Az Európai Adatvédelmi Testület által közzétett jelentés képet ad az Európai Gazdasági Térségben működő adatvédelmi hatóságok rendelkezésére álló emberi- és pénzügyi erőforrásokról, illetve a hatóságok jogalkalmazói tevékenységének főbb statisztikai adatairól.
Az alábbiakban a Jelentés néhány érdekesebb adatát emelem ki.
Az európai adatvédelmi biztos (EDPS) iránymutatást adott ki, amelyben a munkahelyre való visszatérés kapcsán a koronavírussal szembeni védettségre vagy éppen a fertőzés fennállására vonatkozó adatkezelések feltételeit vizsgálja. Bár az európai adatvédelmi biztos - a 2018/1725 rendelet alapján - alapvetően az uniós intézmények tekintetében jár el, az iránymutatásban szereplő egyes szempontok ennél szélesebb körben is hasznos kiindulópontot jelenthetnek az adatkezelőknek a munkahelyre történő visszatéréssel összefüggésben felmerülő adatkezelések átgondolásához.
Az európai adatvédelmi biztos iránymutatását olvasva figyelni kell arra, hogy azon adatkezelések esetében, amelyek a 2018/1725 rendelet (azaz a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelésére vonatkozó rendelet) hatálya a személyes adatok részben vagy egészben automatizált módon történő kezelésére terjed ki, valamint azoknak a személyes adatoknak a nem automatizált módon való kezelésére, amelyek valamely nyilvántartó rendszer részét képezik, vagy amelyeket egy nyilvántartó rendszer részévé kívánnak tenni (2. cikk (5) bekezdés). Ehhez hasonlóan rendelkezik a GDPR is (lásd a 2. cikk (1) bekezdést), ugyanakkor Magyarországon az Infotv. 2. § (4) bekezdése lányegében kiterjeszti az adatvédelmi szabályok alkalmazását azon adatkezelésekre is, amelyekre a GDPR tárgyi hatálya nem terjed ki (pl. a nem automatizált módon, manuálisan végzett adatkezelésekre).
Időről-időre napirendre kerül, hogy az Egyesült Államokban is szükséges lenne egy szövetségi szintű általános adatvédelmi szabályozás elfogadása. Az utóbbi időben (persze jól felfogott üzleti érdekek alapján) nagy tech cégek vezetői is többször sürgették a terület szövetségi szintű szabályozását (lásd például Tim Cook vagy Mark Zuckerberg vonatkozó nyilatkozatait). A téma napirenden van amiatt is, hogy az Európai Bíróság Privacy Shieldet érvénytelenítő ítéletét (Schrems II.) követően jelentősen megnövekedett az EU-ból az Egyesült Államokba irányuló adattovábbítások tranzakciós költsége és a kapcsolódó adatvédelmi kockázatok is számottevőek lehetnek, ez pedig arra ösztönözheti az adatkezelőket (és adatfeldolgozókat), hogy alternatív megoldásokat keressenek és ahol csak lehetséges, kerüljék az USA-ba történő adattovábbítást. Hosszú távon tehát a biztonságos EU és USA közötti adatáramlásnak - érvelnek sokan - előfeltétele a megfelelő szövetségi szintű adatvédelmi szabályozás (is).
Július végén robbant a hír, hogy a luxemburgi adatvédelmi hatóság (CNPD) rekord összegű bírságot szabhatott ki az Amazonra az adatvédelmi szabályok megsértése miatt. Úgy látszik, hogy az olimpiai időszakban nem csak a sportpályákon, hanem a GDPR végrehajtása kapcsán is rekordöntésre kerülhet sor, méghozzá nem is kevéssel, hiszen eddig a Google-ra Franciaországban kiszabott 50 millió eurós GDPR szerinti bírság jelentette a csúcsot. A bírság kiszabására az Amazon által a U.S. Securities and Excahange Commission (SEC; az Egyesült Államok Értékpapír- és Tőzsdefelügyelete) részére benyújtott dokumentumból derült fény, a határozatot a CNPD még nem hozta nyilvánosságra korábban. A jogi eljárásokra vonatkozó részben az alábbi információkat tette közzé a vállalat:
2021. július 16-án a Luxemburgi Nemzeti Adatvédelmi Bizottság ("CNPD") határozatot hozott az Amazon Europe Core S.à r.l.-al szemben, amelyben arra a megállapításra jutott, hogy az Amazon adatkezelése nem felelt meg az EU Általános Adatvédelmi Rendeletének. A határozat 746 millió euró összegű bírságot szab ki és előírja a gyakorlat megváltoztatását. Véleményünk szerint a CNPD határozata megalapozatlan és ebben az ügyben határozottan meg kívánjuk védeni az álláspontunkat. (13. o.)
Az Európai Tanács júliusban rendeletet fogadott el az európai nagy teljesítményű számítástechnikával foglalkozó közös vállalkozás (EuroHPC közös vállalkozás) létrehozásáról (a rendelet szövege magyarul elérhető itt, az EU Hivatalos Lapjában megjelen angol nyelvű verzió pedig elérhető itt), amely a vonatkozó korábbi, 2018-as rendeletet váltja fel. A sajtóközlemény kiemeli, hogy "[a] nagy teljesítményű számítástechnika alatt olyan rendkívül nagy számítási teljesítményű számítástechnikai rendszereket (azaz „szuperszámítógépeket”) értünk, amelyek képesek rendkívül összetett és erőforrás-igényes problémákat megoldani. Segítségével az olyan kulcsfontosságú technológiák, mint a mesterséges intelligencia, az adatelemzés és a kiberbiztonság kihasználhatják a nagy adathalmazokra épülő gazdaságban rejlő óriási potenciált."
A new act on national data assets ("National Data Assets Act") has been approved and published in Hungary and the new law will be in force from 27th of July, 2021.
What do national data assets mean and why is the new act important in the data economy?
National data assets mean data held by public service bodies (i.e. organisations engaged in tasks for the public interest; e.g. state agencies, authorities). It also includes personal data.
The main purpose of the legislation is to make better use of the existing (and continuously growing) amounts of data in the public sector by creating secondary data use and data analysis opportunities. The further analysis of such data assets can support the decision-making process in the public sector and in addition to this, it can also be a service for the private sector. Various use cases can be found where data held by the public sector can be a useful resource in the private sector as well, especially that the new act opens the possibility for the use of databases containing personal data in an anonymised form (i.e. the protection of personal data shall be first priority) for further analysis.
A közelmúltban megjelent a nemzeti adatvagyonról szóló 2021. évi XCI. törvény, amely július 27-én hatályba is lép. Az alábbiakban összefoglalom, hogy mire terjed ki az újonnan elfogadott törvény, mi is az a nemzeti adatvagyon és miként viszonyul ez a hazai jogszabály az uniós szinten sorban érkező adatokat érintő jogalkotási kezdeményezésekhez.
A mesterséges intelligencia (MI) fejlesztések kapcsán gyakran szokás az USA és Kína, mint e területen vezető pozíciót betöltő nagyhatalmak versengéséről beszélni. Az USA és Kína mellett az Európai Uniót pedig gyakran emlegetik másod- (vagy inkább harmad-)hegedűsként. Felismerve azt, hogy a digitális technológiák uralta világunkban - ha nem akar vészesen lemaradni - az EU-nak is fel kell vennie a kesztyűt és az adatalapú gazdaság, illetve az új technológiák és köztük különösen az MI kapcsán komoly erőfeszítéseket kell tennie, megmutatva, hogy létezhet egy európai út is, amely az adatok felhasználásának és a technológiai fejlődés mindennapokba történő beépítésének az egyéni jogok és szabadságok tiszteletén és védelmén alapuló megoldását kínálja. Ennek szellemében jelent meg 2020. februárjában az EU adatstratégiája és az MI-re vonatkozó fehér könyve is. Ahogy az MI-re vonatkozó fehér könyv rögzíti:
Ahhoz, hogy Európa – az európai adatstratégiában foglaltaknak megfelelően – globális vezetővé váljon az adatgazdaság innovációja és alkalmazásai terén, ötvöznie kell technológiai és ipari erősségeit a magas színvonalú digitális infrastruktúrával és az alapvető európai értékeken nyugvó szabályozási kerettel. (Fehér könyv, 2. o.)
A cél az MI fejlesztéseket érintően a "kiválósági ökoszisztéma" és a "bizalmi ökoszisztéma" megteremtése.
Az adat- és MI-stratégiák 2020 év elején történt publikálását követően meg is indult az uniós jogalkotás több részterületen is, ezek közül mindenképpen kiemelést érdemel az MI-re vonatkozó rendelettervezet, amely 2021. áprilisában látott napvilágot. Ahogy korábban a GDPR kapcsán is láttuk, az uniós szabályozás nagyon komoly hatást képes gyakorolni más államok szabályozására, illetve szélesebb értelemben a globális diskurzusra egy-egy területen. Hasonló utat járhat be az MI rendelettervezet is, hiszen ez tekinthető lényegében az első átfogó szabályozási kezdeményezésnek ezen a területen.
Az MI szabályozás és az MI alkalmazásával kapcsolatos uniós (és tagállami) stratégiák kapcsán nem véletlenül merül fel a kérdés, hogy az MI-t érintő szabályozás európai megközelítése, az MI alkalmazásának európai stratégiája milyen szerepet játszhat az EU külpolitikai helyzetében, milyen geopolitikai vonatkozásai vannak, illetve az uniós megközelítés milyen válaszokat adhat az MI kapcsán felmerülő legfontosabb geopolitikai kihívásokra? Az Európai Parlament friss tanulmánya (Franke, U.: Artificial Intelligence diplomacy - Artificial Intelligence governance as a new European Union external policy tool, Study for the special committee on Artificial Intelligence in a Digital Age (AIDA), Policy Department for Economic, Scientific and Quality of Life Policies, European Parliament, Luxembourg, 2021. június) éppen ezt a témát vizsgálja.
Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos (EDPS) közös véleményben értékelte a Bizottság által április végén közzétett, a mesterséges intelligencia (MI) szabályozására vonatkozó rendelettervezetet. A közös vélemény nyomán megállapítható, hogy az uniós adatvédelmi szabályok alkalmazását felügyelő szervek az irányt alapvetően jónak tartják, de egyes pontokon szigorúbb, következetesebb szabályok megalkotását látják szükségesnek.
Az utolsó pillanatban, néhány nappal a június 30-i határidő előtt jelentek meg az Európai Unióból Egyesült Királyságba történő adattovábbítást lehetővé tévő megfelelőségi határozatok (az egyik a GDPR alapján történő adatkezelésekhez kapcsolódóan, a másik pedig a bűnügyi adatkezelési irányelv alapján).