Az MI rendszerek használata kapcsán az egyik gyakran emlegetett kihívás az átláthatóság kérdése. Sokszor merül fel kritikaként ugyanis, hogy a modellek működése egy ún. "fekete doboz" (black box), nem tudjuk, illetve sokszor nem értjük pontosan mi játszódik le a "motorháztető alatt". 

Az MI alkalmazásával kapcsolatban azonban felmerül egy más jellegű transzparencia probléma is: az MI rendszereket fejlesztő - jellemzően nagy technológiai vállalatok - nem mindig tesznek meg mindent azért, hogy átláthatóvá tegyék a modelljeik működését, megfelelően tájékoztatássák az érintetteket. Ez a tendencia ráadásul, az utóbbi időben az éleződő verseny miatt, tovább erősödött, amelynek a szélesebb közvélemény is kárát látja, hiszen az MI megoldások használatának rohamos terjedését tapasztalhatjuk, mindeközben egyre kevésbé láthatjuk át, mi is történik valójában, milyen adatokkal tanították a rendszert, miként kezelik az adatokat, hogyan jön létre az a kimeneti eredmény, amellyel találkozunk. 

A mesterséges intelligencia (MI) rendszerek fejlesztése során sok fejtörést okozhat, miként történhet az adatvédelmi szabályoknak megfelelően a fejlesztés. Az adatvédelmi követelmények alkalmazása során számos kihívással találkozhatnak a fejlesztők, amelyekre még kevés kézzelfogható iránymutatás áll rendelkezésre. Éppen ezért jelentős mérföldkő, hogy - a mesterséges intelligencia témák kapcsán egyébként is igen akítv - francia adatvédelmi hatóság (CNIL) október 16-án közzétett egy praktikus ("how-to") útmutatót a GDPR-nak is megfelelő MI fejlesztések előmozdítása érdekében. (Az útmutató november 16-ig véleményezhető, ezt követően a visszajelzések feldolgozását követően nyeri el majd a végleges formáját.)   

Az álnevesítés alkalmazása kapcsán számos esetben találkozhatunk félreértésekkel, amelyek gyakran abból a - téves - megközelítésből erednek, hogy az adatok az álnevesítéssel elveszítik személyes adat jellegűket és így már nem alkalmazandók rájuk az adatvédelmi szabályok. Ezzel szemben fontos rögzíteni, hogy az álnevesített adatok személyes adatnak minősülnek és ennek megfelelően kell ezeket kezelni. 

A NAIH által a közelmúltban közzétett határozat éppen az álnevesítés kérdésével és az álnevesített adatokat érintő hozzáférési jog gyakorlásával foglalkozik. 

Az emailezés a mindennapok szerves részévé vált, igaz ez a munkavégzésre és a munkán kívüli tevékenységekre egyaránt. Egy felmérés szerint 2023-ban naponta (!) közel 350 milliárd email kerül elküldésre és ez a szám az elkövetkező években tovább növekedhet (éves szinten kb. 4%-al).

Az emailek - a küldő és címzett(ek) email címén (lásd a Kúria 2023-ban közzétett ítéletét a témához) túlmenően is - sok esetben személyes adatokat tartalmaznak. Éppen ezért kiemelten fontos, hogy milyen módon valósulnak meg az emailezés során az adatvédelmi követelmények. (Az emailek és a titkosítás kapcsolatáról és az ez erre irányuló hatósági gyakorlatról itt írtam korábban.)    

A brit adatvédelmi hatóság (ICO) a közelmúltban egy praktikus útmuatót tett közzé a vállalkozások részére, amely a tömeges email küldés kapcsán ad eligazítást az adatvédelmi követelményeknek való megfeleléshez. 

Alkalmazandóvá vált az adatkormányzási rendelet (Data Governance Act, DGA), amely az európai adatgazdaság előmozdítására tett intézkedések egyik fontos szabályozási eleme. A rendeletet még 2022. nyarán fogadták el és a 15 hónapos felkészülési időt követően szeptember 24-én megkezdődött a rendelet alkalmazásának "éles üzeme".

Az elmúlt években egyre látványosabban alakulnak át a közlekedéshez használt járművek négy (esetleg több, néha kevesebb) keréken guruló számítógépekké. Az összekapcsolt vagy okos járművek rengeteg adatot gyűjtenek a működésük során és az adatgyűjtés nem korlátozódik a használójukra, hanem érinti a szűkebb vagy tágabb környezetüket is. Ez az adatgyűjtés pedig csak fokozódni fog, hiszen olyan technológiai megoldások fejlesztése és tesztelése van jelenleg is folyamatban (pl. különböző önvezető funkciók), amelyek rengeteg adatot gyűjtenek és dolgoznak fel. 

A hálózatba kapcsolt járművek és a mobilitáshoz kapcsolódó adatkezelések kérdése az Európai Adatvédelmi Testület látókörébe is bekerült, és a Testület külön iránymutatásban foglalkozott a témával. A Testület iránymutatása is jól mutatja, hogy a gépjárművekkel összefüggő adatkezelés milyen összetett ökoszisztémába ágyazódik és milyen szerteágazó felhasználási módjai lehetnek a gyűjtött adatoknak. (Érdekes információkat találhatunk a témáról a FIA "MyCar MyData" projektje keretében.) 

Az ilyenfajta adatkezelés egy olyan összetett ökoszisztémán belül zajlik, amely nem korlátozódik pusztán a gépjárműipar hagyományos szereplőire, hanem formáját a digitális gazdasághoz tartozó új szereplők megjelenése is alakítja. Ezek az új szereplők olyan szórakoztatást és tájékoztatást célzó szolgáltatásokat nyújthatnak, mint például az online zenelejátszás vagy az útviszonyokkal kapcsolatos és közlekedési információk biztosítása, illetve olyan vezetéstámogató rendszereket és szolgáltatásokat kínálhatnak, mint a robotpilóta-szoftverek, járműállapot-jelentések, a használatalapú biztosítás vagy a dinamikus térkép. Ezenkívül, mivel a járművek elektronikus kommunikációs hálózatokon keresztül kapcsolódnak össze, a folyamatban részt vevő közútiinfrastruktúra-kezelők és távközlési szolgáltatók szintén fontos szerepet játszanak a járművezetők és az utasok személyes adatait érintő, lehetséges adatkezelési műveletek tekintetében. (Lásd 01/2020. sz. iránymutatás 2. pont, 4. o.)

Tekintettel arra, hogy a gyűjtött és kezelt adatok köre jelentős részben személyes adat, így az adatvédelmi szabályok e tekintetben is alkalmazandók. Egy frissen megjelent elemzés, amelyet a Mozilla Privacy Not Included projektje keretében végeztek, azt mutatta, hogy a vizsgált 25 autógyártó mindegyike (!) tekintetében elkeserítően alacsony szinten van az adatvédelmi követelményeknek való megfelelés.     

In recent years, vehicles have been increasingly transformed into computers on four wheels. Connected or smart vehicles collect a lot of data in their operation and the data collection is not limited to their users, but also affects their immediate or wider environment. This data collection will only intensify, as technological solutions are currently being developed and tested (e.g. driving assistance systems, various self-driving functions, ) that collect and process a lot of data. 

A gyermekeket érintően megvalósuló adatkezelések fokozott kockázatot jelenthetnek, hiszen a gyermekek, mint az adatkezelés érintettjei tipikusan kevésbé lehetnek azon információk birtokában, amelyek az őket érintő adatkezelés esetleges kockázatainak felméréséhez és ezek kezeléséhez szükségesek. Erre is tekintettel a gyermekek személyes adatait a GDPR fokozott védelemben részesíti. (A GDPR vonatkozó rendelkezéseiről itt írtam korábban.)

Az elmúlt időszakban a GDPR gyermekek adatainak kezelésére történő alkalmazása révén egyre több esetben rajzolódik ki, hogy milyen elvárásoknak kell az adatkezelőknek a gyakorlatban megfelelniük, ha gyermekek adatait kezelik. Több konkrét jogeset, iránymutatás, illetve lezárt vagy folyamatban lévő hatósági intézkedés is jelzi a téma fontosságát. Lássunk ezek közül néhányat!

Számos adatkezelő küzd azzal, hogy a GDPR-nak megfelelő módon továbbíthasson adatokat az Egyesült Államokba, miután 2020. júliusában, az Európai Bíróság a Schrems II. ügyben hozott ítéletével megsemmisítette az Egyesült Államokra vonatkozó megfelelőségi határozatot, a Privacy Shield-et. Az USA-ba történő adattovábbítás kényes kérdés, hiszen számos, az EU-ban is széles körben használt technológiai szolgáltatás kapcsán kerülhetenk az USA-ba továbbításra személyes adatok vagy történhet hozzáférés az adatokhoz az USA-ból. Ennek megfelelően az Egyesült Államok nem csupán egy a GDPR szerinti harmadik országok sorában, ahová az adattovábbításra csak a GDPR-ban meghatározott feltételeknek megfelelően kerülhet sor, hanem kiemelt jelentőséggel bír az adattovábbítás szempontjából, figyelemmel a gazdasági kapcsolatok kiterjedtségére és az adattovábbítással járó technológiai megoldások széleskörű alkalmazására (pl. felhőszolgáltatások). 

A fentiekre tekintettel óriási várakozás övezte, hogy a 2022. márciusi EU-USA adattovábbítási keretmegállapodás alapján mikor születhet meg az új megfelelőségi határozat, amely az adattovábbítók (adatátadó) életét jelentősen megkönnyítheti az USA-ba irányuló adattovábbítások kapcsán.

Három évvel a Schrems II. ítélet meghozatala után eljött ez a pillanat, a Bizottság közzétette az új, USA-ra vonatkozó megfelelőségi határozatát!

Many data exporters are struggling to transfer data to the United States in a GDPR-compliant manner after the European Court of Justice annulled the adequacy decision for the United States in July 2020 with its Schrems II ruling. Data transfer to the US is a sensitive issue, as personal data may be transferred to or accessed from the US in connection with many technology services that are widely used also in the EU. Accordingly, the United States is not only one third country under the GDPR to which data transfers can only take place in accordance with the conditions set out in the GDPR, but it has paramount importance, taking into account the extent of economic relations and the widespread use of technological solutions associated with data transfer (e.g. cloud services).

With respect to the above, the adoption of a new adequacy decision has been highly awaited on the basis of the March 2022 EU-US Data Transfer Framework Agreement, which could significantly make data transfers to the US easier.

Three years after the Schrems II judgment, this moment has come: the European Commission has published the new adequacy decisions regarding the US!