről szóló 2017. évi. LXXVIIII. törvény (Üttv.) 27. § (1) bekezdés a) pontja szerinti megbízás keretében, az Üttv. 34. §-a szerint a megbízója jogi képviselőjeként járt el. Ugyanakkor az ügyvéd a megtagadás indokaként a GDPR 12. cikk (5) bekezdése vagy a GDPR 15. cikk (4) szerinti kivételek egyikére sem hivatkozott.

Az elmúlt években az uniós jogalkotás az adatvédelem, adat- és kiberbiztonság, adatmegosztás és mesterséges intelligencia terén nagyon komoly sebességre kapcsolt. Sorra születnek meg az újabb és újabb rendeletek, irányelvek, illetve jelennek meg a jogalkotási javaslatok, amelyek - végighaladva az uniós jogalkotás útvesztőin - jelentős mértékben alakulnak is időközben. Az érintett szereplőknek pedig igen csak igyekezniük kell, ha lépést akarnak tartani a követelményekkel és megfelelően felkészülni a jogalkalmazásra. Persze nem mindegyik szabályozás alkalmazandó minden társaságra, szervezetre, de szinte mindenki találhat őt érintő, rá vonatkozó rendelkezést, aminek meg kell felelnie, amelynek alkalmazására fel kell készülnie. 

In recent years, EU legislation in the areas of data protection, data security and cybersecurity, data sharing and artificial intelligence has stepped up a gear. More and more regulations, directives and legislative proposals are appearing one after another. Entities subject to (at least some of) such legislation will have to make a lot of effort if they want to keep up with the requirements and properly prepare for the application of the laws applicable to them. Of course, not all regulations apply to all companies and organizations, but almost each entitty can find some new or upcoming provisions that affect them and that they must comply with and prepare for their application. 

A magas szintű kiberbiztonságot biztosító intézkedésekről szóló irányelv (NIS 2) magyar jogba történő átültetése példás gyorsasággal történt meg. Az átületetésre 2024. október 18-ig kaptak időt a tagállamok, de Magyarországon már elfogadásra és kihirdetésre is került a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertantv.), amely eleget tett az uniós kötelezettségnek. A hatálybalépés több lépcsőben történik meg 2024. október 18-ig. (A NIS 2 irányelvről itt írtam, míg az átültetsre vonatkozó törvényjavaslatról itt.)

Egyre közelebb kerül a mesterséges intelligenciára (MI) vonatkozó uniós szabályozás elfogadása. Május közepén az Európai Parlament két bizottsága (IMCO, LIBE) elfogadta a rendelettervezet új, "kompromisszumos szövegjavaslatát" (a módosításokat az eredeti bizottsági javaslathoz képest mutató, jobban áttekinthető verzió elérhető itt).  

Az Európai Parlament "kompromisszumos szövegjavaslat" elfogadásáról döntő plenáris üléséhez közeledve az alábbiakban röviden bemutatom a Parlament előtt lévő tervezet néhány lényegi, az eredeti bizottsági javaslathoz képest újdonságot, jelentősebb változást hozó elemét. 

In mid-May, a new version of the draft AI Act was published in the form of a compromise text adopted by the European Parliament's committees (IMCO, LIBE). The European Parliament's plenary will vote on the draft in mid-June, after which negotiations with the Council may start on the AI Act.

The compromise text that is to be discussed by the European Parliament contains a number of novelties compared to the original proposal of the Commission (and also compared to the text of the Council´s general approach). In this post, I will briefly discuss one of the new elements introduced in the compromise text, the so-called fundamental rights impact assessment (FRIA) for high-risk AI systems.

A mesterséges intelligenciával kapcsolatos hírek igencsak megszaporodtak az elmúlt időszakban, különösen miután az OpenAI által fejlesztett nagy nyelvi modellen (LLM) alapuló chat alkalmazás, a ChatGPT tavaly novemberben széles körben elérhetővé vált. A ChatGPT megjelenése áttörést hozott abból a szempontból, hogy milliók számára vált elérhetővé és könnyen átélhetővé mire képes (illetve mire lehet majd még a továbbiakban képes) az MI. A ChatGPT elsöprő sikere látványossá tette a hiányosságokat is, több adatvédelmi hatósági eljárás is indult például, amelyek közül az olaszországi kapta a legnagyobb figyelmet, amely a szolgáltatás átmeneti olaszországi felfüggesztésével is járt. (Nem a ChatGPT-t érintő olasz eljárás volt ugyanakkor az első MI-vel összefüggő adatkezelés, amely adatvédelmi hatósági vizsgálat tárgyát képezte.)

"Time flies so fast", is what we often say when we arrive at an anniversary and look back. As 5 years have already passed since the GDPR became applicable on May 25, 2018, it´s worth asking some questions regarding the experiences of GDPR application, also with regard to the fact that data protection is a relatively new field of law (we celebrated the 50th anniversary of the adoption of the first national data protection law earlier this May) and 5 years can be a particularly long time in this field, especially when we also take the speed of technological developments affecting privacy also into account.

"Hogy rohan az idő!", állapítjuk meg sokszor, amikor egy évfordulóhoz érkezünk. Ez a felkiáltás kijár a mostani GDPR évforduló alklamából is, hiszen a GDPR alkalmazandóvá válása, azaz 2018. május 25. óta már 5 év telt el. Az adatvédelem, mint viszonylag fiatal jogterület (éppen májusban ünnepelhettük az első nemzeti adatvédelmi törvény elfogadásának 50. évfordulóját) tekintetében ráadásul 5 év különösen nagy idő lehet, főleg amikor a technológiai fejlődésnek is köszönhetően, csak kapkodjuk a fejünket. Az elmúlt 5 évben ráadásul elég sok minden történt az adatvédelem területén. Az alábbiakban néhány kérdés kapcsán a GDPR elfogadásához fűzött reményekhez és a jogszabály alkalmazásának gyakorlati tapasztalatihoz fűződő kérdésekre keresem a választ. 

Legislative and enforcement developments concerning artificial intelligence (AI) have received considerable attention recently: first, the data protection authority procedure initiated in Italy concerning ChatGPT (which also resulted in the temporary suspension of the service in Italy) received a lot of attention, and then, the approval of the draft EU AI Act by the competent committees of the European Parliament may have attracted more widespread attention.      

It is important to point out that the planned artificial intelligence regulation is not based on one pillar, i.e. it is not based solely on the application of data protection rules in connection with AI, but takes into account many more aspects. However, it is also worth noting that, in the absence of AI-specific rules, the application of data protection rules (primarily, the requirements set out in the GDPR) to AI-based technologies plays a prominent role for the time being (see the events surrounding ChatGPT). Although the suspension of ChatGPT in Italy was perhaps the first data protection procedure involving AI to attract the attention of the wider public (also outside Italy), due to the high interest surrounding ChatGPT, it was by no means the first time that AI-based data processing has been targeted by a data protection authority. Below I have collected cases (basically from the EU) that examined the application of artificial intelligence in a data protection context.