Legislative and enforcement developments concerning artificial intelligence (AI) have received considerable attention recently: first, the data protection authority procedure initiated in Italy concerning ChatGPT (which also resulted in the temporary suspension of the service in Italy) received a lot of attention, and then, the approval of the draft EU AI Act by the competent committees of the European Parliament may have attracted more widespread attention.      

It is important to point out that the planned artificial intelligence regulation is not based on one pillar, i.e. it is not based solely on the application of data protection rules in connection with AI, but takes into account many more aspects. However, it is also worth noting that, in the absence of AI-specific rules, the application of data protection rules (primarily, the requirements set out in the GDPR) to AI-based technologies plays a prominent role for the time being (see the events surrounding ChatGPT). Although the suspension of ChatGPT in Italy was perhaps the first data protection procedure involving AI to attract the attention of the wider public (also outside Italy), due to the high interest surrounding ChatGPT, it was by no means the first time that AI-based data processing has been targeted by a data protection authority. Below I have collected cases (basically from the EU) that examined the application of artificial intelligence in a data protection context.   

A mesterséges intelligenciát érintő jogalkotási és jogalkalmazási kérdések komoly figyelmet kaptak az elmúlt időszakban: először a ChatGPT-t érintően Olaszországban megindított adatvédelmi hatósági eljárás kapott nagy figyelmet (amely eljárás a szolgáltatás időleges olaszországi felfüggesztésével is járt), majd a napokban az EU mesterséges intelligencia rendelettervezetének az Európai Parlament illetékes bizottságai általi jóváhagyása tarthatott szélesebb körű érdeklődésre számot.      

Most, hogy a GDPR alkalmazandóvá válásának 5. évfordulója itt van a kertek alatt, érdemes megemlékezni egy másik jeles évfordulóról is: 1973. május 11. napján, azaz éppen 50 éve fogadta el a svéd parlament a svéd adatvédelmi törvényt (Datalagen), amely a nemzeti (országos) adatvédelmi jogszabályok sorában az első volt a világon.   

A svéd adatvédelmi törvény nem terjedt ki minden adatkezelési műveletre, hanem a számítástechnikai eszközzel végzett adatkezelésekre fókuszált, ugyanakkor a megjelenése jelezte, hogy a személyes adat és ezen keresztül a személyes adat mögött álló személy védelme fokozottabb figyelmet érdemel, először elsősorban az állami adatkezelések, később a technológiai fejlődésnek hála, a magánszektor általi adatkezelések tekintetében is. 

Now, as we are approaching the 5th anniversary of GDPR´s applicability, it is worth remembering another significant anniversary: on May 11, 1973, exactly 50 years ago, the Swedish Parliament adopted the Swedish Data Protection Act (Datalagen), which was the first national data protection legislation in the world.

A munkahelyi adatkezelés, tekintettel arra, hogy mindenkit érint, aki foglalkoztatásra irányuló jogviszonyban áll (esetleg ilyenre pályázik, vagy ilyet hagyott maga mögött), jelentősége óriási. Szerencsére a téma jelentőségét az adatvédelmi hatóságok is érzik és időről-időre adnak ki útmutatókat, iránymutatásokat, amelyek az adatkezelőknek segíthetnek a jogszerű adatkezelési keretek kialakításában, figyelemmel a technológiai fejlődésre és a munkahelyi adatkezeléseket érintően végbe menő változásokra is. Most, az ír adatvédelmi hatóság (Data Protection Commission, DPC) jelentkezett egy útmutatóval, amely a munkahelyi adatkezelés egyes aspektusait érinti. Az útmutató erénye, hogy esettanulmányokat, a DPC-hez érkezett panaszokból átemelt gyakorlati tapasztalatra épülő információt tartalmaz, így nem csupán elvont, elméleti, hanem gyakorlati útmutatást is ad az adatkezelőknek.

Az alábbiakban röviden bemutatom a DPC friss (2023. áprilisi) útmutatójában foglaltakat. 

A másolatkészítés, amenniyben személyes adatot is érint, adatkezelési tevékenységnek minősül és ennek köszönhetően az adatvédelmi követelmények alkalmazandóak ezen műveletek vonatkozásában. Magyarországon az elmúlt években a személyazonosító okmányokról történő másolatkészítés kapott kiemelt figyelmet. A NAIH egy friss, 2023. áprilisában közzétett állásfoglalásában a másolatok egy másik típusának, a munkavállalók végzettségét igazoló okiratokról készült iratmásolat kezelhetőségével foglalkozik. 

Nowadays it is almost inconceivable to carry out any economic activity without data processing. No matter how small the business may be, the processing of personal data, including customer data, partner data or employee data, is usually a necessary part of its operations. Therefore, compliance with data protection rules, in particular the GDPR, affects a large number of micro, small and medium-sized enterprises (SMEs) across Europe (and even beyond the EU). 

Manapság már szinte elképzelhetetlen bármely gazdasági tevékenység végzése adatkezelés nélkül. Lehet az üzleti tevékenység bármilyen kicsi, a személyes adatok kezelése általában szükségszerű velejárója a működésnek, legyen szó akár az ügyfelek, a partnerek vagy a munkavállalók adatairól. Éppen ezért az adatvédelmi szabályoknak, így különösen a GDPR rendelkezéseinek való megfelelés a mikro-, kis- és középvállalkozások (KKV) tömegét is érinti Európa szerte (és még az EU határain túl is). 

A Schrems II. ügyben hozott döntést követően a Max Schrems által alapított civil szervezet, a NOYB 101 panaszt nyújtott be 30 uniós, illevte EGT tagállamban a Google Analytics és Facebook Business Tools megoldások különböző honlapok által történő alkalmazása és az ezzel öszsefüggésben megvalósuló Egyesült Államokba történő adattovábbítás miatt. 

A 30 országot érintő panaszhullám összehangolt kezelése érdekében az Európai Adatvédelmi Testület 2020-ban munkacsoportot hozott létre, hogy a tagállami adatvédelmi hatóságok koordinálni tudják a panaszok kapcsán meginduló eljárásaikat és megfelelő keretek között információt cseréljenek egymással.  

Közel három évvel később, a héten a Testület közzétette a munkacsoport által végzett munka alapján leszűrt következtetéseket.

After a one-and-a-half-year delay, the act on whistleblowing (the “Whistleblowing Act”) was finally adopted in Hungary. The Whistleblowing Act will enter into force on the 60th day after its publication in the Official Gazette (most probably at the end of June). Update 24.05.2023: The Parliament adopted the new version of the Whistleblowing Act after the President requested the Parliament to reconsider some points of the original bill. The provisions of the Act regarding internal whistleblowing systems have not been changed compared to the originally adopted version. Update 06.06.2023: The Act (Act XXV of 2013) was published in the Official Gazette on May 25, 2023, i.e. it becomes effective as of July 24, 2023.  

In the following, I give a short summary about the main rules on internal whistleblowing systems to be set up by employers based on the adopted Hungarian law.