In Part 2 of my blog series related to the preparation for the application of the AI Act, I deal with the scope of the AI Act, i.e. I examine in more detail the personal, territorial and material scope of application of the regulation. The exceptions to the scope of the regulation will also be discussed below. The question of personal, territorial and material scope is contained in Article 2 of the AI Act, so I will start from the interpretation of this Article.

1. Who is covered by the AI Act and with what territorial scope?

As I discussed in Part 1 of these series, the scope of the AI Act covers the following operators:

• provider
• deployer
• importer
• distributor
• product manufacturer
• authorised representative of non-EU providers.

In order to decide whether the AI Act should apply to the specific activities of these operators, the provisions on territorial scope should also be taken into account. With regard to the territorial scope, it is worth pointing out that a solution familiar from the GDPR will also appear in the AI Act, according to which even entities established outside the EU will have to apply the requirements of the regulation if their activities also extend to the EU (e.g. AI systems are placed on the market or put into service in the EU, or outputs produced by an AI system are used in the EU).

This extraterritorial scope should ensure that providers or deployers of AI systems placed on the market or put into service in the EU or having an impact on persons located in the EU cannot avoid the application of EU law by choosing their place of establishment. This is also referred to in the recitals to the AI Act, which stresses the need to apply the regulation to providers of AI-systems in a non-discriminatory manner, irrespective of whether they are established within the Union or in a third country, and to deployers of AI systems established within the Union, in order to ensure a level playing field and an effective protection of rights and freedoms of individuals across the Union (see Recital (21)).

Az MI Rendeletre való felkészüléshez kapcsolódó sorozat 2. részében az MI Rendelet hatályával foglalkozom, azaz azt vizsgálom meg részletesebben, hogy milyen személyi, területi és tárgyi hatállyal kell alkalmazni a rendeletet. (Az időbeli hatály kérdésével a sorozat 1. részében már foglalkoztam röviden.) Kitérek arra is, hogy a rendelet hatálya alól milyen kivételek kerülnek megállapításra. A személyi, területi, tárgyi hatály kérdését az MI Rendelet 2. cikke tartalmazza, így az alábbiakban ebből indulok ki.  

The legislative process on artificial intelligence (AI) in the European Union has reached an important milestone, after the EU Council approved the final text of the AI Act on 21 May, so the AI Act can enter into force shortly, 20 days after its publication in the Official Journal.

As a general rule, the AI Act provides a 24-month grace period after its entry into force (i.e. until 02.02.2026, the requirements set out in the regulation become applicable after the expiry of this period), but there are important exceptions:

• 6 months is provided to stop the so-called prohibited AI practices (Chapter 1 - General provisions and Chapter 2 - prohibited AI practices become applicable 6 months after AI Act´s entry into force, i.e. after 02.02.2025),
• the AI Act provides 12 months (i.e. until 02.08.2025) for preparing for the application of the rules related to general purpose AI systems (see in particular Chapter V), for designating and setting up authorities and organisational systems that play a key role in the implementation and enforcement of the AI Act (see e.g. Chapter 3, Section 4, Chapter VII) and for sanctions (Chapter XII) to become applicable;
• the provisions of Article 6(1) concerning classification rules for high-risk AI systems and the related obligations will apply 36 months after AI Act´s entry into force (i.e. until 02.08.2027).

Given that the preparation and application of the AI Act will be a challenging task for businesses and other organizations, I will try to present certain provisions of the AI Act in more detail in the below and also in further posts, covering the details essential for the application of this new law in practice. In this post, I discuss the expected impact of the adoption of the AI Act, the first steps of preparation, and who will be obliged to comply with the adoption of the AI Act.

Fontos mérföldkőhöz érkezett a mesterséges intelligenciát (MI) érintő jogalkotási folyamat az Európai Unióban, miután május 21-én az EU Tanácsa is jóváhagyta az MI Rendelet végleges szövegét, így rövidesen, a Hivatalos Lapban történő kihirdetést követő 20. napon hatályba léphet az MI Rendelet.

Az MI Rendelet a hatályba lépést követően - főszabály szerint - 24 hónapot biztosít (2026.08.02-ig) a felkészülésre (azaz ennyi idő elteltével válnak alkalmazandóvá a rendeletben meghatározott követelmények), de ez alól vannak fontos kivételek: 

• az ún. tiltott MI gyakorlatok (5. cikk) beszüntetésére 6 hónap áll rendelkezésre (az MI Rendelet 1. fejezete - általános rendelkezések és 2. fejezete - tiltott MI gyakorlatok válnak alkalmazandóvá 6 hónappal  a hatályba lépést követően, azaz 2025. február 2-án),   
• az általános célú MI-rendszerekkel kapcsolatos szabályok (lásd különösen az V. fejezetet) alkalmazására való felkészüléshez, az MI Rendelet végrehajtásában kulcsszerepet játszó hatóságok, szervezetrendszer kijelölésére, felállítására (lásd pl. 3. fejezet, 4. szakasz, VII. fejezet), valamint a szankciók (XII. fejezet) alkalmazandóvá válására 12 hónapot biztosít az MI Rendelet (ez a határidő 2025. augusztus 2-ig tart),  
• a nagy kockázatú MI-rendszerekre vonatkozó besorolási szabályokat érintő, a 6. cikk (1) bekezdésében szereplő rendelkezéseket és az ehhez kapcsolódó kötelezettségeket a hatályba lépéstől számított 36 hónap elteltével kell majd alkalmazni (azaz 2027. augusztus 2-től). 

Tekintettel arra, hogy az MI Rendeletre történő felkészülés és annak alkalmazása nagyon széles körben jelent majd feladatot a vállalkozások, egyéb szervezetek számára, így az alábbiakban és további posztokban igyekszem majd az MI Rendelet egyes rendelkezéseit alaposabban, a jogalkalmazás, illetve a gyakorlat számára lényegi részletekre kitérve bemutatni. Jelen posztban az MI Rendelet elfogadásának várható hatására, a felkészülés első lépéseire és arra térek ki, hogy az MI Rendelet elfogadása, kiknek jelent majd megfelelési kötelezettséget. 

A szövetségi szintű adatvédelmi szabályozás gondolata rendszeresen felmerül az Egyesült Államokban, aztán - időről-időre benyújtott törvényjavaslatok (pl. "Safe Data Act" törvényjavaslat 2021-ben, vagy az ún. "ADPPA" törvényjavaslat 2022-ben, illetve  további, elfogadásra nem került javaslatok böngészhetők itt) és hosszas diskurzus után - tipikusan kevés előrehaladást tapasztalhatunk a területen. Mindeközben a tagállami szintű adatvédelmi szabályozás egyre több helyen kerül elfogadásra és teszi az adatvédelmi megfelelést komoly kihívássá az Egyesült Államokban, hiszen - számos hasonló pont ellenére - a tagállami szintű szabályok jelentős számú eltérést is mutatnak, mind hatályukat, mind a konkrét követelményeiket tekintve.  

Most újra felcsillant a remény egy szövetségi szintű adatvédelmi szabályozás elfogadására, miután a Szenátusban kétpárti javaslatként benyújtásra került az ún. American Privacy Rights Act (rövidítve: "APRA"). 

Az Európai Bíróság - március 14-i ítéletében - egyértelműen kimondta, hogy a tagállami adatvédelmi hatóság a GDPR-ból fakadó  hatáskörének gyakorlása során jogosult arra, hogy az adatkezelőt vagy az adatfeldolgozót a jogellenesen kezelt személyes adatok törlésére utasítsa, akkor is, ha az érintett nem terjesztett elő erre irányuló kérelmet.

1. A döntés előzménye 

Újpest Önkormányzata 2020 februárjában úgy döntött, hogy a Covid19‑világjárvány veszélyeztetett csoportjába tartozó, bizonyos jogosultsági feltételeknek megfelelő kerületi lakosok részére támogatást biztosít. A jogosultsági feltételek megállapításához szükséges személyes adatok beszerzése érdekében a Magyar Államkincstárhoz és Budapest Főváros Kormányhivatala IV. Kerületi Hivatalához fordult. A kért adatok közé tartoztak - többek között - a természetes személyazonosító adatok és a társadalombiztosítási azonosító jel. A megkeresett szervek az adatkéréseket teljesítették. (Lásd ítélet 13-14. pontok)

A NAIH - közérdekű bejelentés alapján - indított eljárást, amaly eljárásban hozott határozatában megállapította, hogy Újpest Önkormányzata megsértette a GDPR 5. és 14. cikkének több rendelkezését, valamint a 12. cikk (1) bekezdését. A fentiekre tekintettel a NAIH - a GDPR 58. cikke (2) bekezdésének d) pontja alapján - utasította Újpest Önkormányzatát, hogy törölje azoknak az érintetteknek a személyes adatait, akik jogosultak lettek volna a támogatást igénybe venni, de azt nem kérték. (Lásd ítélet 16-17. pontok)

In its recent judgment, the European Court of Justice found that IAB Europe, as the sectoral organisation of the digital advertising market, qualifies as a joint controller by defining and applying the framework established to manage data processing consents for the display of online advertising.

It has been established that, as a sectoral organisation, IAB Europe exercises influence over the processing of the personal data concerned and therefore determines, together with its members, the purposes and means of such processing. In the following, I highlight some of the findings of the CJEU judgment on joint controllership, which may have implications beyond the digital advertising market. (In addition to the question on joint processing, the other question concerned the concept of personal data.)

Az Európai Bíróság frissen publikát ítéletében megállapította, hogy az IAB Europe, a digitális hirdetési piac ágazati szervezeteként közös adatkezelőnek minősül az online hirdetések megjelenítéséhez szükséges adatkezelési hozzájárulások kezelésére létrehozott szabályozási keret meghatározása és alkalmazása révén. Megállapításra került ugyanis, hogy ágazati szervezetként, az IAB Europe befolyást gyakorol az érintett személyes adatok kezelésére, és ennélfogva tagjaival együtt meghatározza az ilyen adatkezelés céljait és eszközeit. 

Az alábbiakban az EUB ítéletének a közös adatkezelés vonatkozásában tett néhány megállapítását emelem ki, amelyeknek talán a digitális hirdetési piacon túlmenően is jelentősége lehet.

(Az ítélet egyébként két kérdésben ad iránymutatást, egyrészt a közös adatkezelői minőség vonatkozásában, másrészt a személyes adat fogalmának meghatározása kapcsán. Ez utóbbi kérdést jelent posztban nem tárgyalom részletesebben, de azt érdemes rögzíteni, hogy a Bíróság megerősítette a korábbi értelmezést, amikor kimondta, hogy egy betűk és karakterek kombinációjából álló lánc, amely egy felhasználónak a rá vonatkozó adatok kezeléséhez való hozzájárulásával kapcsolatos preferenciáit tartalmazza személyes adatnak minősül, amennyiben észszerű eszközökkel összekapcsolható egy azonosítóval, mint például az említett felhasználó készülékének IP‑címével, és így lehetővé teszi az érintett személy azonosítását. A személyes adatnak minősítést nem befolyásolja az a körülmény, hogy az e lánccal rendelkező ágazati szervezet külső hozzájárulás nélkül nem tud a tagjai által az általa megállapított szabályok keretében kezelt adatokhoz hozzáférni, és nem is tudja az említett láncot más elemekkel összekapcsolni.)  

The upcoming Artificial Intelligence Act (AI Act) in the EU provides an important role to a new unit, the European Artificial Intelligence Office (AI Office) within the European Commission in the enforcement of the AI Act, especially regarding general-purpose AI systems and also in the implementation of the AI Act, also in cooperation with the governance bodies in Member States. The AI Office was established by the Commission in an implementing decision that became effective on February 21, 2024. 

A NAIH ismét foglalkozott az ügyvédi titok és a hozzáférési jog egymáshoz való viszonyával. Korábban, egy állásfoglalásban már tárgyalta a kérdést. 

1. Tényállás

A kérelmező azért fordult a Hatóságoz, mert a hozzáférési kérelmére az adatkezelőtől (ellenérdekű fél ügyvédje) nem kapott választ.

A Hatóság által megkeresett adatkezelő (ügyvéd) előadta, hogy őt az ügyvédi tevékenységről szóló 2017. évi LXXVIII. törvény (Üttv.) 9. §-a szerint titoktartási kötelezettség terheli, amely - véleménye szerint -  abszolút kötelezettség, és az üggyel kapcsolatos minden adatra kiterjed.