GDPR

Adatvédelem mindenkinek / Data protection for everyone

Eszközértékesítéshez kapcsolódó adattovábbítás

2024. szeptember 19. 12:30 - poklaszlo

Az adatkezelő személyének változásával járó jogügyletek ("eszközértékesítések") során gyakran merül fel a kérdés, hogy a személyes adatokat tartalmazó adatbázisokhoz miként biztosítható hozzáférés, hogyan továbbíthatók az adatok úgy, hogy közben az adatvédelmi szabályoknak megfelelően járjon el az adatkezelő. A témával kapcsolatban több NAIH állásfoglalást is olvashattunk már korábban, illetve a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz; DSK) néhány éve - röviden - szintén foglalkozott a kérdéssel. A napokban a DSK egy újabb állásfoglalással (2024. szeptember 11.) jelentkezett a téma kapcsán, amely már részletesebben, adatkategóriákra és az adatbázisban szereplő adatok életciklusára lebontva mutatja be, hogy milyen adatvédelmi szempontokat kell figyelembe venni az eszközértékesítésekhez (asset deal) kapcsolódó adattovábbítások során.     

Az alábbiakban nézzük meg röviden, hogy mely szempontokra hívja fel a figyelmet a frissen publikált állásfoglalás az eszközértékesítések során felmerülő adattovábbítási kérdésekkel kapcsolatban.

Tovább
Szólj hozzá!
Címkék: adatbázis hozzájárulás iránymutatás portfolioblogger Németország HU Rendelet GDPR jogalap jogos érdek érdekmérlegelési teszt tiltakozáshoz való jog szerződés teljesítése DSK munkahelyi adatkezelés

Tudományos kutatás fogalma a GDPR alkalmazása kapcsán

2024. szeptember 17. 12:30 - poklaszlo

A személyes adatok kezelésével járó tudományos kutatások kapcsán elsődleges kérdés, hogy a GDPR alkalmazása során mit tekinthetünk tudományos kutatásnak, mely esetekben alkalmazhatók az erre vonatkozó speciális szabályok. A német adatvédelmi biztosok konferenciája (Datenschutzkonferenz, DSK) ebben a kérdésben ad segítséget az adatkezelőknek egy, a napokban megjelent állásfoglalásában.

Bár több helyen hivatkozik a "tudományos és történelmi kutatásra", mint adatvédelmi szempontból speciális kezelést igénylő tevékenységre, a GDPR a fogalmat nem határozza meg. 

Tovább
Szólj hozzá!
Címkék: iránymutatás alapjogok tudományos kutatás portfolioblogger Európai Unió Németország HU Rendelet GDPR DSK

What can be considered 'scientific research' in the application of GDPR?

2024. szeptember 17. 11:00 - poklaszlo

In connection with scientific research involving the processing of personal data, the primary question is what can be considered scientific research during the application of the GDPR, and in which cases the specific rules of GDPR can be applied. Although the GDPR refers to "scientific and historical research" in several cases as an activity requiring special data protection rules for processing (see Articles 5 (1) b), e), 9 (2) j), 14 (5) b), 17 (3) d), 21 (6) and 89), the GDPR does not define the notion of "scientific research". The Conference of German Data Protection Commissioners (Datenschutzkonferenz, DSK) is assisting data controllers in this regard in a recent position paper.

Tovább
Szólj hozzá!
Címkék: guidelines EU Germany EN scientific research GDPR DSK

Nincs új a nap alatt: mesterséges intelligencia alkalmazások használata "árnyékban"

2024. szeptember 13. 11:30 - poklaszlo

Az árnyékinformatika ("shadow IT") fogalma egyáltalán nem új, évtizedes jelenségről van szó, amely a felhőszolgáltatások megjelenésével, illetve az egyre fejlettebb számítástechnikai eszközöknek a felhasználók széles körében történő elterjedésével  kapott igazán nagy lendületet (különösen az okostelefonok, illetve hordozható számítógépek, laptopok, tabletek megjelenésével - vö. az ún. "Bring Your Own Device", BYOD jelenséggel, amely szintén komoly belső szabályozási kihívásokkal jár(t) a vállalkozások számára). Újabban, leginkább a ChatGPT 2022. novemberi elérhetővé válását követően az árnyékinformatikai jelenségek egy újabb alcsoportjával a "shadow AI", azaz a nem jóváhagyott, nem ellenőrzött mesterséges intelligencia (MI) alkalmazások használatának veszélyével ismerkedhetünk. 

Tovább
Szólj hozzá!
Címkék: mesterséges intelligencia információbiztonság portfolioblogger KKV MI HU adatvédelmi incidens árnyék IT

There is nothing new under the sun: shadow AI

2024. szeptember 13. 09:00 - poklaszlo

The concept of shadow IT is by no means new, it is a decades-old phenomenon that gained momentum with the advent of cloud services and the spread of increasingly advanced computing devices among a wide range of users (especially with the advent of smartphones, laptops, tablets - cf. the so-called "Bring Your Own Device", BYOD phenomenon, which also entailed serious internal regulatory challenges for businesses).

More recently, and mainly after ChatGPT became available in November 2022, we have become familiar with another subset of shadow IT phenomena: the threat of using "shadow AI", i.e. the use of unapproved, unverified artificial intelligence (AI) applications.

Tovább
Szólj hozzá!
Címkék: artificial intelligence AI EN data breach ChatGPT LLM shadow AI

Do large language models store personal data?

2024. július 30. 18:30 - poklaszlo

The rise of large language models (LLMs) poses challenges to the applicability of data protection rules. There is a lot of debate about the question of whether or not LLMs themselves store personal data. Recently, the Hamburg Commissioner for Data Protection and Freedom of Information (Hamburg DPA) published a discussion paper on large language models and personal data and this paper contains three basic theses as follows:  

1. The mere storage of an LLM does not constitute processing within the meaning of article 4 (2) GDPR. This is because no personal data is stored in LLMs. Insofar as personal data is processed in an LLM-supported AI system, the processing must comply with the requirements of the GDPR. This applies in particular to the output of such an AI system.
2. Given that no personal data is stored in LLMs, data subject rights as defined in the GDPR cannot relate to the model itself. However, claims for access, erasure or rectification can certainly relate to the input and output of an AI system of the responsible provider or deployer.
3. The training of LLMs using personal data must comply with data protection regulations. Throughout this process, data subject rights must also be upheld. However, potential violations during the LLMs training phase do not affect the lawfulness of using such a model within an AI system.

The above three theses make it clear that according to the Hamburg DPA, no personal data is stored in LLMs. After the release of this discussion paper, some contra and pro arguments were published discussing this statement. Below, I´ll show the arguments regarding the question whether LLMs store personal data or not and I´ll also show why this question can be relevant.   

Tovább
Szólj hozzá!
Címkék: artificial intelligence AI EN personal data LLM Hamburg DPA large language models

Deep Dive into the AI Act - Part 6: AI literacy

2024. július 25. 12:00 - poklaszlo

In connection with the AI Act, which will enter into force shortly, on 1 August 2024 (and will become applicable in several steps thereafter), we most often talk about prohibited AI practices, high-risk AI systems and related obligations of service providers and deployers, or even specific rules for general-purpose AI models. However, a concept appears in the AI Act, which may be hidden in the shadow of other rules, but it is also a very important element for the proper functioning of the entire artificial intelligence ecosystem and for the spread of socially useful AI. This is known as AI literacy.

Tovább
Szólj hozzá!
Címkék: artificial intelligence AI EU EN AI Act AI Office AI literacy European AI Board

Felkészülés az MI Rendelet alkalmazására - 7. rész: MI-jártasság

2024. július 25. 11:30 - poklaszlo

A rövidesen, egészen pontosan 2024. augusztus 1-én hatályba lépő (és utána több lépcsőben alkalmazandóvá váló) MI Rendelet kapcsán leggyakrabban a tiltott MI-gyakorlatokról, a nagy kockázatú MI-rendszerekről és az ezekhez kapcsolódó szolgáltatói, illetve alkalmazói kötelezettségekről, esetleg az általános célú MI-modellekre vonatkozó külön szabályokról beszélünk. Megjelenik viszont egy fogalom az MI Rendeletben, amely talán megbújik az egyéb szabályok árnyékában, de az egész mesterséges intelligencia ökoszisztéma megfelelő működése és a társadalmilag hasznos MI elterjedése szempontjából is nagyon fontos elem. Ez pedig az ún. MI-jártasság (AI literacy).  

Tovább
1 komment
Címkék: mesterséges intelligencia felkészülés portfolioblogger Európai Unió MI HU MI Rendelet MI-jártasság

Nagy nyelvi modellek és adatvédelem

2024. július 22. 11:30 - poklaszlo

Az elmúlt bő másfél évben, mióta a ChatGPT széles körben elérhetővé vált, a nagy nyelvi modelleken (Large Language Model, LLM) alapuló megoldások hihetetlen tempóban váltak mind a munkahelyi, mind a magáncélú használatban alapvető eszközökké. Olyan esetekben, amikor akár ezen modellek fejlesztéséhez (tanításához), vagy a használatukhoz személyes adatok kezelése is szükséges, illetve személyes adatok kezelésére kerül sor, akkor természetesen az adatvédelmi szabályoknak való megfelelés is elengedhetetlen. Nem véletlen, hogy több adatvédelmi hatóság is foglalkozott az LLM-ek és az adatvédelem kapcsolatával. Legutóbb az ír és a hamburgi adatvédelmi hatóság publikált kifejezetten a nagy nyelvi modellekre fókuszáló iránymutatásokat. (Az ír adatvédelmi hatóság iránymutatása elérhető itt, a hamburgi hatósági dokumentum pedig itt.)

Tovább
Szólj hozzá!
Címkék: mesterséges intelligencia portfolioblogger Európai Unió MI HU GDPR Ír Hatóság LLM MI-rendszer MI-modell Hamburgi Adatvédelmi Hatóság

Deep dive into the AI Act - Part 5: Prohibited AI practices

2024. július 11. 08:00 - poklaszlo

The provisions of the AI Act on prohibited AI practices (Article 5 of the AI Act) will become applicable quite quickly, 6 months after the entry into force of the AI Act (i.e. from February 2, 2025).

As discussed in a previous post, the AI Act takes a risk-based approach and accordingly, we can distinguish AI practices that should be prohibited due to unacceptably high risks (prohibited AI practices, Article 5 of the AI Act, e.g. social scoring systems), high-risk AI systems that require strict requirements and compliance with a number of obligations set out in the AI Act (high-risk AI systems, Article 6 of the AI Act) and other lower-risk AI systems that are essentially subject to transparency obligations (Article 50 of the AI Act, e.g. chatbots). (There are additional AI systems with minimal risk for which no additional requirements are essentially laid down in the regulation. This category could include, for example, spam filters.)

In the following, I will take a closer look at the so-called prohibited AI practices deined in the AI Act.

Tovább
Szólj hozzá!
Címkék: artificial intelligence AI EN AI Act AI system prohibited AI practices
süti beállítások módosítása