A közelmúltban megjelent a nemzeti adatvagyonról szóló 2021. évi XCI. törvény, amely július 27-én hatályba is lép. Az alábbiakban összefoglalom, hogy mire terjed ki az újonnan elfogadott törvény, mi is az a nemzeti adatvagyon és miként viszonyul ez a hazai jogszabály az uniós szinten sorban érkező adatokat érintő jogalkotási kezdeményezésekhez. 

A mesterséges intelligencia (MI) fejlesztések kapcsán gyakran szokás az USA és Kína, mint e területen vezető pozíciót betöltő nagyhatalmak versengéséről beszélni. Az USA és Kína mellett az Európai Uniót pedig gyakran emlegetik másod- (vagy inkább harmad-)hegedűsként. Felismerve azt, hogy a digitális technológiák uralta világunkban - ha nem akar vészesen lemaradni - az EU-nak is fel kell vennie a kesztyűt és az adatalapú gazdaság, illetve az új technológiák és köztük különösen az MI kapcsán komoly erőfeszítéseket kell tennie, megmutatva, hogy létezhet egy európai út is, amely az adatok felhasználásának és a technológiai fejlődés mindennapokba történő beépítésének az egyéni jogok és szabadságok tiszteletén és védelmén alapuló megoldását kínálja. Ennek szellemében jelent meg 2020. februárjában az EU adatstratégiája és az MI-re vonatkozó fehér könyve is. Ahogy az MI-re vonatkozó fehér könyv rögzíti: 

Ahhoz, hogy Európa – az európai adatstratégiában foglaltaknak megfelelően – globális vezetővé váljon az adatgazdaság innovációja és alkalmazásai terén, ötvöznie kell technológiai és ipari erősségeit a magas színvonalú digitális infrastruktúrával és az alapvető európai értékeken nyugvó szabályozási kerettel. (Fehér könyv, 2. o.)      

A cél az MI fejlesztéseket érintően a "kiválósági ökoszisztéma" és a "bizalmi ökoszisztéma" megteremtése. 

Az adat- és MI-stratégiák 2020 év elején történt publikálását követően meg is indult az uniós jogalkotás több részterületen is, ezek közül mindenképpen kiemelést érdemel az MI-re vonatkozó rendelettervezet, amely 2021. áprilisában látott napvilágot. Ahogy korábban a GDPR kapcsán is láttuk, az uniós szabályozás nagyon komoly hatást képes gyakorolni más államok szabályozására, illetve szélesebb értelemben a globális diskurzusra egy-egy területen. Hasonló utat járhat be az MI rendelettervezet is, hiszen ez tekinthető lényegében az első átfogó szabályozási kezdeményezésnek ezen a területen.

Az MI szabályozás és az MI alkalmazásával kapcsolatos uniós (és tagállami) stratégiák kapcsán nem véletlenül merül fel a kérdés, hogy az MI-t érintő szabályozás európai megközelítése, az MI alkalmazásának európai stratégiája milyen szerepet játszhat az EU külpolitikai helyzetében, milyen geopolitikai vonatkozásai vannak, illetve az uniós megközelítés milyen válaszokat adhat az MI kapcsán felmerülő legfontosabb geopolitikai kihívásokra?  Az Európai Parlament friss tanulmánya (Franke, U.: Artificial Intelligence diplomacy - Artificial Intelligence governance as a new European Union external policy tool, Study for the special committee on Artificial Intelligence in a Digital Age (AIDA), Policy Department for Economic, Scientific and Quality of Life Policies, European Parliament, Luxembourg, 2021. június) éppen ezt a témát vizsgálja. 

Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos (EDPS) közös véleményben értékelte a Bizottság által április végén közzétett, a mesterséges intelligencia (MI) szabályozására vonatkozó rendelettervezetet. A közös vélemény nyomán megállapítható, hogy az uniós adatvédelmi szabályok alkalmazását felügyelő szervek az irányt alapvetően jónak tartják, de egyes pontokon szigorúbb, következetesebb szabályok megalkotását látják szükségesnek. 

Az utolsó pillanatban, néhány nappal a június 30-i határidő előtt jelentek meg az Európai Unióból Egyesült Királyságba történő adattovábbítást lehetővé tévő megfelelőségi határozatok (az egyik a GDPR alapján történő adatkezelésekhez kapcsolódóan, a másik pedig a bűnügyi adatkezelési irányelv alapján). 

A brit adatvédelmi biztos (ICO) véleményt tett közzé a valós idejű arcfelismerő rendszerek (live facial recognition; LFR) nyilvános helyeken történő alkalmazása kapcsán. A téma Magyarországon is aktuális, hiszen a Siófokon kiépítésre kerülő arcfelismerő rendszer a témát nálunk is élővé és közelivé tette.  

A valós idejű arcfelismerés az arcfelismerő technológiák családjának egy különösen érzékeny tagja, hiszen gyakran automatikus és széles kört érintő biometrikus adatok gyűjtését valósítja meg. Ennek megfelelően az alkalmazásához kapcsolódó adatvédelmi- és szélesebb körben, az alapjogi kockázatok is magasak lehetnek.   

Az elmúlt napokban végigfutott a hír a magyar sajtóban, miszerint Siófokon, a Petőfi sétányon olyan új térfigyelő kamerákat telepítettek, amelyek - mesterséges intelligencia alapú megoldások alkalmazásával - arcfelismerésre is alkalmasak. A rendszer - a város polgármesterének Facebook-on közzétett bejegyzése, illetve a sajtóhírek megjelenését követően, a siófoki önkormányzat által  kiadott közlemény alapján - az alábbiak szerint működne: 

A beruházás keretében 39 új, mesterséges intelligenciával ellátott kamera került telepítésre a Petőfi sétány területén. Az új kamerák arcdetektálásra képesek, vagyis az adott emberre jellemző vonásokat rögzítve tudja az adatokat továbbítani a rendszerben lévő egyéb kamerák részére és így a bűncselekményt feltételezetten elkövető személyt nyomon lehet követni. A kamerák képeit a rendőrségen kialakított operatív szobában csak a rendőrség és a városőrség munkatársai láthatják és a felvételek 30 nap múlva törlésre kerülnek a hatályos jogszabályoknak megfelelően, az ezzel kapcsolatos adatvédelmi tájékoztató Siófok város honlapján elérhető (https://www.siofok.hu/hu/adatvedelem). A kamerarendszer zárt, egyéb adatbázissal nincs összekötve, a felvételeken szereplők személyazonossága nem megállapítható. (Siófok Önkormányzatának közleménye, 2021.06.10.)

A megjelent hírek kiemelten foglalkoznak azzal, hogy a rendszer beszállítója egy olyan cég (Dahua), amely az Egyesült Államokban, mint nemzetbiztonsági kockázatot jelentő társaság feketelistán szerepel. Ugyanakkor néhány utaláson kívül arról kevés szó esik, hogy egy arcfelismerést (vagy ahogy a közleményben szerepel, arcdetektálást) lehetővé tévő rendszer milyen adatvédelmi, illetve más alapjogokat érintő kérdéseket vet fel. (Az arcfelismerő rendszerek alapjogi vonatkozásairól érdemes elolvasni az Európai Unió Alapjogi Ügynökségének [FRA] anyagát: "Facial recognition technology: fundamental rights considerations in the context of law enforcement".) 

Az alábbiakban az arcfelismerésre is képes kamerarendszer alkalmazásával kapcsolatos néhány alapvető adatvédelmi szempontot emelek ki.

A Bizottság közzétette az új általános adatvédelmi kikötések (GDPR 46. cikk (1) bek. c) pont) és általános szerződési feltételek (GDPR 28. cikk (7) bek.) véglegesített változatait. A végleges dokumentumok és a kapcsolódó bizottsági határozat várhatóan rövidesen megjelennek az EU Hivatalos Lapjában, és a megjelenéstől számított 20. napon hatályba is lépnek. 

Frissítés (2021.06.08.): Tegnap megjelentek a végrehajtási határozatok és az adatvédelmi kikötések, illetve általános szerződési feltételek az EU Hivatalos Lapjában is (elérhetők magyar nyelven: általános adatvédelmi kikötések nemzetközi adattovábbításhoz; általános szerződési feltételek adatkezelők és adatfeldolgozók között).  

A spanyol adatvédelmi hatóság (AEPD) és az európai adatvédelmi biztos (EDPS) közös tájékoztatót tett közzé az anonimizálást övező tévhitekről és az ezeket cáfoló tényekről. Az anonimizálás komoly gyakorlati jelentőséggel bír, hiszen - amint azt a GDPR Preambuluma is rögzíti -  

[a]z adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve. (Preambulum (26))

Éppen ezért nem mindegy, hogy egy adott adatbázisban szereplő információk valóban anonimnak tekinthetők-e, megfelelő eljárással anonimizálták-e ezeket.

Az alábbiakban - röviden - a tájékoztatóban szereplő gyakori tévhiteket és az ezekkel szemben álló tényeket mutatom be.

The past bit more than one year has been in the shadow of the COVID-19 pandemic and a number of concepts that have previously been used only in scientific publications have become part of the public discussion. These include, among others, reproduction rate, flattening of the epidemic curve, and herd immunity. In addition to the emergence of some scientific concepts in our everyday conversations, another frequent side effect of the epidemic was the ongoing challenges to the practical applicability of data protection rules, making the data protection issues, which are often deemed as remote and theoretical, widely discussed and alive. On the one hand, these were issues that affected everyone, and on the other hand, they went into the depths of the private sphere, including the monitoring of people's movements, their contacts and their health. Depending on the different stages of the epidemic, there were various data protection "hot topics", ranging from contact tracing (including the use of applications for this purpose), analysis of movement/location data, applicability of various diagnostic tools (especially body temperature measurement and testing) to checking the immunity against COVID-19 (e.g. travel certificates).

Now, as we are celebrating the 3rd anniversary of the GDPR, we should consider, in light of the experiences of the past year, what is needed for a proper data protection immune system?

Az elmúlt bő egy év a koronavírus árnyékában telt és számos olyan fogalom vált a közbeszéd részévé, amelyet korábban inkább csak tudományos publikációkban lehetett olvasni. Ilyenek - többek között - a reprodukciós ráta, a járványgörbe ellaposítása, a nyájimmunitás. Néhány tudományos fogalom mindennapos beszélgetéseinkben való megjelenése mellett, a járványhelyzet egy másik gyakran tapasztalt kísérőjelensége volt, hogy az adatvédelmi szabályok gyakorlati alkalmazhatóságát is folyamatosan tesztelte, széles körben átélhetővé és élővé tette az egyébként gyakran távolinak, elméletinek tűnő adatvédelmi kérdéseket. Egyrészt mindenkit érintő kérdésekről volt szó, másrészt ezek a magánszféra legmélyére, az emberek mozgásának nyomonkövetéséig, illetve az egészségügyi állapotáig hatoltak. A járvány egyes szakaszaihoz igazodva természetesen megvoltak a különböző adatvédelmi "slágertémák", kezdve a kontakt kutatással (beleértve az erre szolgáló applikációk alkalmazását), a mozgási adatok elemzésével, a különböző diagnosztikai eszközök (különösen lázmérés és tesztek) alkalmazhatóságán át, egészen a védettség/oltottság igazolásáig (védettségi igazolások, utazáshoz szükséges igazolások).   

Most, hogy a GDPR alkalmazandóvá válásának 3. évfordulóját ünnepeljük, talán érdemes az elmúlt év tapasztalatait is figyelembe véve elgondolkodnunk azon, hogy mi szükséges egy megfelelő adatvédelmi immunrendszer működéséhez?