„A mesterséges intelligencia alkalmazása új szintre emeli az adatvédelmi kihívásokat. Az MI Rendelet és a GDPR együttes értelmezése alapján az érintettek jogainak biztosítása nem csupán jogi, hanem technológiai és kommunikációs feladat is.”
A cikksorozat első és második részében alapvetően a mesterséges intelligencia tanításával kapcsolatos egyes adatvédelmi jogi kihívásokat jártuk körül. Az utolsó, harmadik részben pedig egy későbbi fázist, az élesüzemi működést vesszük górcső alá.
Adatvédelmi kihívások a mesterséges intelligencia élesüzemi működése során
Az MI Rendelet megfogalmazásában „helyénvaló továbbá egyértelművé tenni, hogy az érintetteket továbbra is megilleti az említett uniós jog által számukra biztosított valamennyi jog és garancia, beleértve az egyedi ügyekben történő, kizárólagosan automatizált döntéshozatalhoz, többek között a profilalkotáshoz kapcsolódó jogokat is. Az MI-rendszerek forgalomba hozatalára, üzembe helyezésére és használatára vonatkozó, e rendelettel megállapított harmonizált szabályoknak meg kell könnyíteniük, hogy az érintetteket a személyes adatok és egyéb alapvető jogok védelmére vonatkozó uniós jog értelmében megillető jogok és egyéb jogorvoslatok ténylegesen érvényesüljenek, illetve lehetővé kell tenniük az említett jogok és egyéb jogorvoslatok érintettek általi gyakorlását.”[1]
A továbbiakban azt vizsgáljuk, hogy ez a hangzatos mondat milyen transzparencia-problémákat vet fel az MI tanításán túl, a már működő MI rendszerek esetében.
Mérlegelendő szempontok a transzparens adatkezelési tájékoztatás kapcsán
a) Az MI és a profilalkotás fogalmi kérdései
Korábban már utaltunk rá, hogy az átláthatóság elvét a GDPR alapelvi szinten is rögzíti.[2]
Ezt az elvi szintű szabályt a GDPR preambuluma tovább cizellálja, kiemelve, hogy az átláthatóság egyik legfontosabb elemét jelentő tájékoztatásnak könnyen hozzáférhetőnek és közérthetőnek kell lennie, azt világosan és egyszerű nyelvezettel kell megfogalmazni, szükség esetén vizuálisan is meg kell jeleníteni.[3] Kifejezetten kimondja, hogy a transzparencia különös jelentőséggel bír olyan esetekben, amikor a szereplők nagy száma és a gyakorlat technológiai összetettsége megnehezíti az érintett általi értelmezést.[4]
Az MI Rendelet és a GDPR fent idézett tartalmát egybeolvasva tehát látható, hogy adatkezeléssel érintett személynek egyrészt részletes és számára egyértelmű tájékoztatást kell kapnia arról, hogy mi történik személyes adataival, másrészt, amennyiben őt érintő (MI-alapú) profilalkotási, vagy automatizált döntéshozatali műveletek zajlanak, ezekről is világos képet kell, hogy tudjon alkotni.[5]
Ennek a követelménynek a biztosítása elsősorban a következők miatt jelent kihívást az adatkezelő oldalán.
Feltételezve, hogy sikerül az adatkezelési célt olyan módon meghatározni, hogy az egy átlagos tájékozottságú laikus számára érthető legyen (ennek kifejtését ld. a korábbi részekben), rögtön szembesülünk a következő problémával, ez pedig a GDPR profilalkotásra és automatizált döntéshozatalra vonatkozó szabályrendszere. A GDPR a profilalkotást akként definiálja, mint „személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.”[6]
A GDPR preambuluma mindezt tovább részletezi amennyiben rögzíti, hogy az érintettet arról is tájékoztatni kell, hogy a személyes adatok automatizált kezelése milyen logika alapján történt, valamint, hogy az adatkezelés – legalább abban az esetben, amikor az profilalkotásra épül – milyen következményekkel járhat.[7]
Témánk szempontjából fontos tisztázni, hogy az MI használata mikor felel meg egyben a GDPR profilalkotásra vonatkozó fogalmának is. Meglátásunk szerint ennek feltételei a következők:
- a személyes adatok automatizált kezelése valósul meg – ez egyszerűen megítélhető, hiszen az MI esetében fogalmilag kizárt, hogy a kapcsolódó adatkezelés ne automatizált legyen, hiszen az MI minden esetben valamely gépi, algoritmus-alapú rendszerben működik;
- valamely elemzési, értékelési művelet kell, hogy megvalósuljon a bevitt személyes adatok vonatkozásában – a szerző álláspontja szerint ez is teljesül, hiszen az MI működésének egyik lényegi eleme, hogy a számára elérhető – többek között – személyes adatokat számításba véve jut autonóm módon bizonyos következtetésekre;
- az előző pont szerinti műveleteknek egy adott magánszemély valamely jellemzőjéhez kapcsolódó elemzését, vagy előrejelzését kell szolgálniuk. A szerző álláspontja szerint ez a feltétel lesz az, amelynek értékelése alapján elválasztható egymástól az „MI” illetve az „MI és GDPR szerinti profilalkotás” fogalmi halmaza. Önmagában ugyanis az, hogy az MI – működésének immanens logikájából fakadóan – számításba vesz bizonyos, számára megtanított, vagy a prompt részét képező személyes adatokat, még nem feltétlenül jelenti, hogy ezt azért teszi, hogy bármely érintettre nézve a feltételben foglalt következtetést fogalmazzon meg. A lényeg tehát az elemzés célja.
Ebből adódik a következtetés, hogy bármely MI-t használó szervezetnek fundamentális jogi megfelelési kérdés lesz annak mérlegelése, hogy a fentiek alapján a tárgybeli MI „csak” MI, vagy egyben egy profilalkotó MI. Ez a feladat messze túlmutat a jogászi kompetenciákon és elengedhetetlenné fogja tenni az informatikai területtel és még inkább az adattudósokkal, adatkormányzási szakemberekkel való egyeztetést is.
b) Transzparencia kötelezettségek a „profilalkotó MI” esetében
Az MI azon felhasználási módjai, amelyek egyben profilalkotást is megvalósítanak, már a jelen cikksorozat írásakor is számosak. Ezek közül itt felsorolunk néhány példát: személyre szabott marketing, hitelbírálat, pénzügyi csalások felderítése, toborzás munkahelyekre, ügyfélszolgálati chatbotok, amennyiben azok figyelik az ügyfél reakcióit és válaszukat akár stílusában akár tartalmában ahhoz igazítják, munkavállalók ellenőrzése keretében használt MI.
Aki adatvédelmi joggal foglalkozik a gyakorlatban, az pontosan tudja, hogy a profilalkotással kapcsolatos tájékoztatás olyan módon történő megadása az érintettek számára, hogy az transzparens és az érintett számára valóban informatív legyen, már az MI nagymértékű elterjedését megelőzően is komoly kihívást jelentett az adatkezelők számára. Elegendő csak egy online viselkedésalapú marketing tevékenységre gondolnunk, amely mögött nincs MI támogatás: az érintett részére elmagyarázni, hogy egy adott webhelyen (vagy inkább webhelyeken) pontosan mely aktivitását, ki, hogyan figyeli meg és ez alapján hogyan jut el a folyamat addig a megszemélyesített reklámig, amelyet az érintett egy adott online hirdetési felületen lát nem kis feladat, különösen figyelembe véve, hogy azon érintettek számára, akik nem mozognak napi szinten informatikai, marketing, vagy technológiai jogi területen önmagában problémát jelent az olyan fogalmak értelmezése, mint pl. cookie vagy IP cím, hogy csak kettőt említsünk. Az MI ezen a helyzeten csak bonyolít. Amennyiben ugyanis komolyan vesszük a profilalkotásról való transzparens tájékoztatás követelményét, úgy azon rendszerek esetében, amelyek MI-t is használnak, egyszerűen nem lesz megkerülhető az MI belefoglalása a vonatkozó – és már anélkül is meglehetősen komplex – tájékoztatásba. Ez elsősorban a következők miatt lesz nehéz.
Először is, az érintett számára átlátható és közérthető formában el kellene magyarázni, hogy egyáltalán mi az MI, hiszen ilyen magyarázat hiányában eleve érthetetlen lesz minden további információ. Bár az MI Rendelet ad egy definíciót a mesterséges intelligenciára[8], az sok esetben még a jogászok számára is értelmezési nehézségeket okoz, az MI tágabb értelemben vett fogalmán[9] pedig napi szinten vitatkoznak informatikusok, filozófusok, teológusok[10], antropológusok és szociológusok – többek között. És ehelyütt ismét hangsúlyozzuk, az adatkezelés érintettjei nem kizárólag a TikTok-on felnőtt fiatal generáció tagjai lehetnek, hanem – jelentős részben – a korábbi, még bőven az „analóg” világban szocializálódott emberek, akik eleve idegenül mozognak az online térben, de az is lehet, hogy a számítógép bekapcsolásának módja sem magától értetődő számukra. Emiatt tehát problémát okozhat olyan módon megadni a tájékoztatást, hogy az a várható felhasználói kör jártassági, megértési, tapasztalati szintjét figyelembe véve valóban érdemi információtartalommal bírjon, különös tekintettel arra, hogy ez a felhasználói kör a legritkább esetben lesz homogén, ehelyett jellemzően mind életkor, mind szocializáció, mind technológiai ismeretek tekintetében nagyfokú diverzitást fog mutatni.
Amennyiben az adatkezelő valamilyen módon mégis érthetően bemutatja, hogy mi az MI, jön a következő kihívás: annak elmagyarázása, hogy az MI alapú profilozás pontosan milyen logika alapján működik és miért jut arra a következtetésre, amire. Itt visszautalunk az MI kapcsán meglévő black box effektusra, amely finoman szólva is kétségessé teszi, hogy az adatkezelő tud-e érdemi információkkal szolgálni az érintett számára. Az MI döntési mechanizmusainak sajátos belső logikáját ugyanis az adatkezelő, de talán még az azt programozó szakemberek sem értik teljes mértékben. [11]
A probléma aktualitását jól mutatja, hogy a cikksorozat írásakor jelent meg az Európai Unió Bíróságának állásfoglalása[12] egy ügyben, amelynek előzményei során egy osztrák állampolgártól tagadta meg egy telekommunikációs szolgáltató a mobiltelefon-használatára vonatkozó szerződésének meghosszabbítását, a rá vonatkozó, profilalkotás-alapú hitelbírálat elégtelen eredményére hivatkozva. Az állásfoglalás azt a kérdéskört tárgyalja, hogy hogyan értendő a GDPR 13. cikk (2) bekezdés f) pontja szerinti „alkalmazott logika” fordulat kapcsán a tájékoztatás terjedelme. Az állásfoglalás világossá teszi, hogy a transzparens tájékoztatás nem feltétlenül teszi szükségessé egy algoritmus valamennyi technikai részletének feltárását az érintett részére, ehelyett elegendő lehet a döntéshozatal legfontosabb szempontjairól, az egyes szempontok súlyáról és azok eredményre gyakorolt hatásáról információt nyújtani.[13] Szintén fontos következtetése az állásfoglalásnak, hogy a mesterséges intelligencia[14] algoritmusok esetén méltányolandó szempontként jelenik meg az üzleti titok védelme is[15], azonban ez nem lehet generális hivatkozási alap a GDPR szerinti tájékoztatási kötelezettség megtagadására. Ehelyett – mérlegelést követően – elegendő lehet bemutatni a mesterséges intelligencia rendszer működésének lényegét, az algoritmus tényleges részleteinek feltárását mellőzve.
A szerző álláspontja szerint az állásfoglalás előremutatónak mondható, mivel nem fogalmazza meg az algoritmus részletes feltárásának követelményét – amelyet az érintett vélhetően az esetek döntő többségében egyébként sem értene – ehelyett egy, az MI rendszert használó szervezet számára is élhető megoldást választ, ugyanakkor világossá teszi, hogy az MI-rendszernek minden körülmények között megmagyarázhatónak kell maradnia. Meglátjuk, hogy a joggyakorlatban ez a fajta értelmezés válik-e majd uralkodóvá.
Az automatizált döntéshozatal jelentette többletproblémák
A helyzet tovább bonyolódik, amennyiben a használt mesterséges intelligencia nem csupán profilalkotást, hanem automatizált döntéshozatalt is megvalósít. Az elkülönítés alapját az képezi, hogy utóbbi esetben az MI nemcsak valamely ajánlást vagy előrejelzést produkál, hanem egy, az érintettre vonatkozó és érdemi hatással bíró döntést hoz meg emberi beavatkozás nélkül.
Amellett, hogy ez esetben a profilalkotás kapcsán fentebb írt kihívások ugyanúgy fennállnak, két további nehézséggel is számolni kell: az egyik az emberi beavatkozás kérésének joga az érintett részéről, a másik pedig a különleges adatok felhasználása automatizált döntéshozatal céljából.
A GDPR szerint[16] az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna, vagy őt hasonlóképpen jelentős mértékben érintené. Ahogyan azt a 29-es Munkacsoport vonatkozó állásfoglalásában kifejti, ez a rendelkezés lényegében általános tilalmat állapít meg a kizárólag automatizált adatkezelésen alapuló döntéshozatal tekintetében, amely nem függ attól, hogy az érintett tesz-e aktív lépést a fent említett joga érvényesítése érdekében.[17] A tilalom alól kivételi esetek is vannak, amelyeket a GDPR törzsszövege[18], illetve preambuluma is cizellál,[19] amennyiben kimondja, hogy „megengedhető azonban az efféle adatkezelésen – ideértve a profilalkotást is- alapuló döntéshozatal, ha az (…) uniós vagy tagállami jog kifejezetten engedélyezi (…), vagy arra (…) szerződés megkötése vagy teljesítése érdekében van szükség, vagy ha az érintett ahhoz kifejezett hozzájárulását adta.”[20] [21] A kivételi esetekben természetesen alkalmazandó a tájékoztatási kötelezettség, amelynek ki kell térnie legalább az automatizált döntéshozatal tényére, az annak során alkalmazott logikára, illetve az érintettre várhatóan gyakorolt hatásokra, következményekre.[22] A tájékoztatás kapcsán utalunk a fentebb már kifejtett nehézségekre. Ami a jelen fejezet szempontjából érdekesebb, az az a többlet-garanciaszabály, mely szerint az érintett jogosult arra, hogy emberi beavatkozást kérjen, álláspontját kifejezze és a döntéssel szemben kifogást nyújtson be.[23]
Utóbbi jog gyakorlati biztosítása az adatkezelők részéről a következők miatt tűnik nehéznek.
Kiindulva az MI rendszerek jelentette black box problémából[24], amennyiben valamely érintett az emberi beavatkozáshoz való jogát gyakorolja, úgy az adatkezelő részéről a legtöbb esetben nem az lesz a gyakorlatban is kivitelezhető lépés, hogy tényleges „emberi beavatkozást” valósítson meg az MI rendszerben, mert ehhez „biztosítania kell, hogy a döntést érintő áttekintés érdemi és nem csak jelképes gesztus….[és] az elemzés részeként az összes releváns adatot figyelembe kell venni.” [25] Namármost, ha az adatkezelő számára eleve nem, vagy nem teljes mértékben átlátható az általa alkalmazott MI működése és hogy miért jutott a rendszer az adott döntésre, akkor ennek a kötelezettségének megfelelni lényegében lehetetlen lesz. Az adatkezelők számára tehát egyetlen lehetséges út marad, amennyiben a GDPR rendelkezéseivel összhangban kívánnak eljárni: amely érintett emberi beavatkozást kér, azt az adatkezelő teljes egészében „kiemeli” az MI-alapú döntéshozatalból, illetve az MI rá vonatkozó output-ját ignorálja. Ez persze felvetheti adatvédelmi szempontból a szükségesség arányosság kérdését, – „valójában miért is van feltétlenül szükség MI-alapú rendszer használatára a döntéshozatalhoz, ha azt anélkül is meg lehet valósítani, mint ahogyan az emberi beavatkozást kérő érintettek példája is mutatja?” – tehetné fel valaki a kérdést, de ennek további kifejtése túlmutatna a cikksorozat keretein. Az emberi beavatkozást kérő érintettek esetében alkalmazandó különös eljárások biztosításával együtt járó szervezeti és logisztikai nehézségeket pedig szintén csak ezen mondat erejéig címezzük.
Végezetül szót kell ejteni arról is, hogy az automatizált döntéshozatal bemeneti oldalán különleges adatok csak nagyon szűk kivételek fennállása esetén lehetnek: lényegében az érintett kifejezett hozzájárulása, vagy tagállami vagy uniós jog alapján, jelentős közérdekből lehetséges különleges adat-alapú automatizált döntéshozatal.[26] Amennyiben tehát az adatkezelő nem alkalmaz megfelelő előszűrést az automatizált döntéshozatal alapját képező adatkörön, vagy pl. az érintett – akár az adatkezelő kifejezett felhívása ellenére – maga visz be a rendszerbe különleges adatokat, úgy érdemi jogsértési kockázat áll fenn, amely a felügyeleti hatóságok jellemző gyakorlata alapján ráadásul az átlagosnál magasabb mértékű szankcióval is fenyeget, tekintetbe véve a különleges adatok érintettségét.
Összegezve tehát, a jogi megfelelőség biztosítása kapcsán két lépés elengedhetetlennek tűnik az adatkezelők részéről. Egyrészt csak megfelelően dokumentált MI rendszert ajánlott használniuk, amelyből a rendszer működési elve megfelelően kiolvasható, ezáltal legalább esély mutatkozik a transzparencia-kötelezettségek érintettek irányába történő teljesítésére. Nehezíti a helyzetet, hogy az MI Rendelet jelen állapotában ilyen dokumentációt csak az ún. nagy kockázatú MI rendszerek esetében követel meg.[27] Másrészt, figyelembe véve a rendszer célját és a tervezett adatkört, beható jogi elemzést igényel még a rendszer bevezetése előtt, hogy egyáltalán fennállnak-e a profilalkotás és/vagy automatizált döntéshozatal jogszabályi feltételei. Amennyiben ugyanis nem, úgy hiába felel meg adott esetben az alkalmazott MI Rendszer az MI Rendelet elvárásainak, a GDPR követelményrendszerét figyelembe véve mégis jogsértő lehet. Ezen a ponton nyer különös jelentőséget az MI Rendelet azon szabálya, amely kimondja, hogy az adott MI rendszerre vonatkozó információkat a rendszer alkalmazójának a GDPR szerinti adatvédelmi hatásvizsgálat[28] keretében is figyelembe kell vennie.[29]
Zárszó
A cikksorozatban kísérletet tettünk néhány adatvédelmi szempontból releváns probléma felvázolására az MI életciklusának két szakasza kapcsán, ideértve a tanítást, és az élesüzemi alkalmazást.
A műfaj terjedelmi korlátai nyilvánvalóan nem teszik lehetővé, hogy valamennyi az MI és az adatvédelmi jog közötti kapcsolódási pontot feltárjuk. Bár az MI – legalábbis annak olyan szintű napi alkalmazása, amelyet manapság tapasztalunk – újszerű téma, a két terület együttes értelmezése már most is könyvtárnyi fejtegetésnek adhatna teret. Itt most nem címeztünk olyan kérdéseket, mint pl. az MI tanításában és élesüzemében részt vevő egyes szereplők adatvédelmi jogi státusza (adatkezelő, adatfeldolgozó, vagy közös adatkezelő) és ennek szerződéses illetve felelősségi vonatkozásai, nem szóltunk az MI-vel kapcsolatos adatvédelmi hatásvizsgálatok nehézségeiről, az MI rendszereket érintő adatvédelmi incidensek okozta dilemmákról, a gyerekeket érintő, MI-alapú adatkezelésekről és ezek sajátos kockázatairól, az adathordozhatóság problémájáról az MI tükrében, vagy éppen a nemzetközi adattovábbítások jogszerűségéről egy MI rendszer működése során. Téma tehát akadna még bőven.
Záróüzenetként pedig álljon itt egy vicc, amelyet a Harvey nevű jogi mesterséges intelligencia „mesélt” adatvédelmi témában:
„Miért nem megy a GDPR tanácsadó a tengerpartra?
Mert fél, hogy túl sok adatot hagy a homokban!”[30] (#hahota)
A cikk szerzője dr. Csenterics András LL.M ügyvéd, technológiai jogi szakjogász, a Réti, Várszegi és Társai Ügyvédi Iroda | PwC Legal ügyvédi iroda tagja. A Réti, Várszegi és Társai Ügyvédi Iroda | PwC Legal a jogászvilág.hu szakmai partnere.
dr. Csenterics András kollégánk cikksorozata a Wolters Kluwer Jogászvilág kiadványában.
Lábjegyzetek:
[1] MI Rendelet preambulum (10)
[2] GDPR 5. cikk (1) bekezdés a) pont
[3] GDPR preambulum (39)
[4] GDPR preambulum (58)
[5] GDPR 13. cikk (2) bekezdés f) pont: [a tájékoztatás részét képezi] „a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.”
[6] GDPR 4. cikk 4. pont
[7] GDPR preambulum (63)
[8] MI Rendelet 3 cikk. 1. pont
[9] Ld. pl.: „A mesterséges intelligencia koncepciója eredetileg az emberihez hasonló, annak legtöbb tulajdonságával rendelkező mesterséges intelligencia emulálására tett kísérletet jelentette. Az „MI” kifejezést gyakran alkalmazzák az adatosztályozás során használt nagy teljesítményű eszközökre is.” Tilesch György, Omar Hatamleh: Mesterség és Intelligencia, Libri Kiadó 2021, 19. oldal.
[10] „Annak felismerése, hogy az MI fejlesztése a kialakulóban lévő technológiai fejlődés középpontjában áll, azt igényli az emberiségtől, hogy új kérdéseket vessünk fel, és átismételjük, kik is vagyunk és mit kell tennünk. E fejlődés nyomán fel kell tennünk a kérdést: hogyan ösztönözhetjük az embereket arra, hogy megváltó és részvételen alapuló módon lépjenek előre az MI és a technológiai fejlődés terén? Úgy hiszem, ennek a kulcsa, hogy aktívan arra bíztatjuk az embereket, kezdjenek az MI-re teológiai szemszögből tekinteni.” Christopher J. Benek: Az MI-t, a technológiát és a világot érintő szemléletünket formáló három teológiai modell, megjelent: Gondolatok a transzhumanizmusról – a mesterséges intelligencia etikája és hatásai, szerkesztette: Christopher Hrynkow, Pallas Athéné Könyvkiadó Kft. Budapest, 2022, 265-266. oldal.
[11] „These algorhitms are capable of learning from massive amounts of data, and once that data is internalized, they are capable of making decisions, experientially or intuitively like humans. This means that for the first time, computers are no longer merely executing detailed pre-written instructions but are capable of arriving at dynamic solutions to problems based on patterns in data that humans may not even be able to perceive. This new approach comes at a price, however, as many of these algorhitms can black boxes, even to their creators. It may be impossible to tell how an AI that has internalized massive amounts of data is making its decisions. For example, AI that relies on machine-learning algorhitms, such as deep neural networks, can be as difficult to understand as the human brain. There is no straightforward was to map out the decision-making process of these complex networks of artificial neurons. Other machine-learning algorhitms are capable of finding geometric patterns in higher-dimensional space, which humans cannot visualize. Put simply, this means that it may not be possible to truly understand how a trained AI program is arriving at its decision sor predictions.” Yavar Bathaee: The Artificial Intelligence Black Box And The Failure Of Intent And Causation” megjelent: Harvard Journal of Law & Technology Volume 31, Number 2 Spring 2018, 891. oldal
[12] C-203/22 sz. ügy (CK, Dun & Bradstreet Austria GmbH, Magistrat der Stadt Wien) https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62022CC0203
[13] „…information must enable the data subject to exercise the rights guaranteed to him or her by Regulation 2016/679 and, in particular, by Article 22 thereof. It must therefore be concise, easily accessible and easy to understand, and formulated in clear and plain language. In addition, the information must be sufficiently complete and contextualised to enable that person to verify its accuracy and whether there is an objectively verifiable consistency and causal link between, on the one hand, the method and criteria used and, on the other hand, the result arrived at by the automated decision at issue; however, the controller is not required to disclose to the data subject information which, by reason of its technical nature, is so complex that it cannot be understood by persons who do not have particular technical expertise, which is such as to preclude disclosure of the algorithms used in automated decision-making” (OPINION OF ADVOCATE GENERAL RICHARD DE LA TOUR delivered on 12 September 2024 (1) Case C‑203/22 CK Interested parties: Dun & Bradstreet Austria GmbH, Magistrat der Stadt Wien, IV. Conclusion (https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62022CC0203)
[15] Az üzleti titok védelmén túl fontos szempont az is, hogy az információk túlzott mélységű feltárása akár adatbiztonsági kockázatot is hordozhat: ld. pl.: „AI transparency, it’s important to note, can also cause problems, including the following: Hacking. AI models that show how and why a decision was made could empower bad actors. For example, attackers could use this information to take advantage of weaknesses and hack into systems.” https://www.techtarget.com/searchcio/tip/AI-transparency-What-is-it-and-why-do-we-need-it, utolsó letöltés: 2024. szeptember 30.)
[16] GDPR 22. cikk (1) bekezdés
[17]WP251 rev.01 Iránymutatás az automatizált döntéshozatallal és a profilalkotással kapcsolatban a 2016/679 rendelet alkalmazásához, 21. oldal
[18] GDPR 22. cikk (2) bekezdés
[19] GDPR preambulum (71)
[20] Hasonlóan megszorító rendelkezést tartalmaz a 2011. évi CXII. törvény 6. § is, amely szerint 6. § is amely szerint „kizárólag automatizált adatkezelésen – így különösen profilalkotáson – alapuló, az érintett személyére vagy jogos érdekeire hátrányos vagy az érintettet jelentős mértékben érintő jogkövetkezményekkel járó döntés meghozatalára kizárólag akkor kerülhet sor, ha azt törvény vagy az Európai Unió kötelező jogi aktusa kifejezetten lehetővé teszi és
a) az nem sérti az egyenlő bánásmód követelményét,
b) az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó az
ba) érintettet – kérelmére – tájékoztatja a döntéshozatali mechanizmus során alkalmazott módszerről és szempontokról,
bb) érintett kérelmére a döntés eredményét emberi közreműködés alkalmazásával felülvizsgálja, valamint c) arra – törvény vagy az Európai Unió kötelező jogi aktusának eltérő rendelkezése hiányában – nem különleges adatok felhasználásával kerül sor.”
[21] Külön kifejtést érdemelne, hogy ennek a kivételrendszernek a fényében egyes kontextusokban, pl. az állásra jelentkezők esetében egyáltalán jogszerű módon lehet-e automatizált döntéshozatalt végezni, feltételezve, hogy az nem valamely, az érintett és az adatkezelő közötti szerződéshez szükséges (t.i. az állásra jelentkezők esetében még nincsen munkaviszony), illetve az nem hozzájárulás-alapú (feltehetően nem lehet az, hiszen ez esetben a hozzájárulás hiányában az érintett nem tudna részt venni a felvételi folyamatban, amely az alternatíva hiányát, ezáltal érvénytelenséget eredményezhet).
[22] GDPR 13. cikk (2) bekezdés f) pont
[23] GDPR 22. cikk (3) bekezdés
[24] Ld. a 29. Cikk Szerinti Adatvédelmi Munkacsoport 2017. október 3-án elfogadott, WP251rev.01 sz. állásfoglalásának 27. oldalát, ahol a Munkacsoport már érzékelte az érthetőség okozta problémát, pedig ekkor még MI-alapú automatizált döntéshozatalról közel sem volt olyan mértékben szó mint napjainkban: „A gépi tanulás elterjedése és összetettsége miatt kihívást jelenthet annak megértése, hogyan működik egy automatizált döntéshozatali folyamat vagy profilalkotás.”
[25] 29. Cikk Szerinti Adatvédelmi Munkacsoport 2017. október 3-án elfogadott, WP251rev.01 sz. állásfoglalásának 22. oldala
[26] GDPR 22. cikk (4) bekezdés
[27] MI Rendelet 11. és 18. cikk
[28] GDPR 35. cikk
[29] MI Rendelet Preambulum (9)
[30] A viccet a Harvey nevű mesterséges intelligencia írta, 2024. szeptember 19. én. Prompt: „Mondj egy viccet a GDPR-ról.”