In recent weeks, negotiations over the Regulation on Artificial Intelligence (AI Act) filled the news that finally led a hard-won political deal. However, this is not the only legislative topic that seems to be coming to an agreement at EU level. A political agreement was reached between the European Parliament and the Council on the so-called Cyber Resilience Act. 

Az elmúlt hetekben a mesterséges intelligencia rendelet (AI Act) körüli, éjszakába nyúló egyeztetések és végül a nagy nehezen összehozott politikai egyezség töltötték ki a híreket. Nem ez volt azonban az egyetlen jogalkotási téma, ami uniós szinten révbe érni látszik. Politikai egyezség született ugyanis a Parlament és a Tanács között az ún. kiberreziliencia jogszabály (Cyber Resilience Act) tekintetében is. 

A mesterséges intelligencia (MI) használata kapcsán számos esetben botlunk személyes adatok kezelését érintő kérdésekbe. A különböző MI rendszerek fejlesztése, tanítása, tesztelése, használata ugyanis gyakran személyes adat kezelésével jár. Nem véletlen, hogy az elmúlt időszakban az adatvédelmi hatóságok figyelme is az MI-vel összefüggő adatkezelési kérdések felé fordult. Ez megjelenik egyrészt az alakuló joggyakorlatban, illetve az egymás után publikált iránymutatásokban, ajánlásokban is. 

Érdekes állásfoglalást tett közzé a napokban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az oktatási intézmények által az osztálytalálkozót szervezők részére történő adattovábbítás lehetősége kapcsán. A rövid állásfoglalás az adattovábbítás tekintetében szóba jöhető jogalapokat (hozzájárulás; közfeladat ellátása; jogos érdek) vizsgálja és lényegében arra jut, hogy az osztálytalálkozó szervezése céljából az oktatási intézmény nem továbbíthat személyes adatokat a szervezők fel. 

A fentiekre tekintettel a Hatóság nem azonosított megfelelő jogalapot arra vonatkozóan, hogy az oktatási intézmény továbbítsa a szervező számára a volt osztálytársai személyes adatait kapcsolatfelvételi eljárás céljából, ilyen közfeladata az oktatási intézménynek nincsen, a volt osztálytársak hozzájárulásának beszerzése lehetetlen* és a szervező, mint harmadik fél jogos érdekének valós mérlegelésére sincs módja az oktatási intézménynek. (Állásfoglalás, 3. o. kiemelés tőlem)

(*A hozzájárulás beszerzésének a lehetetlenségére vonatkozó állítás önmagában érdekes, hiszen általánosságban nem lehet kijelenteni, hogy nem szerezhető be ("lehetetlen" beszerezni) hozzájárulást az adatkezeléshez. Az adatkezelő feladata és felelőssége, hogy a jogszerű adatkezelés feltételeit biztosítsa, beleértve a hozzájárulás, mint jogalap alkalmazása esetén szükséges feltételeknek való megfelelést. Mivel a NAIH ezzel a kérdéssel lényegében nem foglalkozik, arra hivatkozva, hogy a hozzájárulások beszerzése "lehetetlen", az alábbiakban én is inkább a jogos érdekkel kapcsolatos megállapításokat veszem górcső alá.) 

Az online világban az egyik leggyakrabban, bár szinte észrevétlenül alkalmazott jogszabály, az ún. e-Privacy irányelv, amely - sok más mellett - a végberendezéseken (pl. számítógép, laptop) történő adattárolás, és a tárolt adatokhoz való hozzáférés kérdését szabályozza. A legtöbbször a sütik alkalmazása kapcsán kell(ene) érvényesülnie a szabályozásnak, ugyanakkor számos más technológiai megoldás is felmerülhet, amely szintén az irányelv 5. cikk (3) bekezdése alá tartozik (pl. pixelek). Az Európai Adatvédelmi Testület friss, egyelőre konzultációra közzétett iránymutatása éppen emiatt született, hogy az irányelv kérdéses cikkének a technikai értelemben vett alkalmazási körét vizsgálja és újabb technológiai megoldások tekintetében egyértelműsítse.   

Irányelvi rendelkezésről lévén szó, természetesen az egyes uniós tagállamokban, a tagállami jogszabályokba átültetett rendelkezések érvényesülnek közvetlenül, de ezek tartalma tekintetében az irányelvben foglaltaknak kell érvényesülniük. 

A személyes adat fogalmának értelmezését illetően hosszú ideje dúl éles vita arról, hogy az "azonosíthatóság" határainak meghúzásakor meddig lehet és kell elmenni. Ez pedig elvezet a személyes adat fogalmának relatív és abszolút értelmezését képviselő különböző megközelítésekhez (ehhez kapcsolódóan lásd ezt a korábbi bejegyzést). 

A fentiekkel kapcsolatban is érdekes az Európai Bíróság friss döntése (C‑319/22. sz. ügy), amely  a jármű‑azonosító szám (VIN) személyes adat jellegének vizsgálatát is érintette.

A mesterséges intelligenciát érintő szabályozás a figyelem középpontjában áll, hiszen néhány napja jelent meg az Egyesült Államok elnökének rendelete az MI szabályozása kapcsán, az EU-ban pedig gőzerővel zajlik az MI-re vonatkozó rendelet szövegének a véglegesítése a Parlament, a Tanács és a Bizottság közötti egyeztetések (trilógus) keretében.  

A jogi szabályozás kapcsán mindig kulcskérdés, hogy a szabályozás mire vonatkozik, mi a tárgya, a hatálya, mit kell pontosan érteni a fogalmak alatt, amelyeket a szabályozás használ. Az alapvető fogalmi meghatározások, azok pontossága vagy éppen pongyolasága, illetve értelmezése jelentősen befolyásolhatja, hogy mikor és mire kell alkalmazni egy adott jogszabályt.

Sokszor egészen egyszerű jelenségek precíz fogalmi meghatározása sem egyszerű, még inkább így van ez olyan fogalmak esetében, amelyek nagyon összetett jelenségeket érintenek. A mesterséges intelligencia éppen egy ilyen, nagyon nehezen vagy máshonnan nézve, nagyon sokféleképpen meghatározható fogalom, hiszen alapvetően egy gyűjtőkategória, amely számos különböző technológiát fog össze. 

Regulation concerning artificial intelligence is in the spotlight, as the Executive Order of the President of the United States on AI was published on October 30, and the text of the AI Act is being finalized in the EU in the framework of negotiations (trilogue) between the Parliament, the Council and the Commission.  

When it comes to legal regulation, it is always a key question what the given regulation refers to, what is its object, scope, and what exactly should be understood by the terms used by the regulation. Basic definitions, their precision, or even their vagueness or interpretation can have a significant influence on when and for what a given regulation applies.

It is often difficult to define very simple phenomena precisely, even more so in the case of concepts that involve very complex phenomena. Artificial intelligence is just such a concept, which is very difficult to define or it can be defined in many different ways, since it is basically an umbrella category that brings together many different technologies. 

Újabb mérföldkőhöz érkezett tegnap az uniós "adatjogi" jogalkotás. Az Európai Parlament elfogadta az ún. adatmegosztási rendeletet (Data Act), amely a Tanács általi - a Parlement és a Tanács közötti korábbi politikai megállapodás révén borítékolható - elfogadást követően, kihirdetésre kerülhet az EU Hivatalos Lapjában, majd a kihirdetést követő 20. napon hatályba is léphet. (A Parlament által elfogadott szöveg angolul elérhető itt, magyarul pedig itt.)

A Data Act alkalmazására lesz idő felkészülni, mert a kihirdetést követően 20 hónap áll majd rendelkezésre a felkészüléshez (egyes kötelezettségek kapcsán még több idő áll majd rendelkezésre a felkészülésre). A kihirdetés pontos idejétől függően 2025. második felétől lesz tehát vélhetően alkalmazandó a jogszabály.

Another milestone was reached yesterday in EU legislation on "data law". The European Parliament adopted the Data Act, which, once formally approved also by the Council, could be published in the Official Journal of the EU and enter into force on the 20th day following publication. (The text adopted by the Parliament is available here.)