Rendkívül nagy figyelmet kapott, hogy Lázár János építési és közlekedési miniszter Balatonalmádiban tartott fórumán elhangzott kijelentéseivel szemben, a pár nappal későbbi gyöngyösi fórumon tiltakozók bűnügyi személyes adatait egy videóban (az arcok kitakarásával, és monogramok alkalmazásával) nyilvánosságra hozták. A bűnügyi személyes adatokra vonatkozó közléseket maga a kormánypárt, további politikusok (többek között a miniszterelnök), illetve egyes kormányzati sajtóorgánumok is megismételték, terjesztették. A kérdésekre, hogy mégis milyen módon jutott az adatokhoz, azt milyen alapon kezelte, Lázár János a következő választ adta: 

Bocsánat, de a rendőrség egy állami szervezet. Én az állam egyik vezetője vagyok mint kormánytag. Amit a kormány tudhat, azt én is tudhatom.  

Az adatok megszerzésének módja kapcsán egy videóban még hozzátette: 

a rendőrség igazoltatott, „utána a belügyminiszter jelentett a miniszterelnöknek, mert egy miniszterről van szó”, nyilvánosságra meg nem ő hozta az adatokat.

A miniszter elmondása szerint a rendőrség a gyöngyösi fórumot követően igazoltathatta az ott megjelentek közül azokat, aki kérdést, kritikát, véleményt fogalmaztak meg a miniszter korábbi kijelentései kapcsán és az igazoltatáshoz kapcsolódóan ellenőrizték a bűncselekmények esetleges korábbi elkövetésére vonatkozó adatokat. A Heves Vármegyei Rendőrkapitányság ugyanakkor közleményben cáfolta, hogy bárkit is igazoltattak volna a gyöngyösi fórum kapcsán....

Az alábbiakban az adatkezelés oldaláról mutatom be, hogy a bűnügyi személyes adatok visszaélésszerű kezelése milyen súlyos következményekkel jár. 

Az elmúlt években több iránymutatás is napvilágot látott vállalatfelvásárlásokhoz, illetve eszközértékesítéshez kapcsolódó adatkezelési kérdések kapcsán (lásd pl. a német DSK 2024-es állásfoglalását az eszközértékesítéshez kapcsolódó adattovábbításról, illetve a NAIH kapcsolódó állásfoglalásait). 

Legújabban pedig a Lichtensteini Adatvédelmi Hatóság (Datenschutzstelle Fürstentum Lichtenstein) adott rövid iránymutatást arra vonatkozóan, hogy milyen adatvédelmi szempontokat kell figyelembe venni egy átvilágítás (amelynek természetesen része a jogi, pénzügyi, megfelelőségi, adott esetben környezetvédelmi, stb.  helyzet átvilágítása is) során, például egy vállalat vagy annak egyes részei eladása, illetve felvásárlása kapcsán.

Az év végéhez érve a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elhalmozza az érdeklődőket jelentésekkel. November végén a pártok és az online médiatartartalom-szolgáltatók adattölési gyakorlatáról készült jelentéseket publikálta, december végére pedig a magyar bankszektorban alkalmazott mesterséges intelligencia (MI) rendszerek személyesadat‑kezelésének gyakorlatát áttekintő jelentés látott napvilágot ("Jelentés").

A Jelentés többek között kitér az ügyfélazonosításra, a szöveges és hangalapú adatfeldolgozásra, a tanításra használt adatokra, a „shadow AI” kockázataira, a hitelképesség- és termékaffinitás-modellekre, valamint az anonimizálás szerepére. A Jelentés célja egy körkép készítése volt, nem adatvédelmi hatósági eljárás lefolytatása a tényállás bizonyítékokon alapuló feltárásával, ezért a Hatóság nem vizsgálta a bankoktól kapott válaszok pontosságát, és azokat kizárólag a jogszabály által védett információk kiszűrése céljából nézte át a Jelentésben történő felhasználás előtt. A Jerlentés elkészítésével kapcsolatban a NAIH megkereste a pénzügyi szektor felüghyeletét ellátó Magyar Nemzeti Bankot is. 

December 12-én megjelent az EU hivatalos lapjában a GDPR végrehajtására vonatkozó további eljárási szabályok megállapításáról szóló rendelet (2025/2518) .

A rendelet célja, hogy a határokon átnyúló ügyekben részletes eljárási szabályokkal gyorsítsa és egységesítse a GDPR végrehajtását, különös tekintettel a felügyeleti hatóságok együttműködésére, a panaszkezelésre, a vitarendezésre és az eljárási garanciákra. A szabályozás kifejezetten a GDPR 60., 65. és 66. cikk szerinti együttműködési, egységességi és sürgősségi mechanizmus működését finomítsa, átlátható határidőkkel és egységes eszköztárral.  A rendelet 2025. november 26-án került elfogadásra, és 2027. április 2-tól alkalmazandó, átmeneti szabályokkal a folyamatban lévő és a később indítandó ügyekre. 

Keveset lehetett hallani róla, de a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) november 20-i dátummal közzétett egy jelentést a politikai pártok törléshez való joggal kapcsolatos adatkezelési gyakorlatáról ("Jelentés").  

A Jelentés a GDPR szerinti törléshez (elfeledtetéshez) való jog gyakorlati érvényesítését vizsgálja, kifejezetten a a politikai pártokra fókuszálva. A Jelentés elkészítéséhez a 2024-es európai parlamenti választáson listát állító 14 pártot keresték meg, és a kérdőíves felmérésre adott válaszaik alapján állt össze a Jelentés.  A Hatóság célja a jó gyakorlatok bemutatása, a pártoknak szóló javaslatok megfogalmazása és a nyilvánosság számára helyzetértékelés nyújtása volt. 

A pártok adatkezelése leginkább tagokra, érdeklődőkre/szimpatizánsokra és támogatókra terjed ki, kisebb arányban érintettek a munkavállalók és rendezvényeken résztvevők. Több párt szerint nem kezelnek érzékeny csoportokra vonatkozó adatokat, de egyeseknél megjelöltek érzékeny csoportokat, mint gyermekek, kiszolgáltatott helyzetű személyek és más szenzitív csoportok adatkezelése; egy pártnál romák, idősek és fogyatékkal élők is megjelölésre kerültek a szenzitív csoportok között. 

Az elmúlt héten több körben is óriási hullámokat vert a Tisza applikációját érintő "adat-ügy". Kezdődött az adatok "kiszivárgásáról" szóló hírekkel, illetve az arról indult vitával, hogy szivárognak-e csak úgy az adatok vagy helyesebb "adatlopásról" beszélni. Ez a szakasz nem tartott sokáig, mert az ügy nagyon hamar az elérhetővé vált adatok jogellenes felhasználásáról, különböző listák készítéséről és publikálásáról (lásd pl. Madiner), a listán szereplő személyek telefonos zaklatásáról, a házuk előtti élő videós bejelentkezésekről (lásd pl. Németh Balázs Fidesz-frakció szóvivő bejelentkezését) kezdett szólni. Ezzel sem volt azonban vége. A hét végére eljutottunk oda, hogy a személyes adatokat "interaktív" térképen tették jogellenesen kereshetővé, visszaélve magánszemélyek - politikai véleményét is tükröző - személyes adataival, súlyosan sértve magánszférájukat. 

Az alábbiakban 10 pontban foglalom össze az "adat-ügy" legfontosabb vetületeit, de mielőtt a részletekbe megyünk, nagyon fontos kiemelni, hogy az adatok jogellenes publikálása, térképen történő megjelenítése és bármi egyéb módon történő felhasználása bűncselekmény, súlyos adatvédelmi jogsértés, de ezeken is túlmenően (különösen a visszaélések tömeges, százezreket érintő jellegére tekintettel) a demokratikus, jogállami működés elleni súlyos merénylet, a tisztességes közélet, a közügyekben való részvétel szabadságának rombolására tett kísérlet. 

Október 31-én megjelent a Magyar Közlönyben az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról szóló 2025. évi LXXV. törvény ("MI törvény"), amely - néhány kivételtől eltekintve - december 1-én lép hatályba. Az EU mesterséges intelligenciára vonatkozó rendelete (MI Rendelet) közvetlenül alkalmazandó a tagállamokban, de a rendelet alkalmazása, illetve végrehajtása, illetve az erre történő felkészülés kapcsán a tagállamoknak számos feladatuk van a felügyeleti hatóságok kijelölésétől kezdve, egyes, az MI Rendeletben kapott felhatalmazás alapján szükséges részletszabályok megalkotásáig. A magyar Országgyűlés a fenti törvény elfogadásával ebben az implementációs folyamatban tett egy fontos lépést.

A mesterséges intelligencia nyújtotta lehetőségek visszaélésszerű alkalmazására régóta figyelmeztetnek, mostanra azonban saját bőrünkön tapasztalhatjuk ezt. Egymás után, szinte naponta jelennek meg az olyan mesterséges intelligencia alkalmazásával létrehozott képek és videók, amelyek egyértelmű célja a politikai befolyásolás, a választók félreinformálása és megtévesztése. 

Arról lehet vitatkozni, hogy mennyire tűnnek valóságosnak vagy hihetőnek ezek a kísérletek, de az már most is látszik, hogy ezen eszközök alkalmasak lehetnek a demokratikus működés aláásására, így minden lehetséges eszközzel törekedni kell az MI-vel végzett manipuláció megakadályozására, kivédésére vagy ha már megtörtént az ezzel szemben történő fellépésre. Az alábbiakban röviden áttekintem az MI alkalmazásával készülő politikai tartalmak körüli szabályozási környezetet és megvizsgálom, hogy milyen eszközök alkalmazhatók jelenleg a manipulációval szemben. 

A Magyarország versenyképességének javítása érdekében egyes törvények módosításáról szóló 2025. évi LXVII. törvény* több ponton is módosította a hivatalos statisztikáról szóló 2016. évi CLV. törvényt (a továbbiakban: "Stt."). Az Stt. 2. §-át érintő egyik módosítás, hogy új fogalomként megjelenik az "anonimizálás" a törvényben (az álnevesítéssel együtt).  

Az anonimizálás - Stt-ben megjelenő - új fogalma szerint (2.§ 3a. pont): 

anonimizálás: személyes adat olyan módon történő kezelése, amelynek következtében további információk felhasználásával sem állapítható meg többé, hogy a személyes adat mely konkrét természetes személyre vonatkozik.

A június 28-án lezajlott rendezvény kapcsán már számos jogi kérdés felmerült, így - többek között - az arcfelismerő technológia alkalmazásával összefüggésben (lásd erről a korábbi posztokat pl. itt és itt), most pedig - a legfrissebb hírek szerint - felmerült az automaizált büntetéskiszabás lehetősége is. Adja magát tehát az újabb kérdés:  jogszerű lesz-e, ha valóban teljesen automatizálják a folymatot és emberi beavatkozás nélkül, az arcfelismerő technológia alkalmazásával nyert adatok alapján automatikusan kerülnek kiküldésre a bírságolásra vonatkozó szabálysértési határozatok a Pride-on résztvevőknek?