A brit adatvédelmi biztos (ICO) véleményt tett közzé a valós idejű arcfelismerő rendszerek (live facial recognition; LFR) nyilvános helyeken történő alkalmazása kapcsán. A téma Magyarországon is aktuális, hiszen a Siófokon kiépítésre kerülő arcfelismerő rendszer a témát nálunk is élővé és közelivé tette.  

A valós idejű arcfelismerés az arcfelismerő technológiák családjának egy különösen érzékeny tagja, hiszen gyakran automatikus és széles kört érintő biometrikus adatok gyűjtését valósítja meg. Ennek megfelelően az alkalmazásához kapcsolódó adatvédelmi- és szélesebb körben, az alapjogi kockázatok is magasak lehetnek.   

Az elmúlt napokban végigfutott a hír a magyar sajtóban, miszerint Siófokon, a Petőfi sétányon olyan új térfigyelő kamerákat telepítettek, amelyek - mesterséges intelligencia alapú megoldások alkalmazásával - arcfelismerésre is alkalmasak. A rendszer - a város polgármesterének Facebook-on közzétett bejegyzése, illetve a sajtóhírek megjelenését követően, a siófoki önkormányzat által  kiadott közlemény alapján - az alábbiak szerint működne: 

A beruházás keretében 39 új, mesterséges intelligenciával ellátott kamera került telepítésre a Petőfi sétány területén. Az új kamerák arcdetektálásra képesek, vagyis az adott emberre jellemző vonásokat rögzítve tudja az adatokat továbbítani a rendszerben lévő egyéb kamerák részére és így a bűncselekményt feltételezetten elkövető személyt nyomon lehet követni. A kamerák képeit a rendőrségen kialakított operatív szobában csak a rendőrség és a városőrség munkatársai láthatják és a felvételek 30 nap múlva törlésre kerülnek a hatályos jogszabályoknak megfelelően, az ezzel kapcsolatos adatvédelmi tájékoztató Siófok város honlapján elérhető (https://www.siofok.hu/hu/adatvedelem). A kamerarendszer zárt, egyéb adatbázissal nincs összekötve, a felvételeken szereplők személyazonossága nem megállapítható. (Siófok Önkormányzatának közleménye, 2021.06.10.)

A megjelent hírek kiemelten foglalkoznak azzal, hogy a rendszer beszállítója egy olyan cég (Dahua), amely az Egyesült Államokban, mint nemzetbiztonsági kockázatot jelentő társaság feketelistán szerepel. Ugyanakkor néhány utaláson kívül arról kevés szó esik, hogy egy arcfelismerést (vagy ahogy a közleményben szerepel, arcdetektálást) lehetővé tévő rendszer milyen adatvédelmi, illetve más alapjogokat érintő kérdéseket vet fel. (Az arcfelismerő rendszerek alapjogi vonatkozásairól érdemes elolvasni az Európai Unió Alapjogi Ügynökségének [FRA] anyagát: "Facial recognition technology: fundamental rights considerations in the context of law enforcement".) 

Az alábbiakban az arcfelismerésre is képes kamerarendszer alkalmazásával kapcsolatos néhány alapvető adatvédelmi szempontot emelek ki.

A Bizottság közzétette az új általános adatvédelmi kikötések (GDPR 46. cikk (1) bek. c) pont) és általános szerződési feltételek (GDPR 28. cikk (7) bek.) véglegesített változatait. A végleges dokumentumok és a kapcsolódó bizottsági határozat várhatóan rövidesen megjelennek az EU Hivatalos Lapjában, és a megjelenéstől számított 20. napon hatályba is lépnek. 

Frissítés (2021.06.08.): Tegnap megjelentek a végrehajtási határozatok és az adatvédelmi kikötések, illetve általános szerződési feltételek az EU Hivatalos Lapjában is (elérhetők magyar nyelven: általános adatvédelmi kikötések nemzetközi adattovábbításhoz; általános szerződési feltételek adatkezelők és adatfeldolgozók között).  

A spanyol adatvédelmi hatóság (AEPD) és az európai adatvédelmi biztos (EDPS) közös tájékoztatót tett közzé az anonimizálást övező tévhitekről és az ezeket cáfoló tényekről. Az anonimizálás komoly gyakorlati jelentőséggel bír, hiszen - amint azt a GDPR Preambuluma is rögzíti -  

[a]z adatvédelem elveit ennek megfelelően az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve. (Preambulum (26))

Éppen ezért nem mindegy, hogy egy adott adatbázisban szereplő információk valóban anonimnak tekinthetők-e, megfelelő eljárással anonimizálták-e ezeket.

Az alábbiakban - röviden - a tájékoztatóban szereplő gyakori tévhiteket és az ezekkel szemben álló tényeket mutatom be.

The past bit more than one year has been in the shadow of the COVID-19 pandemic and a number of concepts that have previously been used only in scientific publications have become part of the public discussion. These include, among others, reproduction rate, flattening of the epidemic curve, and herd immunity. In addition to the emergence of some scientific concepts in our everyday conversations, another frequent side effect of the epidemic was the ongoing challenges to the practical applicability of data protection rules, making the data protection issues, which are often deemed as remote and theoretical, widely discussed and alive. On the one hand, these were issues that affected everyone, and on the other hand, they went into the depths of the private sphere, including the monitoring of people's movements, their contacts and their health. Depending on the different stages of the epidemic, there were various data protection "hot topics", ranging from contact tracing (including the use of applications for this purpose), analysis of movement/location data, applicability of various diagnostic tools (especially body temperature measurement and testing) to checking the immunity against COVID-19 (e.g. travel certificates).

Now, as we are celebrating the 3rd anniversary of the GDPR, we should consider, in light of the experiences of the past year, what is needed for a proper data protection immune system?

Az elmúlt bő egy év a koronavírus árnyékában telt és számos olyan fogalom vált a közbeszéd részévé, amelyet korábban inkább csak tudományos publikációkban lehetett olvasni. Ilyenek - többek között - a reprodukciós ráta, a járványgörbe ellaposítása, a nyájimmunitás. Néhány tudományos fogalom mindennapos beszélgetéseinkben való megjelenése mellett, a járványhelyzet egy másik gyakran tapasztalt kísérőjelensége volt, hogy az adatvédelmi szabályok gyakorlati alkalmazhatóságát is folyamatosan tesztelte, széles körben átélhetővé és élővé tette az egyébként gyakran távolinak, elméletinek tűnő adatvédelmi kérdéseket. Egyrészt mindenkit érintő kérdésekről volt szó, másrészt ezek a magánszféra legmélyére, az emberek mozgásának nyomonkövetéséig, illetve az egészségügyi állapotáig hatoltak. A járvány egyes szakaszaihoz igazodva természetesen megvoltak a különböző adatvédelmi "slágertémák", kezdve a kontakt kutatással (beleértve az erre szolgáló applikációk alkalmazását), a mozgási adatok elemzésével, a különböző diagnosztikai eszközök (különösen lázmérés és tesztek) alkalmazhatóságán át, egészen a védettség/oltottság igazolásáig (védettségi igazolások, utazáshoz szükséges igazolások).   

Most, hogy a GDPR alkalmazandóvá válásának 3. évfordulóját ünnepeljük, talán érdemes az elmúlt év tapasztalatait is figyelembe véve elgondolkodnunk azon, hogy mi szükséges egy megfelelő adatvédelmi immunrendszer működéséhez?     

A Belga Adatvédelmi Hatóság május 20-án - az Európai Adatvédelmi Testület előzetes véleményére figyelemmel - jóváhagyta az első pán-európai szektorspecifikus magatartási kódexet (EU Cloud) a felhőszolgáltatást nyújt szolgáltatókat érintően. (A döntés elérhető angol nyelven itt, a kódex végrehajtásának monitorozására vonatkozó akkreditációs döntés pedig itt.) 

A Belga Adatvédelmi Hatóság által jóváhagyott magatartási kódexet hamarosan követheti a CNIL (Francia Adatvédelmi Hatóság) által elfogadott - szintén a felhőszolgáltatásokra vonatkozó - kódex (CISPE), mellyel kapcsolatban szintén véleményt bocsátott ki a Testület.  

Mindkét kódex olyan eseteket fed le, amelyek tekintetében a felhőszolgáltatók adatfeldolgozóként járnak el a GDPR 28. cikkével összhangban. Fontos kiemelni ugyanakkor, hogy a két magatartási kódex a nemzetközi adattovábbítások megalapozásaként nem alkalmazható, mivel nem a GDPR 46. cikk (2) bekezdés e) pontja szerinti kódexek (lásd a Testület véleményeinek preambulumát, mindkét esetben a (7) pont tartalmazza, hogy a véleményezett kódexeket nem szánták nemzetközi adattovábbítások alapjául).   

Az alábbiakban a magatartási kódexekkel kapcsolatos legfontosabb tudnivalókat foglalom össze, illetve kitérek arra, hogy miért fontos lépés a mostani jóváhagyás a GDPR önszabályozási mechanizmusainak működése kapcsán.

Április végén tette közzé az Európai Bizottság a mesterséges intelligencia szabályozására vonatkozó rendelettervezetét, amely a 2020. februárjában közzétett uniós MI stratégia megvalósítása szempontjából fontos lépésnek tekinthető (a Fehér könyv már elérhető magyar nyelven is).

A stratégia kiemelten kezeli az MI-t érintően a bizalom és átláthatóság megteremtését, illetve egy olyan környezet kialakítását, amely a kiválóságon alapul. Ezeken belül számos területet határoz meg, amely fókuszt igényel (pl. együttműködés a tagállamokkal és a privát szektorral, az MI-hoz kapcsolódó képességek fejlesztése, MI közszférában történő alkalmazásának támogatása, stb.). 

A bizalom megteremtése kapcsán a Fehér könyv kitér azon hét kulcsfontosságú tényezőre, amelyet a Bizottság által létrehozott magas szintű szakértői csoport fogalmazott meg az MI-re vonatkozó etikai ajánlásában, ezek az MI-re vonatkozó európai szabályozási törekvések kapcsán is kiemelt szerepet kapnak. A szakértői csoport által kiemelt hét kulcsfontosságú tényező az alábbi: 

• emberi cselekvőképesség és emberi felügyelet;
• műszaki stabilitás és biztonság;
• adatvédelem és adatkezelés;
• átláthatóság;
• sokféleség, megkülönböztetésmentesség és méltányosság;
• társadalmi és környezeti jólét; valamint
• elszámoltathatóság.

Az alábbiakban a rendelettervezet néhány alapvető elemét és a szabályozási folyamat további fő lépéseit foglalom össze. 

A napokban múlt 30 éve, hogy közzétételre került az Alkotmánybíróság híres, ún. "személyi szám határozata" (15/1991 (IV.13.) AB határozat). Bár a határozat immár több, mint 30 éves és időközben számos olyan jogszabályi, illetve jogalkalmazásbeli változás történt, amely a határozat egyes megállapításaihoz képest elmozdulást jelent (lásd a témához például Dr. Jóri András: Adatvédelem: az alapjogvédelmi teszttől az érdekmérlegelésig c. cikkét), a határozat teljes egészében mégsem tekinthető idejét múltnak és a mai napig érezteti hatását az adatvédelmi gondolkodásban. 

Az oltási programok előrehaladtával és a nyár közeledtével egyre többeket foglalkoztató kérdés, hogy az Európai Unión belüli szabad mozgás joga miként lesz gyakorolható, milyen módon biztosítható az, hogy biztonságos körülmények között újra szélesebb körben is lehetőség legyen a tagállamok közötti szabad mozgásra. Erre tekintettel az Európai Bizottság március 17-én közzétett egy javaslatcsomagot a digitális zöldigazolványra (Digital Green Certificate) vonatkozóan, amelynek a célja az EU-n belüli utazások megkönnyítése. 

A javaslatcsomag szerint az igazolvány főbb jellemzői az alábbiak lennének: 

• digitális és/vagy papírformátumú,
• QR-kóddal van ellátva,
• ingyenes,
• a nemzeti nyelven és angolul kerül kiállításra,
• biztonságos,
• valamennyi uniós tagállamban érvényes.

A digitális zöldigazolvány nem kizárólag a COVID-19 ellen beoltottak részére lenne kiállítható, hanem azok is rendelkezhetnek vele, akik felgyógyultak a fertőzésből vagy akik meghatározott időn belül negatív teszteredményt tudnak felmutatni. 

A javaslatcsomag két részből áll, egyrészt az uniós állampolgárokra vonatkozó javaslatból, másrészt valamely uniós tagállamban letelepedett harmadik ország állampolgáraira vonatkozó javaslatról (az eltérés alapvető oka, hogy az EU-nak más alapon van szabályozási hatásköre a két csoport vonatkozásában). 

A Bizottság javaslatcsomagjára vonatkozóan az európai adatvédelmi biztos (EDPS) és az Európai Adatvédelmi Testület (Testület) közös véleményt fogalmazott meg, amelyben a zöldigazolvány alkalmazásához kapcsolódó adatvédelmi kérdéseket vizsgálták meg és megfogalmaztak javaslatokat is a jogalkotók részére. Az alábbiakban a közös vélemény főbb megállapításait foglalom össze.