The new Product Liability Directive (PLD, Directive 2024/2853) has recently been published in the Official Journal of the European Union, renewing the previous product liability regime established by the old product liability directive adopted in 1985. Member States shall bring into force the laws, regulations and administrative provisions necessary to comply with the new PLD by 9 December 2026 and the rules shall apply to products placed on the market or put into service after 9 December 2026.

Among other important changes, one of the key elements of the new PLD is that in the future it will also cover softwares by broadening the definition of product.

The question arises: how will the extended Product Liability Directive be applied to AI systems or AI models (especially that the AI Liability Directive, initiated by the Commission at the same time as the new PLD, has yet to be adopted)?

A közelmúltban kihirdetésre került az új termékfelelősségi irányelv (2024/2853 irányelv), amely megújítja, a korábbi, az 1985-ben elfogadott  irányelvvel kialakított termékfelelősségi rendszert. A tagállamoknak 2026. december 9-ig kell az irányelv rendelkezéseit átültetniük a nemzeti jogukba és az irányelvben szereplő szabályok a 2026. december 9. után forgalomba hozott vagy használatba vett termékekre alkalmazandók. 

Több fontos újdonság mellet az új szabályozás egyik kiemelt eleme, hogy a jövőben - a termék fogalmának kibővítése révén - a szoftverekre is kiterjed majd.

Adja magát a kérdés: miként lesz alkalmazható a kiterjesztett hatályú termékfelelősségi irányelv az MI-rendszerek, illetve MI-modellek tekintetében (különösen úgy, hogy az új termékfelelősségi irányelvvel egy időben kezdeményezett MI-felelősségi irányelv elfogadása egyelőre várat magára)?  

A közelmúltban hatályba lépett és több lépcsőben alkalmazandóvá váló MI Rendelet mellett az Európai Bizottság 2022. októberében két irányelvre vonatkozó javaslatot tett, amelyeknek a mesterséges intelligencia rendszerek tekintetében is komoly relevanciája van. Egyrészt a hibás termékekért való felelősségre (termékfelelősség) vonatkozó irányelv (85/374/EEC) felülvizsgálatát, másrészt a mesterséges intelligencia alkalmazásával összefüggésben felmerülő szerződésen kívüli károkozás szabályainak harmonizálását javasolták.

Az MI-vel kapcsolatos felelősségre vonatkozó szabályokat tartalmazó irányelv tárgyalása viszont időközben némileg elakadt és az is kérdésként merült fel, hogy egyáltalán szükséges-e további szabályozás e téren és ha igen, akkor pontosan milyen tartalommal. Az Európai Parlament által megrendelt és most megjelent hatásvizsgálat kimozdíthatja az MI-vel kapcsolatos felelősségre vonatkozó irányelvet övező diskurzust a holtpontról és kijelölheti a további egyeztetések irányát is. Az alábbiakban röviden bemutatom a kiegészítő hatásvizsgálat legfontosabb megállapításait, illetve azt, hogy milyen irányt vehet az MI felelősségi irányelvet érintő szabályozás a hatásvizsgálatban foglaltak alapján.  

Az Európai Unió hivatalos lapjában megjelent az új termékfelelősségi irányelv (2024/2853 sz. irányelv a hibás termékekért való felelősségről és a 85/374/EGK tanácsi irányelv hatályon kívül helyezéséről), amely - a legutóbb 1999-ben felülvizsgált - 1985 óta hatályban lévő korábbi irányelvet (85/374/EGK) váltja fel. Az irányelv a kihirdetést követő 20. napon (december 8.) lép hatályba és a tagállamoknak 2026. december 9. napjáig kell a nemzeti jogukba átültetniük. Az irányelvben szereplő szabályok a 2026. december 9. után forgalomba hozott vagy használatba vett termékekre alkalmazandók. (A korábbi irányelv 2026. december 9-én hatályát veszti, de továbbra is alkalmazandó marad az ezen időpont előtt forgalomba hozott vagy használatba vett termékekre.)

The AI Act entered into force on 1 August 2024 and its provisions on AI governance (Chapter VII) will apply from 2 August 2025. The AI governance on the EU level includes the AI Office, the European Artificial Intelligence Board, an advisory forum and a scientific panel of independent experts should also be established. 

At the same time, on the national level, Member States are responsible for implementing and enforcing the AI Act. Each Member State shall establish or designate as national competent authorities at least one notifying authority and at least one market surveillance authority for the purposes of the AI Act (Art. 70 AI Act). Member States shall communicate to the Commission the identity of the notifying authorities and the market surveillance authorities and the tasks of those authorities, as well as any subsequent changes thereto. Member States shall designate a market surveillance authority to act as the single point of contact for the AI Act, and shall notify the Commission of the identity of the single point of contact. The Commission shall make a list of the single points of contact publicly available.

A francia adatvédelmi hatóság (CNIL) mobilalkalmazások fejlesztésére vonatkozó útmutatót tett közzé azzal a céllal, hogy elősegítse az adatvédelmi szabályoknak megfelelő alkalmazásfejlesztést (a teljes útmutató egyelőre francia nyelven érhető el).

A téma fontosságát nehéz túlbecsülni, hiszen a mobilalkalmazások az egyik legfontosabb eszközei a digitális tartalmak és szolgáltatások elérésének. Ráadásul a mobilalkalmazások fejlesztését és felhasználók számára elérhetővé tételét biztosító ökoszisztéma egyre összetettebb és így könnyen átláthatatlanná válhat a felhasználók számára, hogy az adataikat milyen folyamatok szerint, milyen célból, kik és hogyan kezelik. Fontos tisztázni tehát, hogy az egyes szereplőknek milyen minimális követelményeknek kell megfelelniük, illetve ezen túlmenően is, milyen jó gyakorlatok állnak rendelkezésre, amelyek a megfelelést teljesebbé tehetik. 

Fontos kielemni, hogy az útmutató a GDPR-nak és az elektronikus hírközlési adatvédelmi irányelvnek (adatvédelmi követelményeknek) való megfelelésre fókuszál és nem érinti az egyéb jogszabályi követelményeknek (pl. fogyasztóvédelem, digitális piacokról szóló rendelet, stb.) való megfelelés kérdéseit. (Ugyanakkor a CNIL az útmutató kapcsán egyeztetett a francia versenyhatósággal, az ADLC-vel is, mivel az elmúlt években egyre inkább világossá vált az adatvédelem és a versenyjog közötti kölcsönhatás, jelentős mértékben éppen az online térben zajló folyamatokra és megjelenő üzleti modellekre tekintettel.)

Az adatkezelő személyének változásával járó jogügyletek ("eszközértékesítések") során gyakran merül fel a kérdés, hogy a személyes adatokat tartalmazó adatbázisokhoz miként biztosítható hozzáférés, hogyan továbbíthatók az adatok úgy, hogy közben az adatvédelmi szabályoknak megfelelően járjon el az adatkezelő. A témával kapcsolatban több NAIH állásfoglalást is olvashattunk már korábban, illetve a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz; DSK) néhány éve - röviden - szintén foglalkozott a kérdéssel. A napokban a DSK egy újabb állásfoglalással (2024. szeptember 11.) jelentkezett a téma kapcsán, amely már részletesebben, adatkategóriákra és az adatbázisban szereplő adatok életciklusára lebontva mutatja be, hogy milyen adatvédelmi szempontokat kell figyelembe venni az eszközértékesítésekhez (asset deal) kapcsolódó adattovábbítások során.     

Az alábbiakban nézzük meg röviden, hogy mely szempontokra hívja fel a figyelmet a frissen publikált állásfoglalás az eszközértékesítések során felmerülő adattovábbítási kérdésekkel kapcsolatban.

A személyes adatok kezelésével járó tudományos kutatások kapcsán elsődleges kérdés, hogy a GDPR alkalmazása során mit tekinthetünk tudományos kutatásnak, mely esetekben alkalmazhatók az erre vonatkozó speciális szabályok. A német adatvédelmi biztosok konferenciája (Datenschutzkonferenz, DSK) ebben a kérdésben ad segítséget az adatkezelőknek egy, a napokban megjelent állásfoglalásában.

Bár több helyen hivatkozik a "tudományos és történelmi kutatásra", mint adatvédelmi szempontból speciális kezelést igénylő tevékenységre, a GDPR a fogalmat nem határozza meg. 

In connection with scientific research involving the processing of personal data, the primary question is what can be considered scientific research during the application of the GDPR, and in which cases the specific rules of GDPR can be applied. Although the GDPR refers to "scientific and historical research" in several cases as an activity requiring special data protection rules for processing (see Articles 5 (1) b), e), 9 (2) j), 14 (5) b), 17 (3) d), 21 (6) and 89), the GDPR does not define the notion of "scientific research". The Conference of German Data Protection Commissioners (Datenschutzkonferenz, DSK) is assisting data controllers in this regard in a recent position paper.

Az árnyékinformatika ("shadow IT") fogalma egyáltalán nem új, évtizedes jelenségről van szó, amely a felhőszolgáltatások megjelenésével, illetve az egyre fejlettebb számítástechnikai eszközöknek a felhasználók széles körében történő elterjedésével  kapott igazán nagy lendületet (különösen az okostelefonok, illetve hordozható számítógépek, laptopok, tabletek megjelenésével - vö. az ún. "Bring Your Own Device", BYOD jelenséggel, amely szintén komoly belső szabályozási kihívásokkal jár(t) a vállalkozások számára). Újabban, leginkább a ChatGPT 2022. novemberi elérhetővé válását követően az árnyékinformatikai jelenségek egy újabb alcsoportjával a "shadow AI", azaz a nem jóváhagyott, nem ellenőrzött mesterséges intelligencia (MI) alkalmazások használatának veszélyével ismerkedhetünk.