A ChatGPT-vel a mesterséges intelligencia (MI) alapú megoldások alkalmazása szinte berobbant a köztudatba. Az OpenAI által fejlesztett alkalmazás - a felhasználói bázisa alapján - a leggyorsabban növekvő alkalmazássá vált, két hónappal a közzététele után már 100 millió rendszeres havi felhasználóval büszkélkedhetett. A ChatGPT használatának széles körben való terjedésével párhuzamosan előtérbe kerültek a ChatGPT-vel, illetve általánosabban, a nagy nyelvi modellekkel (large language models, LLMs) kapcsolatos adatvédelmi kérdések is.

Az adatvédelmi kérdések fókuszba helyezésében nagy szerepet játszott az olasz adatvédelmi hatóság (Garante) határozott fellépése, amellyel felfüggesztette a ChatGPT működését Olaszországban. Az olasz hatóság március végi döntése nagy visszhangot váltott ki és sorra jelentek meg más hatóságoktól is nyilatkozatok a ChatGPT működését érintő esetleges további vizsgálatok megindításáról. A legfrisebb hírek szerint pedig az Európai Adatvédelmi Testület egy külön csoportot (task force) állított fel a ChatGPT-vel kapcsolatos adatvédelmi kérdések vizsgálatára, az összehangolt uniós fellépés érdekében. 

Az alábbiakban röviden áttekintem a ChatGPT olaszországi felfüggesztése óta történteket és egyes lehetséges jövőbeni kilátásokat. 

Másfél éves késedelemmel ugyan, de a Parlament elfogadta a visszaélések-bejelentésére vonatkozó törvényt, amely alapján az 50 főnél több foglalkoztatottal működő szervezeteknek belső visszaélés-bejelentési rendszert kell majd működtetniük. A törvény a kihirdetése utáni 60. napon lép majd hatályba. (Frissítés 2023.05.24.: A köztársasági elnöki "vétót" követően elfogadásra került a törvény új változata, amely a belső visszaélés-bejelentési rendszerek - alábbiakban tárgyalt - főbb szabályait illetően nem tartalmaz érdemi eltérést az eredeti verzióhoz képest. Frissítés 2023.06.06.: A törvény (2023. XXV. törvény) május 25-én megjelent a Magyar Közlönyben, így 2023. július 24-én lép hatályba.) 

Ahogy arról korábban írtam, a tagállamoknak 2021. december 17-ig kellett (volna) átültetniük a nemzeti jogukba a 2019/1937. sz. irányelvet az uniós jog megsértését bejelentő személyek védelméről, de erre - több tagállam mellett - Magyarországon sem került sor a megadott határidőn belül. 

Az alábbiakban az elfogadott jogszabályszöveg alapján mutatom be a foglalkoztatók által létrehozandó belső visszaélés-bejelentési rendszerekre vonatkozó főbb szabályokat (lásd törvény II. fejezet 4-5. alcím). 

A sütifalak (cookie walls) témája évek óta megosztja az adatvédelemmel foglalkozókat, sőt az adatvédelmi hatóságokat is. Bár többféle sütifal létezik, az egyik leggyakoribb megoldás, hogy a felhasználó választhat: (i) a tartalomhoz való hozzáférésért cserébe hozzájárul a sütik telepítéséhez és így az aktivitása nyomon követéshez vagy (ii) nem fogadja el a sütiket, viszont egy meghatározott összeget (tipikusan valamilyen előfizetéses konstrukció formájában) fizet a tartalomért (ún. cookie paywall). 

Bőven az átültetésre nyitva álló határidő vége (2024. október 17.) előtt a Parlament elé került az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló irányelv (NIS 2 irányelv) átültetésére vonatkozó törvényjavaslat (T/3314. sz. törvényjavaslat, a törvény a Kibertan tv. rövidítés alapján "fut" majd; a NIS 2 irányelvről itt írtam részletesebben). Frissítés (2023.06.13.): Elfogadásra és 2023. május 15-én kihirdetésre került a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertantv.). 

A javaslat alapján megszülető új kibertanúsításra vonatkozó törvény (Kibertan tv.) egyérszt rendezi a nemzeti kiberbiztonsági tanúsítás, másrészt a kiberbiztonsági felügyelet alapvető kérdéseit. A törvény fontos igazodási pont lesz a kiberbiztonság témakörében, illetve alapvető, az infokommunikációt érintő fogalmak jogszabályi meghatározását is adja. 

Közzétette a Nemzeti Adatvédelmi és Információszabadság Hatóság a 2022. évre vonatkozó éves beszámolóját. Az alábbiakban a beszámoló néhány érdekesebb, adatvédelmet érintő elemét emelem ki. 

1. A számok tükrében

Az adatvédelmi hatósági ügyek száma tovább növekedett, igazodva a GDPR alkalmazandóvá válása óta érvényesülő tendenciához. 2022-ben 591 adatvédelmi hatósági eljárás indult kérelemre, míg hivatalból további 117 eljárás, azaz összesen 708 új adatvédelmi hatósági eljárás indult (283 eljárást pedig az előző évből hozott át a Hatóság). (Az összehasonlítás kedvéért az előző években így alakult a hatósági eljárások száma: 2018: 67, 2019: 276, 2020: 347, 2021: 556). Az adatvédelmi hatósági eljárások döntő többsége a GDPR-ral kapcsolatos témákban indul (az eljárásoknak csak töredéke foglalkozik a bűnüldözési irányelvvel), beleértve az incidensekkel kapcsolatos ügyeket is. 

One of the breaking news today that the Italian data protection authority (Garante) has decided to block the use of ChatGPT and the related data processing activities in Italy with immediate effect. In connection with the use of ChatGPT, the star of artificial intelligence (AI) developments in recent months, several concerns have already been expressed, and a data breach concerning ChatGPT users has recently become known (the incident was also referred to by Garante in the press release issued in connection with the suspension of ChatGPT´s use).

The ban of ChatGPT in Italy came after the publication of an open letter calling for a moratorium on the developments of AI systems more advanced than GPT4 for at least 6 months until risks associated with such AI systems could be assessed and risk mitigation measures could be implemented. In the United States, there have also been reports of a complaint filed with the Federal Trade Commission (FTC), which also raises the possibility of suspending the releases of new versions of large language models.    

Today, Garante has decided that OpenAI must immediately suspend data processing via its ChatGPT app for Italian data subjects until the conditions for lawful data processing are established. At the same time, Garante launched an investigation into data processing related to ChatGPT.  

Bombaként robbant a hír, hogy az olasz adavédelmi hatóság (Garante) a ChatGPT olaszországi használatának, illetve az ezzel összefüggő adatkezelésnek az azonnali hatályú blokkolásról hozott döntést. Az elmúlt hónapok mesterséges intelligencia sztárja, a ChatGPT használata kapcsán számos aggály megfogalmazódott már, illetve a napokban vált ismertté egy adatvédelmi incidens a ChatGPT használóit (pontosabban a ChatGPT Plus előfizetőit) érintően (az incidensre - a felfüggesztés kapcsán kiadott sajtóközleményben - a Garante is hivatkozott).

Szintén nagy port vert fel az a nyílt levél, amely a GPT4-nél fejlettebb MI rendszerek fejlesztésének moratóriumára hívott fel legalább 6 hónapig, amíg a kockázatok felmérésére és kezelésük lehetséges módjának megtalálására lehetőség nyílik. Az Egyesült Államokban pedig a Federal Trade Commission (FTC), mint illetékes hatóság részére benyújtott panaszról érkeztek hírek, amely kapcsán a nyelvi modellek újabb verziói közzétételének felfüggesztése, mint lehetőség is felmerül.      

Ma pedig érkezett a Garante döntése, miszerint az OpenAI-nak azonnali hatállyal fel kell függszetenie a ChatGPT alkalmazásán keresztül történő adatkezeléseket az olasz érintettek vonatkozásában mindaddig, amíg a jogszerű adatkezelés feltételei megteremtésre nem kerülnek. Egyidejűleg a Garante vizsgálatot is indított a ChatGPT-vel összefüggő adatkezelések kapcsán.  

A beépített és alapértelmezett adatvédelem elveinek érvényesüléséhez elengedhetetlen, hogy ezen elvek gyakorlati alkalmazhatóságát elősegítő, konkrét, a termékek és szolgáltatások fejlesztésében, kialakításában résztvevőket célzó iránymutatások váljanak elérhetővé.

A közelmúltben írtam a katalán adatvédelmi hatóság fejlesztők számára készített iránymutatásáról, az alábbiakban pedig a brit adatvédelmi biztos (Information Coimmissioner's Officer) friss anyagában foglaltakat foglalom össze röviden, amely a termékfejlesztési életcikluson végighaladva mutatja be az adatvédelmi megfeleléshez feltétlenül szükséges, illetve ezen túllépve az azt elősegítő, valamint ajánlott intézkedéseket.

Az adatvédelem nagy kérdései közül a sütik (cookie) alkalmazásával kapcsolatos témák jelentős figyelmet kaptak az utóbbi években. Ahogyan az igazi (értsd: ehető) sütikre, úgy a digitális világban terítékre kerülő sütikre is igaz: ahány ház, annyi szokás, azaz hiába az EU-n belüli közös szabályozási kiindulás (elektronikus hírközlési adatvédelmi irányelv, 2002/58/EK, illetve GDPR), a jogalkalmazás tekintetében számos kisebb-nagyobb eltérést láthatunk az egyes tagállamokban (a Dentos nemzetközi ügyvédi iroda sütiszabályozást összehasonlító információs oldalán jól láthatók ezek a különbségek).

Február végén a dán adatvédelmi hatóság (Datatylsinet) tett közzé útmutatást az ún. sütifalak (cookie walls) alkalmazhatóságával kapcsolatban. 

Az EU-n kívülre irányuló adattovábbítások kérdése az elmúlt években, különösen a Schrems II. ítéletnek köszönhetően nagy hangsúlyt kapott és számos esetben okoz fejtörést az adatkezelőknek. Az elmúlt hetekben több fontos információ is napvilágot látott a téma kapcsán: megjelent az Európai Adatvédelmi Testület végleges iránymutatása a GDPR területi hatálya és az adattovábbítási rendelkezések vonatkozásában, a Testület elfogadta az USA-ra vonatkozó megfelelőségi határozat tervezetét elemző véleményét és a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz; DSK) is elfogadott január végén egy állásfoglalást, amely az EU-n belül történő adatfeldolgozó általi adatkezelések esetében a harmadik országok hatóságainak esetleges hozzáférési igényeit érinti.