A mesterséges intelligencia (MI) előtörése amellett, hogy innovációt valósít meg a tudományban, gazdaságban és a társadalom egészében, alapvető jogainkra, különösen a személyes adataink védelméhez való jogunkra is jelentős hatást gyakorol.

Ahogy azt nemrégiben öt ország – Ausztrália, Franciaország, Dél-Korea, Írország és az Egyesült Királyság – adatvédelmi hatóságai is megerősítették, az MI a diszkrimináció, a félretájékoztatás és a hallucináció kockázatát is magában rejti, ezt pedig gyakran az adatok nem megfelelő feldolgozása okozza. Ezért egy olyan adatvédelmi keretrendszer létrehozása szükséges, amely megfelelő egyensúlyt teremt az innováció és a magánélet védelme között. Ennek megvalósítása érdekében az Egyesült Királyság és Franciaország adatvédelmi hatóságai (ICO és CNIL) is közzétettek már ajánlásokat az adatvédelem és az MI kapcsolatáról, azonban jelen írás elsődlegesen az Európai Adatvédelmi Testület (EDPB) 28/2024. számú véleményére (Vélemény) fókuszál.

Az EDPB gondoskodik a GDPR tagállamokon átívelő egységes és következetes alkalmazásáról, érvényesüléséről. Az EDPB ajánlásai, iránymutatásai és véleményei nem kötelező érvényűek, azonban tekintettel arra, hogy segítik az adatvédelmi szabályok értelmezését és alkalmazását, valamint, hogy az adatvédelmi hatóságok gyakorlatukat e dokumentumokban kirajzolt szempontrendszerek mentén alakítják, jelentőségük a gazdasági szereplők számára is vitathatatlan.

Mindenekelőtt fontos leszögezni, hogy a Vélemény nem az MI rendeletben definiált MI-rendszerekkel, hanem azok komponensei (az ún. MI-modellek) azon részhalmazával foglalkozik, amelyek személyes adatokkal történő tanítás eredményeként jött létre. A Vélemény négy fő, az MI-modell fejlesztése és használata során felmerülő adatvédelmi kérdést elemez:

• (1) Mikor és hogyan tekinthető egy MI-modell anonimizáltnak?
• (2)– (3) Hogyan képesek az adatkezelők jogos érdek jogalapra alapozni az MI-modell fejlesztési, majd alkalmazási szakaszában végzett személyes adatkezelést?
• (4) Hogyan érinti az MI-modell fejlesztése során megvalósuló jogszerűtlen személyes adat kezelés az MI-modell későbbi működésének jogszerűségét?

A következőkben a felvetett 4 kérdéskört fogjuk hosszabban elemezni.

(1) Az anonimizáltság megléte azért kulcsfontosságú, mert az anonimizált információkra nem kell alkalmazni az adatvédelem elveit, illetve a GDPR-t, hiszen pont az adott információ anonimizáltságából adódóan az érintett (vagyis az a magánszemély, akinek személyes adatait kezelik) nem lesz azonosítható, így nem valósul meg személyes adat kezelés. Az EDPB álláspontja szerint a személyes adatokkal tanított MI-modell csak akkor tekinthető anonimizáltnak, ha a fejlesztési szakaszban személyes adatok valamennyi „észszerűen valószínűsíthetően felhasználható eszközzel” történő közvetlen kinyerésének és az ilyen személyes adatok lekérdezésekből származó szándékos vagy nem szándékos megszerzésének valószínűsége jelentéktelen. A GDPR (26) preambulumbekezdése értelmében annak meghatározásakor, hogy mely eszközökről feltételezhető az észszerűen, hogy egy természetes személy azonosítására fogják használni, figyelembe kell venni többek között az azonosítás költségeit, az időigényt, az adatkezelés idején rendelkezésre álló technológiákat, valamint a technológiai fejlődést is. Tehát, annak megállapítása során, hogy anonimizált-e az MI-modell, az adatvédelmi hatóságoknak vizsgálniuk kell az MI-modell kialakítását, azaz azt, hogy:

1. hogyan került sor a tanítóadatok kiválasztására;
2. milyen adatminimalizálási és adatelőkészítési műveleteket végzett az adatkezelő – különösen, hogy történt-e álnevesítés;
3. milyen módszertannal történt a feltanítás – különösen, hogy adatkezelő megfelelő és hatékony adatvédelmi technikákat alkalmazott-e; valamint,
4. hogy milyen intézkedéseket fogadtak el az MI-modell kimeneteivel kapcsolatosan: ez olyan módszertanok halmazát jelenti, amelyek bár nincsenek hatással annak kockázatára, hogy bárki, aki közvetlenül hozzáfér az MI-modellhez, abból személyes adatokat nyerjen ki, ellenben csökkenthetik annak valószínűségét, hogy a lekérdezések révén a tanítás során használt személyes adatok kinyerhetővé váljanak.

Az MI-modell kialakításának elemzése után az adatvédelmi hatóságoknak fel kell tárniuk azt, hogy az adatkezelők megfelelően elemezték-e az anonimizáláshoz szükséges intézkedéseiket és azok hatását a lehetséges kockázatokra. Ezt követően vizsgálni szükséges az MI-modellen végzett tesztelések gyakoriságát, mennyiségét és minőségét, s végül azt is, hogy az adatkezelő mindent megfelelően dokumentált-e (adott esetben rendelkezésre áll-e adatvédelmi hatásvizsgálat, van-e az adatkezelőnek adatvédelmi tisztviselője, implementálta-e az adatkezelő a megfelelő technikai és szervezési intézkedéseket stb.).

(2)-(3) Az EDPB álláspontja szerint akkor alapozható jogos érdekre az adatkezelés mind az MI-modell fejlesztője mind használója részéről, amennyiben:

1. azonosítható egy olyan érdek, ami jogszerű, világosan és pontosan meghatározott, illetve valós (tehát nem csupán spekulatív), továbbá, hogy
2. az adatkezelés, és ezáltal az érintettek magánszférájába történő beavatkozás szükséges (azaz, csak akkor kerüljön rá sor, ha az adatkezelés céljait egyéb eszközzel észszerű módon nem lehetséges elérni) és
3. az érintettek magánszférájába történő beavatkozás arányos a meghatározott adatkezelési célok megvalósításához képest.

A (iii) kritériummal kapcsolatban a Vélemény kifejti, hogy az MI fejlesztése és alkalmazása új, még nem látott mértékű kockázatokkal jár alapvető jogainkra. Éppen ezért az arányossági mérlegelés során nagyobb felelősség hárul az adatkezelőkre. Az MI-modellekben alkalmazott komplex technológiák és az MI felhasználási lehetőségei és az egyes adatkezelési műveletek az érintettek számára gyakran átláthatatlanok, éppen ezért kulcsfontosságúvá válik az érintettek megfelelő tájékoztatása, olyannyira, hogy a GDPR-ban foglalt tájékoztatási kötelezettségnél tágabb tájékoztatást vár el az EDPB.

Az EDPB továbbá azt is kiemeli, hogy abban az esetben is, ha az érdekmérlegelési teszt eredményeképpen arra jut az adatkezelő, hogy jogos érdekének érvényesítése élvez elsőbbséget és ezáltal jogszerűen kezelhet személyes adatokat, ajánlott beépítenie kockázatcsökkentő intézkedéseket a rendszereibe, ugyanis az adatvédelmi hatóságok ezen intézkedések megfelelőségét fogják elsőkörben vizsgálni akkor, amikor azt elemzik, hogy az adatkezelésre jogszerűen került-e sor.

Az EDPB kiemelten foglalkozik az adatminimalizálás követelményének érvényesülésével, és ezzel összefüggésben a web scraping problémájával is. Az ún. web scraping jelenség az olyan nyilvános online forrásokból – így például közösségi médiák, fórumok, nyilvános weboldalak – történő információgyűjtést jelenti, amelyek személyes adatokat tartalmazhatnak. Az adatkezelőknek a web scraping-ből eredő speciális kockázatok kezelése érdekében szelektálniuk kell a gyűjtendő adatok között és kerülniük kell a sérülékeny csoportokra vonatkozó információk gyűjtését. Tehát megállapítható, hogy az EDPB nem tartja ab ovo jogellenesnek a web scraping-et, hanem többletkövetelményeket támaszt az azt alkalmazó adatkezelő felé. Végül, fontos kiemelni, hogy minden alkalmazott intézkedésnek az adott MI-modell specifikációihoz és az adatkezelő MI életciklusban betöltött pozíciójához kell igazodnia.

(4) Az EDPB arra is próbált választ adni, hogy hogyan érinti az MI-modell fejlesztése során megvalósuló jogszerűtlen személyes adatkezelés az MI-modell életciklusa során működésének jogszerűségét. Háromféle eshetőséget taglal az EDPB:

1. Az első esetben a fejlesztési szakaszban kezelt személyes adatok megőrzésre kerülnek az MI-modellben, majd ugyanezen adatkezelő (fejlesztő) használja azokat fel (pl. később az MI-modell alkalmazza ugyanezen adatkezelő). Tekintettel arra, hogy a fejlesztési és az alkalmazási szakaszban a személyes adatok kezelésére különböző adatkezelési célokból kerül sor, azt, hogy a fejlesztési szakaszban történő adatkezelés jogellenessége mennyiben érinti a későbbi adatkezelés jogellenességét, mindig eseti alapon kell értékelni. Önmagában a fejlesztés során történő adatkezelés jogellenessége nem feltétlenül eredményezi az alkalmazás során történő adatkezelés jogellenességét.
2. A második esetben az MI-modell szintén megőrzi a személyes adatokat, azonban az alkalmazója és így az adatkezelő a fejlesztőtől eltér. Ekkor az adatvédelmi hatóságoknak elsődlegesen azt kell vizsgálniuk, hogy az alkalmazó az elszámoltathatósági kötelezettsége részeként megfelelő vizsgálatot végzett-e abban a tekintetben, hogy a fejlesztés során a személyes adatkezelés jogszerűen valósult-e meg.
3. A harmadik forgatókönyv szerint a fejlesztő jogellenesen végez adatkezelést az MI-modell feltanítása során, majd azokat utólag anonimizálja, mielőtt annak későbbi alkalmazója az adatkezelést megkezdené. Ebben az esetben amennyiben bizonyítható az, hogy az MI-modell későbbi alkalmazása nem jár személyes adatok kezelésével, a GDPR nem alkalmazandó – így tehát a kezdeti adatkezelés jogellenessége nem befolyásolja az MI-modell későbbi működésének jogszerűségét. Amennyiben pedig előzetesen anonimizálták az MI-modellt, de az adatkezelő az alkalmazási szakaszban is kezel személyes adatokat, a GDPR alkalmazandó ezen utólagos adatkezelésre – tehát a fejlesztési szakaszban történő adatkezelés jogszerűsége nem befolyásolja az alkalmazási szakaszban történő adatkezelés jogi megítélését.

Összességében, a Vélemény segítséget nyújt abban az MI-modell fejlesztőinek és alkalmazóinak, hogy milyen adatvédelmi megfontolásokat kell figyelembe venniük. Azonban látnunk kell azt, hogy a Véleményben foglalt technikai és szervezési intézkedések önmagában történő implementálása nem feltétlenül elég a megfeleléshez. Így minden esetben kulcsfontosságú az, hogy az egyes érintett szervezetek eseti alapon vizsgálják meg az adott tényhelyzetet, ennek részeként mérlegeljék a GDPR-ból fakadó kötelezettségeiket is és legyenek különösen figyelemmel az átláthatóság, jogszerűség és elszámoltathatóság elveire az MI-modellek fejlesztése és alkalmazása kapcsán egyaránt.

dr. Kovács Ábel Bulcsú, ügyvédjelölt

A cikk a Wolters Kluwer Jogászvilág kiadványában is megjelent.

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez.