One of the breaking news today that the Italian data protection authority (Garante) has decided to block the use of ChatGPT and the related data processing activities in Italy with immediate effect. In connection with the use of ChatGPT, the star of artificial intelligence (AI) developments in recent months, several concerns have already been expressed, and a data breach concerning ChatGPT users has recently become known (the incident was also referred to by Garante in the press release issued in connection with the suspension of ChatGPT´s use).

The ban of ChatGPT in Italy came after the publication of an open letter calling for a moratorium on the developments of AI systems more advanced than GPT4 for at least 6 months until risks associated with such AI systems could be assessed and risk mitigation measures could be implemented. In the United States, there have also been reports of a complaint filed with the Federal Trade Commission (FTC), which also raises the possibility of suspending the releases of new versions of large language models.    

Today, Garante has decided that OpenAI must immediately suspend data processing via its ChatGPT app for Italian data subjects until the conditions for lawful data processing are established. At the same time, Garante launched an investigation into data processing related to ChatGPT.  

Bombaként robbant a hír, hogy az olasz adavédelmi hatóság (Garante) a ChatGPT olaszországi használatának, illetve az ezzel összefüggő adatkezelésnek az azonnali hatályú blokkolásról hozott döntést. Az elmúlt hónapok mesterséges intelligencia sztárja, a ChatGPT használata kapcsán számos aggály megfogalmazódott már, illetve a napokban vált ismertté egy adatvédelmi incidens a ChatGPT használóit (pontosabban a ChatGPT Plus előfizetőit) érintően (az incidensre - a felfüggesztés kapcsán kiadott sajtóközleményben - a Garante is hivatkozott).

Szintén nagy port vert fel az a nyílt levél, amely a GPT4-nél fejlettebb MI rendszerek fejlesztésének moratóriumára hívott fel legalább 6 hónapig, amíg a kockázatok felmérésére és kezelésük lehetséges módjának megtalálására lehetőség nyílik. Az Egyesült Államokban pedig a Federal Trade Commission (FTC), mint illetékes hatóság részére benyújtott panaszról érkeztek hírek, amely kapcsán a nyelvi modellek újabb verziói közzétételének felfüggesztése, mint lehetőség is felmerül.      

Ma pedig érkezett a Garante döntése, miszerint az OpenAI-nak azonnali hatállyal fel kell függszetenie a ChatGPT alkalmazásán keresztül történő adatkezeléseket az olasz érintettek vonatkozásában mindaddig, amíg a jogszerű adatkezelés feltételei megteremtésre nem kerülnek. Egyidejűleg a Garante vizsgálatot is indított a ChatGPT-vel összefüggő adatkezelések kapcsán.  

A beépített és alapértelmezett adatvédelem elveinek érvényesüléséhez elengedhetetlen, hogy ezen elvek gyakorlati alkalmazhatóságát elősegítő, konkrét, a termékek és szolgáltatások fejlesztésében, kialakításában résztvevőket célzó iránymutatások váljanak elérhetővé.

A közelmúltben írtam a katalán adatvédelmi hatóság fejlesztők számára készített iránymutatásáról, az alábbiakban pedig a brit adatvédelmi biztos (Information Coimmissioner's Officer) friss anyagában foglaltakat foglalom össze röviden, amely a termékfejlesztési életcikluson végighaladva mutatja be az adatvédelmi megfeleléshez feltétlenül szükséges, illetve ezen túllépve az azt elősegítő, valamint ajánlott intézkedéseket.

Az adatvédelem nagy kérdései közül a sütik (cookie) alkalmazásával kapcsolatos témák jelentős figyelmet kaptak az utóbbi években. Ahogyan az igazi (értsd: ehető) sütikre, úgy a digitális világban terítékre kerülő sütikre is igaz: ahány ház, annyi szokás, azaz hiába az EU-n belüli közös szabályozási kiindulás (elektronikus hírközlési adatvédelmi irányelv, 2002/58/EK, illetve GDPR), a jogalkalmazás tekintetében számos kisebb-nagyobb eltérést láthatunk az egyes tagállamokban (a Dentos nemzetközi ügyvédi iroda sütiszabályozást összehasonlító információs oldalán jól láthatók ezek a különbségek).

Február végén a dán adatvédelmi hatóság (Datatylsinet) tett közzé útmutatást az ún. sütifalak (cookie walls) alkalmazhatóságával kapcsolatban. 

Az EU-n kívülre irányuló adattovábbítások kérdése az elmúlt években, különösen a Schrems II. ítéletnek köszönhetően nagy hangsúlyt kapott és számos esetben okoz fejtörést az adatkezelőknek. Az elmúlt hetekben több fontos információ is napvilágot látott a téma kapcsán: megjelent az Európai Adatvédelmi Testület végleges iránymutatása a GDPR területi hatálya és az adattovábbítási rendelkezések vonatkozásában, a Testület elfogadta az USA-ra vonatkozó megfelelőségi határozat tervezetét elemző véleményét és a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz; DSK) is elfogadott január végén egy állásfoglalást, amely az EU-n belül történő adatfeldolgozó általi adatkezelések esetében a harmadik országok hatóságainak esetleges hozzáférési igényeit érinti.

2019-ben került elfogadásra a 2019/1937. sz. irányelv az uniós jog megsértését bejelentő személyek védelméről, amelyet a tagállamoknak 2021. december 17-ig kellett (volna) átültetniük a nemzeti jogukba. Az átültetés nem haladt zökkenőmentesen, és a fenti határidőig mindössze 8 tagállam tett eleget a kötelezettségének, több tagállam pedig még a mai napig késedelemben van. Éppen ezért az Európai Bizottság 8 tagállammal szemben kötelezettségszegési eljárási is indított február közepén (az érintett nyolc tagállam: Csehország, Észtország, Lengyelország, Luxemburg, Magyarország, Németország, Olaszország és Spanyolország).

Magyarország  a késlekedő tagállamok között is kilógott a sorból, mivel - egészen február 28-ig - még a törvényjavaslat sem került előterjesztésre. Ez a helyzet változott most meg, mivel február 28-án benyújtásra került az Országgyűléshez "A panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról" szóló törvényjavaslat (T/3089.). (Frissítés 2023.06.06.: 2023. május 25-én a Magyar Közlönyben kihírdetésre került az elfogadott törvény (2023.XXV. törvény). A végleges törvényszöveg néhány ponton eltérést tartalmaz az eredeti javaslathoz képest. Az elfogadott törvényszöveg alapján készült összefoglalóm itt érhető el.)  

2020. júliusa, az Európai Bíróság Schrems II. ügyben hozott ítélete óta az EU-n kívülre irányuló adattovábbítások témája az adatvédelmi közbeszéd egyik közpotni eleme lett. Gazdasági és politikai jelentősége miatt ezen belül is az USA-ba irányuló adattovábbítások témája kiemelt helyet foglal el a diskurzusban. A korábban már két alkalommal „elkaszált” megfelelőségi hattározata után, az Európai Bizottság - az EU és az USA közötti elvi adattovábbítási keretrendszer és az USA elnökének vonatkozó rendelete (Executive Order) alapján - tavaly év végén közzétette az újabb, USA-ra vonatkozó megfelelőségi határozatának tervezetét és elindította a határozat elfogadásához vezető folyamatot. Ennek a folyamatnak a részeként az Európai Adatvédelmi Testület február végén elfogadta és elérhetővé tette a megfelelőségi határozat tervezetére vonatkozó véleményét.

A Meta a közelmúltban bejelentette, hogy a Facebook és az Instagram alkalmazásaiban olyan előfizetős szolgáltatást tesztel, amely - több, egyéb szolgáltatás (pl. nagyobb elérés biztosítása) mellett - a felhasználók személyének ellenőrzését (így az adott felhasználó személyével történő visszaélés megelőzését), illetve a szolgáltatás igénybevételének nagyobb biztonságát teszi lehetővé (ennek keretében pl. a Meta a személyazonossággal való visszaélés ellen proaktív fiókfigyelést biztosít az előfizetőknek), továbbá akár közvetlen ügyfélszolgálati hozzáférést is biztosíthat. Korábban hasonló előfizetési modell mellett tette le a voksát a Twitter is. 

A konkrét megoldásról csak korlátozottan állnak rendelkezésre információk (illetve a Meta esetében egyelőre tesztüzemről van szó, amely Ausztráliában és Új-Zélandon indul, később azonban valószínűleg más országokban is elérhetővé válik), de érdekes kérdések merülhetnek fel azzal kapcsolatban, hogy a biztonsági funkciók biztosítása kapcsán milyen mozgásterük lehet a szolgáltatóknak, monetizálhatók lehetnek-e bizonyos mértékig a szolgáltatás igénybevételének biztonságosságával kapcsolatos intézkedések. Másképpen megfogalmazva: a jogszabály alapján a szolgáltatókat (adatkezelőket) terhelő kötelezettség, miszerint megfelelő technikai és szervezési intézkedések meghozatalával kell biztosítaniuk a kezelt adatok védelmét, megengedi-e, hogy - az egyébként ingyenesen igénybe vehető szolgáltatás kapcsán - az adatok biztonságát szolgáló egyes intézkedéseket csak egy szűkebb, a nagyobb biztonságot is magában foglaló szolgáltatásért külön fizető kör számára tegyék elérhetővé. Még egyet csavarva a kérdésen, úgy is fogalmazhatunk, hogy vajon a szolgáltató egy esetleges adatokat érintő visszaélés esetén mentesülhet-e a felelősség alól arra hivatkozva, hogy az érintett nem vette igénybe az egyébként rendelkezésre álló, de fizetős extra szolgáltatásokat, amelyekkel egyébként megelőzhető lett volna a visszaélés?

A beépített- és alapértelmezett adatvédelem elveit ugyan nem a GDPR hívta életre, hanem a "privacy by design" és "privacy by default" megközelítést Ontario állam egykori adatvédelmi biztosának (Information and Privacy Commissioner), Ann Cavoukiannak köszönhetjük, aki 2009-ben tette közzé a beépített adatvédelemmel ("privacy by design") kapcsolatos koncepcióját, ugyanakkor az vitathatatlan, hogy ezen elvárások GDPR-ban való rögzítése sokat tett az elvek köztudatba emeléséért.

A beépített- és alapértelmezett adatvédelem elveinek gyakorlati alkalmazása azonban még mindig kihívást jelenthet az adatkezelőknek és adatfeldolgozóknak (bár az Európai Adatvédelmi Testület részletes és gyakorlati példákat is tartalmazó iránymutatásban foglalkozott a témával, illetve a Testület - éppen a közelmúltban véglegesített - "sötét mintázatokkal" kapcsolatos iránymutatása szintén szoros kapcsolatban áll a beépített- és alapértelmezett adatvédelem elveinek alkalmazásával).   

Az adatkezelők és adatfeldolgozók viszont most újabb segítséget kaptak, különösen, ha a szoftverfejlesztés kapcsán felmerülő adatvédelmi kérdésekben keresnek gyakorlati segítséget: a Katalán Adatvédelmi Hatóság (APDCat) ugyanis 2023. februárjában tette közzé az elsősorban fejlesztőket megcélzó, témába vágó iránymutatását (ráadásul angol nyelven).  

Az Európai Adatvédelmi Testület elfogadta a 2021/05. sz. iránymutatásának a végleges változatát (az iránymutatás tervezetéről itt írtam korábban), amelyben az első verzióhoz képest több releváns korrekciót is végrehajtott a Testület. Ami nem változott, hogy az iránymutatás meghatározza a harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás kritériumait (ez egy fontos kiindulópont, hiszen a GDPR-ban a nemzetközi adattovábbítások fogalmának meghatozásával nem találkozunk).