Az elmúlt napokban számos cikket olvashattunk, miszerint az Európai Adatvédelmi Testület (EDPB) döntésével megtiltja a Meta-nak, hogy a Facebook és az Instagram szolgáltatásokkal összefüggésben személyes adatokat használjon a célzott hirdetésekhez (lásd például itt, itt, itt és itt). A Testület döntéséről azt követően érkezett a hír, hogy a Meta - hivatalosan is - bejelentette, miszerint fizetős opcióként lehetőséget biztosít a felhasználóknak a Facebook és Instagram szolgáltatások reklámmentes igénybevételére. 

A személyre szabott hirdetések és a célzáshoz felhasznált személyes adatok, illetve az ehhez szükségszerű profilozás már hosszú ideje komoly vita tárgyát képezi az EU-ban, különösen a GDPR alkalmazandóvá válása óta. A Meta a Facebook és Instagram szolgáltatások révén különösen a célkeresztben volt és - a Meta tekintetében az EU-ban vezető hatóságként eljáró ír adatvédelmi hatóságtól (DPC) - a társaság az elmúlt két évben több, nagyon jelentős összegű bírságot is kapott, beleértve a GDPR alapján kiszabott bírságok közül eddig rekordnak számító 1.2 milliárd euró összegű bírságot is. 

On October 30, 2023, US President Biden signed an Executive Order (EO) on Artificial Intelligence. The adoption of this EO marks an important milestone in regulating AI, even if it is not a comprehensive legislation regarding its subject matter, however, it covers very important aspects of AI development, including AI safety and security and building infrastructure for AI development in the US. (A fact sheet about the main points of the EO is available here.)

Az MI rendszerek használata kapcsán az egyik gyakran emlegetett kihívás az átláthatóság kérdése. Sokszor merül fel kritikaként ugyanis, hogy a modellek működése egy ún. "fekete doboz" (black box), nem tudjuk, illetve sokszor nem értjük pontosan mi játszódik le a "motorháztető alatt". 

Az MI alkalmazásával kapcsolatban azonban felmerül egy más jellegű transzparencia probléma is: az MI rendszereket fejlesztő - jellemzően nagy technológiai vállalatok - nem mindig tesznek meg mindent azért, hogy átláthatóvá tegyék a modelljeik működését, megfelelően tájékoztatássák az érintetteket. Ez a tendencia ráadásul, az utóbbi időben az éleződő verseny miatt, tovább erősödött, amelynek a szélesebb közvélemény is kárát látja, hiszen az MI megoldások használatának rohamos terjedését tapasztalhatjuk, mindeközben egyre kevésbé láthatjuk át, mi is történik valójában, milyen adatokkal tanították a rendszert, miként kezelik az adatokat, hogyan jön létre az a kimeneti eredmény, amellyel találkozunk. 

A mesterséges intelligencia (MI) rendszerek fejlesztése során sok fejtörést okozhat, miként történhet az adatvédelmi szabályoknak megfelelően a fejlesztés. Az adatvédelmi követelmények alkalmazása során számos kihívással találkozhatnak a fejlesztők, amelyekre még kevés kézzelfogható iránymutatás áll rendelkezésre. Éppen ezért jelentős mérföldkő, hogy - a mesterséges intelligencia témák kapcsán egyébként is igen akítv - francia adatvédelmi hatóság (CNIL) október 16-án közzétett egy praktikus ("how-to") útmutatót a GDPR-nak is megfelelő MI fejlesztések előmozdítása érdekében. (Az útmutató november 16-ig véleményezhető, ezt követően a visszajelzések feldolgozását követően nyeri el majd a végleges formáját.)   

Az álnevesítés alkalmazása kapcsán számos esetben találkozhatunk félreértésekkel, amelyek gyakran abból a - téves - megközelítésből erednek, hogy az adatok az álnevesítéssel elveszítik személyes adat jellegűket és így már nem alkalmazandók rájuk az adatvédelmi szabályok. Ezzel szemben fontos rögzíteni, hogy az álnevesített adatok személyes adatnak minősülnek és ennek megfelelően kell ezeket kezelni. 

A NAIH által a közelmúltban közzétett határozat éppen az álnevesítés kérdésével és az álnevesített adatokat érintő hozzáférési jog gyakorlásával foglalkozik. 

Az emailezés a mindennapok szerves részévé vált, igaz ez a munkavégzésre és a munkán kívüli tevékenységekre egyaránt. Egy felmérés szerint 2023-ban naponta (!) közel 350 milliárd email kerül elküldésre és ez a szám az elkövetkező években tovább növekedhet (éves szinten kb. 4%-al).

Az emailek - a küldő és címzett(ek) email címén (lásd a Kúria 2023-ban közzétett ítéletét a témához) túlmenően is - sok esetben személyes adatokat tartalmaznak. Éppen ezért kiemelten fontos, hogy milyen módon valósulnak meg az emailezés során az adatvédelmi követelmények. (Az emailek és a titkosítás kapcsolatáról és az ez erre irányuló hatósági gyakorlatról itt írtam korábban.)    

A brit adatvédelmi hatóság (ICO) a közelmúltban egy praktikus útmuatót tett közzé a vállalkozások részére, amely a tömeges email küldés kapcsán ad eligazítást az adatvédelmi követelményeknek való megfeleléshez. 

Alkalmazandóvá vált az adatkormányzási rendelet (Data Governance Act, DGA), amely az európai adatgazdaság előmozdítására tett intézkedések egyik fontos szabályozási eleme. A rendeletet még 2022. nyarán fogadták el és a 15 hónapos felkészülési időt követően szeptember 24-én megkezdődött a rendelet alkalmazásának "éles üzeme".

Az elmúlt években egyre látványosabban alakulnak át a közlekedéshez használt járművek négy (esetleg több, néha kevesebb) keréken guruló számítógépekké. Az összekapcsolt vagy okos járművek rengeteg adatot gyűjtenek a működésük során és az adatgyűjtés nem korlátozódik a használójukra, hanem érinti a szűkebb vagy tágabb környezetüket is. Ez az adatgyűjtés pedig csak fokozódni fog, hiszen olyan technológiai megoldások fejlesztése és tesztelése van jelenleg is folyamatban (pl. különböző önvezető funkciók), amelyek rengeteg adatot gyűjtenek és dolgoznak fel. 

A hálózatba kapcsolt járművek és a mobilitáshoz kapcsolódó adatkezelések kérdése az Európai Adatvédelmi Testület látókörébe is bekerült, és a Testület külön iránymutatásban foglalkozott a témával. A Testület iránymutatása is jól mutatja, hogy a gépjárművekkel összefüggő adatkezelés milyen összetett ökoszisztémába ágyazódik és milyen szerteágazó felhasználási módjai lehetnek a gyűjtött adatoknak. (Érdekes információkat találhatunk a témáról a FIA "MyCar MyData" projektje keretében.) 

Az ilyenfajta adatkezelés egy olyan összetett ökoszisztémán belül zajlik, amely nem korlátozódik pusztán a gépjárműipar hagyományos szereplőire, hanem formáját a digitális gazdasághoz tartozó új szereplők megjelenése is alakítja. Ezek az új szereplők olyan szórakoztatást és tájékoztatást célzó szolgáltatásokat nyújthatnak, mint például az online zenelejátszás vagy az útviszonyokkal kapcsolatos és közlekedési információk biztosítása, illetve olyan vezetéstámogató rendszereket és szolgáltatásokat kínálhatnak, mint a robotpilóta-szoftverek, járműállapot-jelentések, a használatalapú biztosítás vagy a dinamikus térkép. Ezenkívül, mivel a járművek elektronikus kommunikációs hálózatokon keresztül kapcsolódnak össze, a folyamatban részt vevő közútiinfrastruktúra-kezelők és távközlési szolgáltatók szintén fontos szerepet játszanak a járművezetők és az utasok személyes adatait érintő, lehetséges adatkezelési műveletek tekintetében. (Lásd 01/2020. sz. iránymutatás 2. pont, 4. o.)

Tekintettel arra, hogy a gyűjtött és kezelt adatok köre jelentős részben személyes adat, így az adatvédelmi szabályok e tekintetben is alkalmazandók. Egy frissen megjelent elemzés, amelyet a Mozilla Privacy Not Included projektje keretében végeztek, azt mutatta, hogy a vizsgált 25 autógyártó mindegyike (!) tekintetében elkeserítően alacsony szinten van az adatvédelmi követelményeknek való megfelelés.     

In recent years, vehicles have been increasingly transformed into computers on four wheels. Connected or smart vehicles collect a lot of data in their operation and the data collection is not limited to their users, but also affects their immediate or wider environment. This data collection will only intensify, as technological solutions are currently being developed and tested (e.g. driving assistance systems, various self-driving functions, ) that collect and process a lot of data. 

A gyermekeket érintően megvalósuló adatkezelések fokozott kockázatot jelenthetnek, hiszen a gyermekek, mint az adatkezelés érintettjei tipikusan kevésbé lehetnek azon információk birtokában, amelyek az őket érintő adatkezelés esetleges kockázatainak felméréséhez és ezek kezeléséhez szükségesek. Erre is tekintettel a gyermekek személyes adatait a GDPR fokozott védelemben részesíti. (A GDPR vonatkozó rendelkezéseiről itt írtam korábban.)

Az elmúlt időszakban a GDPR gyermekek adatainak kezelésére történő alkalmazása révén egyre több esetben rajzolódik ki, hogy milyen elvárásoknak kell az adatkezelőknek a gyakorlatban megfelelniük, ha gyermekek adatait kezelik. Több konkrét jogeset, iránymutatás, illetve lezárt vagy folyamatban lévő hatósági intézkedés is jelzi a téma fontosságát. Lássunk ezek közül néhányat!