A francia adatvédelmi hatóság (CNIL) mobilalkalmazások fejlesztésére vonatkozó útmutatót tett közzé azzal a céllal, hogy elősegítse az adatvédelmi szabályoknak megfelelő alkalmazásfejlesztést (a teljes útmutató egyelőre francia nyelven érhető el).

A téma fontosságát nehéz túlbecsülni, hiszen a mobilalkalmazások az egyik legfontosabb eszközei a digitális tartalmak és szolgáltatások elérésének. Ráadásul a mobilalkalmazások fejlesztését és felhasználók számára elérhetővé tételét biztosító ökoszisztéma egyre összetettebb és így könnyen átláthatatlanná válhat a felhasználók számára, hogy az adataikat milyen folyamatok szerint, milyen célból, kik és hogyan kezelik. Fontos tisztázni tehát, hogy az egyes szereplőknek milyen minimális követelményeknek kell megfelelniük, illetve ezen túlmenően is, milyen jó gyakorlatok állnak rendelkezésre, amelyek a megfelelést teljesebbé tehetik. 

Fontos kielemni, hogy az útmutató a GDPR-nak és az elektronikus hírközlési adatvédelmi irányelvnek (adatvédelmi követelményeknek) való megfelelésre fókuszál és nem érinti az egyéb jogszabályi követelményeknek (pl. fogyasztóvédelem, digitális piacokról szóló rendelet, stb.) való megfelelés kérdéseit. (Ugyanakkor a CNIL az útmutató kapcsán egyeztetett a francia versenyhatósággal, az ADLC-vel is, mivel az elmúlt években egyre inkább világossá vált az adatvédelem és a versenyjog közötti kölcsönhatás, jelentős mértékben éppen az online térben zajló folyamatokra és megjelenő üzleti modellekre tekintettel.)

Az adatkezelő személyének változásával járó jogügyletek ("eszközértékesítések") során gyakran merül fel a kérdés, hogy a személyes adatokat tartalmazó adatbázisokhoz miként biztosítható hozzáférés, hogyan továbbíthatók az adatok úgy, hogy közben az adatvédelmi szabályoknak megfelelően járjon el az adatkezelő. A témával kapcsolatban több NAIH állásfoglalást is olvashattunk már korábban, illetve a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz; DSK) néhány éve - röviden - szintén foglalkozott a kérdéssel. A napokban a DSK egy újabb állásfoglalással (2024. szeptember 11.) jelentkezett a téma kapcsán, amely már részletesebben, adatkategóriákra és az adatbázisban szereplő adatok életciklusára lebontva mutatja be, hogy milyen adatvédelmi szempontokat kell figyelembe venni az eszközértékesítésekhez (asset deal) kapcsolódó adattovábbítások során.     

Az alábbiakban nézzük meg röviden, hogy mely szempontokra hívja fel a figyelmet a frissen publikált állásfoglalás az eszközértékesítések során felmerülő adattovábbítási kérdésekkel kapcsolatban.

A személyes adatok kezelésével járó tudományos kutatások kapcsán elsődleges kérdés, hogy a GDPR alkalmazása során mit tekinthetünk tudományos kutatásnak, mely esetekben alkalmazhatók az erre vonatkozó speciális szabályok. A német adatvédelmi biztosok konferenciája (Datenschutzkonferenz, DSK) ebben a kérdésben ad segítséget az adatkezelőknek egy, a napokban megjelent állásfoglalásában.

Bár több helyen hivatkozik a "tudományos és történelmi kutatásra", mint adatvédelmi szempontból speciális kezelést igénylő tevékenységre, a GDPR a fogalmat nem határozza meg. 

In connection with scientific research involving the processing of personal data, the primary question is what can be considered scientific research during the application of the GDPR, and in which cases the specific rules of GDPR can be applied. Although the GDPR refers to "scientific and historical research" in several cases as an activity requiring special data protection rules for processing (see Articles 5 (1) b), e), 9 (2) j), 14 (5) b), 17 (3) d), 21 (6) and 89), the GDPR does not define the notion of "scientific research". The Conference of German Data Protection Commissioners (Datenschutzkonferenz, DSK) is assisting data controllers in this regard in a recent position paper.

Az árnyékinformatika ("shadow IT") fogalma egyáltalán nem új, évtizedes jelenségről van szó, amely a felhőszolgáltatások megjelenésével, illetve az egyre fejlettebb számítástechnikai eszközöknek a felhasználók széles körében történő elterjedésével  kapott igazán nagy lendületet (különösen az okostelefonok, illetve hordozható számítógépek, laptopok, tabletek megjelenésével - vö. az ún. "Bring Your Own Device", BYOD jelenséggel, amely szintén komoly belső szabályozási kihívásokkal jár(t) a vállalkozások számára). Újabban, leginkább a ChatGPT 2022. novemberi elérhetővé válását követően az árnyékinformatikai jelenségek egy újabb alcsoportjával a "shadow AI", azaz a nem jóváhagyott, nem ellenőrzött mesterséges intelligencia (MI) alkalmazások használatának veszélyével ismerkedhetünk. 

The concept of shadow IT is by no means new, it is a decades-old phenomenon that gained momentum with the advent of cloud services and the spread of increasingly advanced computing devices among a wide range of users (especially with the advent of smartphones, laptops, tablets - cf. the so-called "Bring Your Own Device", BYOD phenomenon, which also entailed serious internal regulatory challenges for businesses).

More recently, and mainly after ChatGPT became available in November 2022, we have become familiar with another subset of shadow IT phenomena: the threat of using "shadow AI", i.e. the use of unapproved, unverified artificial intelligence (AI) applications.

The rise of large language models (LLMs) poses challenges to the applicability of data protection rules. There is a lot of debate about the question of whether or not LLMs themselves store personal data. Recently, the Hamburg Commissioner for Data Protection and Freedom of Information (Hamburg DPA) published a discussion paper on large language models and personal data and this paper contains three basic theses as follows:  

1. The mere storage of an LLM does not constitute processing within the meaning of article 4 (2) GDPR. This is because no personal data is stored in LLMs. Insofar as personal data is processed in an LLM-supported AI system, the processing must comply with the requirements of the GDPR. This applies in particular to the output of such an AI system.
2. Given that no personal data is stored in LLMs, data subject rights as defined in the GDPR cannot relate to the model itself. However, claims for access, erasure or rectification can certainly relate to the input and output of an AI system of the responsible provider or deployer.
3. The training of LLMs using personal data must comply with data protection regulations. Throughout this process, data subject rights must also be upheld. However, potential violations during the LLMs training phase do not affect the lawfulness of using such a model within an AI system.

The above three theses make it clear that according to the Hamburg DPA, no personal data is stored in LLMs. After the release of this discussion paper, some contra and pro arguments were published discussing this statement. Below, I´ll show the arguments regarding the question whether LLMs store personal data or not and I´ll also show why this question can be relevant.   

In connection with the AI Act, which will enter into force shortly, on 1 August 2024 (and will become applicable in several steps thereafter), we most often talk about prohibited AI practices, high-risk AI systems and related obligations of service providers and deployers, or even specific rules for general-purpose AI models. However, a concept appears in the AI Act, which may be hidden in the shadow of other rules, but it is also a very important element for the proper functioning of the entire artificial intelligence ecosystem and for the spread of socially useful AI. This is known as AI literacy.

A rövidesen, egészen pontosan 2024. augusztus 1-én hatályba lépő (és utána több lépcsőben alkalmazandóvá váló) MI Rendelet kapcsán leggyakrabban a tiltott MI-gyakorlatokról, a nagy kockázatú MI-rendszerekről és az ezekhez kapcsolódó szolgáltatói, illetve alkalmazói kötelezettségekről, esetleg az általános célú MI-modellekre vonatkozó külön szabályokról beszélünk. Megjelenik viszont egy fogalom az MI Rendeletben, amely talán megbújik az egyéb szabályok árnyékában, de az egész mesterséges intelligencia ökoszisztéma megfelelő működése és a társadalmilag hasznos MI elterjedése szempontjából is nagyon fontos elem. Ez pedig az ún. MI-jártasság (AI literacy).  

Az elmúlt bő másfél évben, mióta a ChatGPT széles körben elérhetővé vált, a nagy nyelvi modelleken (Large Language Model, LLM) alapuló megoldások hihetetlen tempóban váltak mind a munkahelyi, mind a magáncélú használatban alapvető eszközökké. Olyan esetekben, amikor akár ezen modellek fejlesztéséhez (tanításához), vagy a használatukhoz személyes adatok kezelése is szükséges, illetve személyes adatok kezelésére kerül sor, akkor természetesen az adatvédelmi szabályoknak való megfelelés is elengedhetetlen. Nem véletlen, hogy több adatvédelmi hatóság is foglalkozott az LLM-ek és az adatvédelem kapcsolatával. Legutóbb az ír és a hamburgi adatvédelmi hatóság publikált kifejezetten a nagy nyelvi modellekre fókuszáló iránymutatásokat. (Az ír adatvédelmi hatóság iránymutatása elérhető itt, a hamburgi hatósági dokumentum pedig itt.)