A szövetségi szintű adatvédelmi szabályozás gondolata rendszeresen felmerül az Egyesült Államokban, aztán - időről-időre benyújtott törvényjavaslatok (pl. "Safe Data Act" törvényjavaslat 2021-ben, vagy az ún. "ADPPA" törvényjavaslat 2022-ben, illetve  további, elfogadásra nem került javaslatok böngészhetők itt) és hosszas diskurzus után - tipikusan kevés előrehaladást tapasztalhatunk a területen. Mindeközben a tagállami szintű adatvédelmi szabályozás egyre több helyen kerül elfogadásra és teszi az adatvédelmi megfelelést komoly kihívássá az Egyesült Államokban, hiszen - számos hasonló pont ellenére - a tagállami szintű szabályok jelentős számú eltérést is mutatnak, mind hatályukat, mind a konkrét követelményeiket tekintve.  

Most újra felcsillant a remény egy szövetségi szintű adatvédelmi szabályozás elfogadására, miután a Szenátusban kétpárti javaslatként benyújtásra került az ún. American Privacy Rights Act (rövidítve: "APRA"). 

Az Európai Bíróság - március 14-i ítéletében - egyértelműen kimondta, hogy a tagállami adatvédelmi hatóság a GDPR-ból fakadó  hatáskörének gyakorlása során jogosult arra, hogy az adatkezelőt vagy az adatfeldolgozót a jogellenesen kezelt személyes adatok törlésére utasítsa, akkor is, ha az érintett nem terjesztett elő erre irányuló kérelmet.

1. A döntés előzménye 

Újpest Önkormányzata 2020 februárjában úgy döntött, hogy a Covid19‑világjárvány veszélyeztetett csoportjába tartozó, bizonyos jogosultsági feltételeknek megfelelő kerületi lakosok részére támogatást biztosít. A jogosultsági feltételek megállapításához szükséges személyes adatok beszerzése érdekében a Magyar Államkincstárhoz és Budapest Főváros Kormányhivatala IV. Kerületi Hivatalához fordult. A kért adatok közé tartoztak - többek között - a természetes személyazonosító adatok és a társadalombiztosítási azonosító jel. A megkeresett szervek az adatkéréseket teljesítették. (Lásd ítélet 13-14. pontok)

A NAIH - közérdekű bejelentés alapján - indított eljárást, amaly eljárásban hozott határozatában megállapította, hogy Újpest Önkormányzata megsértette a GDPR 5. és 14. cikkének több rendelkezését, valamint a 12. cikk (1) bekezdését. A fentiekre tekintettel a NAIH - a GDPR 58. cikke (2) bekezdésének d) pontja alapján - utasította Újpest Önkormányzatát, hogy törölje azoknak az érintetteknek a személyes adatait, akik jogosultak lettek volna a támogatást igénybe venni, de azt nem kérték. (Lásd ítélet 16-17. pontok)

In its recent judgment, the European Court of Justice found that IAB Europe, as the sectoral organisation of the digital advertising market, qualifies as a joint controller by defining and applying the framework established to manage data processing consents for the display of online advertising.

It has been established that, as a sectoral organisation, IAB Europe exercises influence over the processing of the personal data concerned and therefore determines, together with its members, the purposes and means of such processing. In the following, I highlight some of the findings of the CJEU judgment on joint controllership, which may have implications beyond the digital advertising market. (In addition to the question on joint processing, the other question concerned the concept of personal data.)

Az Európai Bíróság frissen publikát ítéletében megállapította, hogy az IAB Europe, a digitális hirdetési piac ágazati szervezeteként közös adatkezelőnek minősül az online hirdetések megjelenítéséhez szükséges adatkezelési hozzájárulások kezelésére létrehozott szabályozási keret meghatározása és alkalmazása révén. Megállapításra került ugyanis, hogy ágazati szervezetként, az IAB Europe befolyást gyakorol az érintett személyes adatok kezelésére, és ennélfogva tagjaival együtt meghatározza az ilyen adatkezelés céljait és eszközeit. 

Az alábbiakban az EUB ítéletének a közös adatkezelés vonatkozásában tett néhány megállapítását emelem ki, amelyeknek talán a digitális hirdetési piacon túlmenően is jelentősége lehet.

(Az ítélet egyébként két kérdésben ad iránymutatást, egyrészt a közös adatkezelői minőség vonatkozásában, másrészt a személyes adat fogalmának meghatározása kapcsán. Ez utóbbi kérdést jelent posztban nem tárgyalom részletesebben, de azt érdemes rögzíteni, hogy a Bíróság megerősítette a korábbi értelmezést, amikor kimondta, hogy egy betűk és karakterek kombinációjából álló lánc, amely egy felhasználónak a rá vonatkozó adatok kezeléséhez való hozzájárulásával kapcsolatos preferenciáit tartalmazza személyes adatnak minősül, amennyiben észszerű eszközökkel összekapcsolható egy azonosítóval, mint például az említett felhasználó készülékének IP‑címével, és így lehetővé teszi az érintett személy azonosítását. A személyes adatnak minősítést nem befolyásolja az a körülmény, hogy az e lánccal rendelkező ágazati szervezet külső hozzájárulás nélkül nem tud a tagjai által az általa megállapított szabályok keretében kezelt adatokhoz hozzáférni, és nem is tudja az említett láncot más elemekkel összekapcsolni.)  

The upcoming Artificial Intelligence Act (AI Act) in the EU provides an important role to a new unit, the European Artificial Intelligence Office (AI Office) within the European Commission in the enforcement of the AI Act, especially regarding general-purpose AI systems and also in the implementation of the AI Act, also in cooperation with the governance bodies in Member States. The AI Office was established by the Commission in an implementing decision that became effective on February 21, 2024. 

A NAIH ismét foglalkozott az ügyvédi titok és a hozzáférési jog egymáshoz való viszonyával. Korábban, egy állásfoglalásban már tárgyalta a kérdést. 

1. Tényállás

A kérelmező azért fordult a Hatóságoz, mert a hozzáférési kérelmére az adatkezelőtől (ellenérdekű fél ügyvédje) nem kapott választ.

A Hatóság által megkeresett adatkezelő (ügyvéd) előadta, hogy őt az ügyvédi tevékenységről szóló 2017. évi LXXVIII. törvény (Üttv.) 9. §-a szerint titoktartási kötelezettség terheli, amely - véleménye szerint -  abszolút kötelezettség, és az üggyel kapcsolatos minden adatra kiterjed.

A tavaly decemberben elért politikai kompromisszumot követően lázas munka folyik az EU mesterséges intelligencia rendeletének (MI rendelet) szövegezése körül. A szöveg technikai szinten történő egyeztetése a végéhez közeledik, ennek eredménye a most kiszivárgott szövegváltozat (2024. január 21-i állapot). 

Az alábbiakban a most közzétett szöveg ("Tervezet") alapján néhány, a korábbi tárgyalások és a politikai kompromisszum alapján is kényesebbnek tűnő kérdést tekintek át (még egyszer hansgúlyozva, hogy a végeleges jogszabály mág nem áll rendelkezésre, annak elfogadásához még kell az Európai Parlament és Tanács döntése is).  

Az Európai Bizottság közzétette a jelentését a GDPR előtti szabályok (95/46/EK irányelv) alapján elfogadott megfelelőségi határozatok felülvizsgálata tárgyában. A közzétett dokumentumhoz részletes országjelentés is kapcsolódik az érintett harmadik országok adatvédelmi rezsimjére vonatkozóan. 

Összességében azt állapította meg a Bizottság, hogy a vizsgált 11 harmadik ország adatvédelmi keretrendszere továbbra is megfelelő védelmet biztosít az EU-ból származó személyes adatok védelme tekintetében, így a megfelelőségi határozatok minden érintett ország tekintetében továbbra is alkalmazhatók az adattovábbítás alapjaként. 

A brit adatvédelmi biztos (Information Commissioner´s Office, ICO) konzultációra közzétett egy iránymutatást, amely a generatív mesterséges intelligencia rendszerek (GenAI) webről gyűjtött adatokkal történő tanításának feltételeivel foglalkozik. A téma jelentőségét az adja, hogy a generatív MI rendszerek tanítása tipikusan rengeteg adatot igényel, amely adatok összegyűjtése gyakran történik nyilvánosan elérhető forrásokból, így különösen az internetről. Az interneten hozzáférhető adatok (beleértve a személyes adatokat, illetve akár más védett kategóriába tartozó adatokat, pl. szellemi alkotásokat) felhasználása nem magától értetődő, a jogszerű felhasználás feltételeinek megteremtéséről gondoskodni kell. 

A piros csapatos tesztelés (red teaming) nem egy új tesztelési technika, de az elmúlt időszakban szélesebb körben is egyre inkább figyelmet kap a mesterséges intelligencia (MI) rendszerek sérülékenységeinek tesztelésével kapcsolatban. Olyannyira így van ez, hogy az Egyesült Államok elnökének 2023. október 30-án kiadott MI rendelete kifejezetten előírja bizonyos MI rendszerek esetében a piros csapatos tesztelést. 

Az alábbiakban röviden a piros csapatos tesztelés kérdésével foglalkozom, különös tekintettel az MI rendszereket érintően végzett ilyen jellegű tesztekre.