The judgment of the German Constitutional Court of 15 December 1983 on the German Census Act of 1983 (the so-called "census judgment") had a long-lasting effect on the development of data protection law. Below I briefly review the background of the 40-year-old census judgment and its impact on the thinking about data protection.
Az elmúlt hét legnagyobb figyelmet kapott - komoly adatvédelmi vonatkozásokkal is bíró - eseménye az EU mesterséges intelligencia rendelete körüli egyeztetések maratoni utolsó fordulója volt, amely végül eredményt hozott és elvi megállapodás született az Európai Parlament és a Tanács között az MI rendelet tartalma kapcsán.
Talán kevesebb reflektorfény vetült rá, de az Európai Bíróság sem tétlenkedett a múlt héten, ami az adatvédelmet érintő ítéletek közzétételét illeti, hiszen több ügyben is fontos iránymutatásokat tartalmazó döntések jelentek meg. Az alábbiakban röviden a Bíróság múlt héten közzétett adatvédelmi tárgyú ítéleteinek néhány főbb elemét emelem ki.
In recent weeks, negotiations over the Regulation on Artificial Intelligence (AI Act) filled the news that finally led a hard-won political deal. However, this is not the only legislative topic that seems to be coming to an agreement at EU level. A political agreement was reached between the European Parliament and the Council on the so-called Cyber Resilience Act.
Az elmúlt hetekben a mesterséges intelligencia rendelet (AI Act) körüli, éjszakába nyúló egyeztetések és végül a nagy nehezen összehozott politikai egyezség töltötték ki a híreket. Nem ez volt azonban az egyetlen jogalkotási téma, ami uniós szinten révbe érni látszik. Politikai egyezség született ugyanis a Parlament és a Tanács között az ún. kiberreziliencia jogszabály (Cyber Resilience Act) tekintetében is.
A mesterséges intelligencia (MI) használata kapcsán számos esetben botlunk személyes adatok kezelését érintő kérdésekbe. A különböző MI rendszerek fejlesztése, tanítása, tesztelése, használata ugyanis gyakran személyes adat kezelésével jár. Nem véletlen, hogy az elmúlt időszakban az adatvédelmi hatóságok figyelme is az MI-vel összefüggő adatkezelési kérdések felé fordult. Ez megjelenik egyrészt az alakuló joggyakorlatban, illetve az egymás után publikált iránymutatásokban, ajánlásokban is.
Érdekes állásfoglalást tett közzé a napokban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az oktatási intézmények által az osztálytalálkozót szervezők részére történő adattovábbítás lehetősége kapcsán. A rövid állásfoglalás az adattovábbítás tekintetében szóba jöhető jogalapokat (hozzájárulás; közfeladat ellátása; jogos érdek) vizsgálja és lényegében arra jut, hogy az osztálytalálkozó szervezése céljából az oktatási intézmény nem továbbíthat személyes adatokat a szervezők fel.
A fentiekre tekintettel a Hatóság nem azonosított megfelelő jogalapot arra vonatkozóan, hogy az oktatási intézmény továbbítsa a szervező számára a volt osztálytársai személyes adatait kapcsolatfelvételi eljárás céljából, ilyen közfeladata az oktatási intézménynek nincsen, a volt osztálytársak hozzájárulásának beszerzése lehetetlen* és a szervező, mint harmadik fél jogos érdekének valós mérlegelésére sincs módja az oktatási intézménynek. (Állásfoglalás, 3. o. kiemelés tőlem)
(*A hozzájárulás beszerzésének a lehetetlenségére vonatkozó állítás önmagában érdekes, hiszen általánosságban nem lehet kijelenteni, hogy nem szerezhető be ("lehetetlen" beszerezni) hozzájárulást az adatkezeléshez. Az adatkezelő feladata és felelőssége, hogy a jogszerű adatkezelés feltételeit biztosítsa, beleértve a hozzájárulás, mint jogalap alkalmazása esetén szükséges feltételeknek való megfelelést. Mivel a NAIH ezzel a kérdéssel lényegében nem foglalkozik, arra hivatkozva, hogy a hozzájárulások beszerzése "lehetetlen", az alábbiakban én is inkább a jogos érdekkel kapcsolatos megállapításokat veszem górcső alá.)
Az online világban az egyik leggyakrabban, bár szinte észrevétlenül alkalmazott jogszabály, az ún. e-Privacy irányelv, amely - sok más mellett - a végberendezéseken (pl. számítógép, laptop) történő adattárolás, és a tárolt adatokhoz való hozzáférés kérdését szabályozza. A legtöbbször a sütik alkalmazása kapcsán kell(ene) érvényesülnie a szabályozásnak, ugyanakkor számos más technológiai megoldás is felmerülhet, amely szintén az irányelv 5. cikk (3) bekezdése alá tartozik (pl. pixelek). Az Európai Adatvédelmi Testület friss, egyelőre konzultációra közzétett iránymutatása éppen emiatt született, hogy az irányelv kérdéses cikkének a technikai értelemben vett alkalmazási körét vizsgálja és újabb technológiai megoldások tekintetében egyértelműsítse.
Irányelvi rendelkezésről lévén szó, természetesen az egyes uniós tagállamokban, a tagállami jogszabályokba átültetett rendelkezések érvényesülnek közvetlenül, de ezek tartalma tekintetében az irányelvben foglaltaknak kell érvényesülniük.
A személyes adat fogalmának értelmezését illetően hosszú ideje dúl éles vita arról, hogy az "azonosíthatóság" határainak meghúzásakor meddig lehet és kell elmenni. Ez pedig elvezet a személyes adat fogalmának relatív és abszolút értelmezését képviselő különböző megközelítésekhez (ehhez kapcsolódóan lásd ezt a korábbi bejegyzést).
A GDPR szerint, „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható
A fentiekkel kapcsolatban is érdekes az Európai Bíróság friss döntése (C‑319/22. sz. ügy), amely a jármű‑azonosító szám (VIN) személyes adat jellegének vizsgálatát is érintette.
A mesterséges intelligenciát érintő szabályozás a figyelem középpontjában áll, hiszen néhány napja jelent meg az Egyesült Államok elnökének rendelete az MI szabályozása kapcsán, az EU-ban pedig gőzerővel zajlik az MI-re vonatkozó rendelet szövegének a véglegesítése a Parlament, a Tanács és a Bizottság közötti egyeztetések (trilógus) keretében.
A jogi szabályozás kapcsán mindig kulcskérdés, hogy a szabályozás mire vonatkozik, mi a tárgya, a hatálya, mit kell pontosan érteni a fogalmak alatt, amelyeket a szabályozás használ. Az alapvető fogalmi meghatározások, azok pontossága vagy éppen pongyolasága, illetve értelmezése jelentősen befolyásolhatja, hogy mikor és mire kell alkalmazni egy adott jogszabályt.
Sokszor egészen egyszerű jelenségek precíz fogalmi meghatározása sem egyszerű, még inkább így van ez olyan fogalmak esetében, amelyek nagyon összetett jelenségeket érintenek. A mesterséges intelligencia éppen egy ilyen, nagyon nehezen vagy máshonnan nézve, nagyon sokféleképpen meghatározható fogalom, hiszen alapvetően egy gyűjtőkategória, amely számos különböző technológiát fog össze.
Regulation concerning artificial intelligence is in the spotlight, as the Executive Order of the President of the United States on AI was published on October 30, and the text of the AI Act is being finalized in the EU in the framework of negotiations (trilogue) between the Parliament, the Council and the Commission.
When it comes to legal regulation, it is always a key question what the given regulation refers to, what is its object, scope, and what exactly should be understood by the terms used by the regulation. Basic definitions, their precision, or even their vagueness or interpretation can have a significant influence on when and for what a given regulation applies.
It is often difficult to define very simple phenomena precisely, even more so in the case of concepts that involve very complex phenomena. Artificial intelligence is just such a concept, which is very difficult to define or it can be defined in many different ways, since it is basically an umbrella category that brings together many different technologies.