Blog

A mesterséges intelligencia (MI) rohamos fejlődése számos előnnyel jár, de komoly adatvédelmi kérdéseket is felvet. Az Európai Adatvédelmi Testület (EDPB) nemrégiben kiadott 28/2024. számú véleménye (a továbbiakban: Vélemény) összefoglalja a személyes adatoknak mesterséges intelligencia (MI) modellekkel összefüggésben (a fejlesztési és bevezetési szakaszban) történő kezelésével kapcsolatos adatvédelmi szempontokat, és számos intézkedési javaslatot fogalmaz meg az adatkezelők számára.

A Vélemény az alábbi kérdésekkel foglalkozik:

• Mikor tekinthető egy MI-modell „anonimnak”?
• Hogyan tudják az adatkezelők bizonyítani a jogos érdek jogalapként való megfelelőségét az MI-modell fejlesztési és bevezetési szakaszában?
• Milyen következményekkel jár a személyes adatoknak az MI-modell fejlesztési szakaszában történő jogellenes kezelése az MI-modell későbbi feldolgozására vagy üzemeltetésére nézve?
• Mit tehetnek az adatkezelők?

Mikor tekinthető egy MI-modell anonimnak?

Az EDPB szerint egy MI-modell akkor lehet anonim, ha a benne tárolt adatokból sem közvetlen, sem közvetett módon nem lehet visszakeresni az érintett személyeket. Ez azonban nehezen bizonyítható, mivel az MI-modellek matematikai módon őrizhetik az adatokat, és bizonyos támadásokkal vissza lehet nyerni az eredeti információkat. Erre tekintettel minden esetben egyedileg, eseti alapon kell és lehet értékelni azt, hogy az adott MI-modell anonimnak tekinthető-e.

(Itt fontos kiemelni, hogy az adatkezelők körében gyakran keverdik az anonimizálás és az álnevesítés fogalma. Ezzel a kérdéssel egy következő blogbejegyzésben fogok részletesebben foglalkozni.)

Hogyan tudják az adatkezelők bizonyítani a jogos érdek jogalapként való megfelelőségét az MI-modell fejlesztési és bevezetési szakaszában?

Az adatkezelők gyakran jogos érdekükre (GDPR 6. cikk (1) bekezdés f.) pnt) hivatkozva használják fel a személyes adatokat az MI-modellek fejlesztésekor, betanításakor. Az EDPB szerint a jogos érdekre történő hivatkozás esetén 3 együttes feltétel fennállását kell vizsgálni, amely vizsgálat az alábbi három lépésből áll:

1. Jogos érdek azonosítása

Az adatkezelőnek vagy egy harmadik félnek be kell mutatnia, hogy milyen konkrét érdek indokolja a személyes adatok kezelését. Az EDPB szerint az érdekeltség akkor tekinthető jogosnak, ha:

• Jogszerű (nem ütközik jogszabályba),
• Egyértelműen meghatározott,
• Valós és fennálló, nem spekulatív.

A Vélemény az alábbi példákat említi:

• Felhasználókat segítő beszélgetős ügynök (chatbot) fejlesztése
• Csalárd tartalmak vagy magatartások észlelésére szolgáló MI-rendszer létrehozása
• Fenyegetések észlelésének javítása információs rendszerekben.

2. Szükségességi vizsgálat

Ez a lépés annak elemzésére szolgál, hogy valóban szükséges-e a személyes adatok kezelése a jogos érdek eléréséhez. A GDPR (39) preambulumbekezdése szerint a személyes adatok csak akkor kezelhetők, ha az adatkezelés célja más módon észszerűen nem teljesíthető.

Fontos kérdések a szükségesség vizsgálatakor:

• Az adatkezelés valóban segíti-e a jogos érdek elérését?
• Létezik-e kevésbé „tolakodó”, alternatív módszer?

A Vélemény külön kiemeli, hogy ha egy MI-modell létrehozható személyes adatok kezelése nélkül is, akkor a személyes adatok használata nem tekinthető szükségesnek.

3. Érdekmérlegelési teszt

A végső lépés annak értékelése, hogy az adatkezelő jogos érdeke nem sérti-e aránytalanul az érintettek jogait és szabadságait. A GDPR (47) preambulumbekezdése szerint az érintettek jogai elsőbbséget élvezhetnek, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre.

Példák az érintettek ésszerű elvárásaira:

• Ha egy felhasználó beszélget egy chatbot-tal, akkor számíthat arra, hogy bizonyos adatait elemzik a szolgáltatás javítása érdekében.
• Egy adatbázisban található régi ügyféladatok MI-modellel való feldolgozása viszont olyan adatkezelés lehet, amelyre az érintettek nem számítanak.

Milyen következményekkel jár a személyes adatoknak az MI-modell fejlesztési szakaszában történő jogellenes kezelése az MI-modell későbbi feldolgozására vagy üzemeltetésére nézve?

A Vélemény három esetkört érint, ahol a különbségek abban rejlenek, hogy az MI-modell kidolgozása céljából kezelt személyes adatokat megőrzik-e a modellben, és/vagy a későbbi adatkezelést ugyanaz vagy egy másik adatkezelő végzi-e.

1. forgatókönyv: Ha a személyes adatokat az MI-modellben tárolják, és ugyanaz az adatkezelő kezeli, a jogellenes adatkezelés hatása a későbbi adatkezelés jogszerűségére eseti alapon értékelendő.

2. forgatókönyv: Ha a személyes adatokat a modell megőrzi, és egy másik adatkezelő dolgozza fel, az illetékes hatóságoknak figyelembe kell venniük, hogy a modellt alkalmazó adatkezelő megfelelő értékelést végzett-e annak megállapítására, hogy az MI-modellt nem jogellenes adatkezeléssel fejlesztették ki.

3. forgatókönyv: Ha az adatkezelő jogellenesen kezeli a személyes adatokat az MI-modell kifejlesztése érdekében, majd biztosítja azok anonimizálását, az MI-modell későbbi működése nem jár személyes adatok kezelésével, így a kezdeti jogellenes adatkezelés nem befolyásolja a modell későbbi működését.

Mit tehetnek az adatkezelők?

Az adatkezelőknek szigorú intézkedéseket kell bevezetniük az adatvédelem biztosítása érdekében.

Az adatkezelők számára javasolt intézkedések:

1. Anonimitás biztosítása: Az MI-modell anonimitásának értékelésekor az adatkezelőknek bizonyítaniuk kell, hogy a személyes adatok közvetlen kinyerésének valószínűsége elenyésző, és hogy a lekérdezésekből származó személyes adatok megszerzésének valószínűsége is jelentéktelen
2. Jogos érdekek igazolása: Az adatkezelőknek háromlépcsős tesztet kell elvégezniük annak érdekében, hogy jogos érdek jogalapként való alkalmazását igazolják. Ez magában foglalja az érdek jogszerűségének, világosságának és valóságának értékelését, valamint annak elemzését, hogy az adatkezelés szükséges-e a jogos érdek érvényesítéséhez.
3. Adattakarékosság: Az adatkezelőknek korlátozniuk kell a képzési, tanulási folyamatba bevont személyes adatok mennyiségét, és alkalmazniuk kell az adattakarékossági stratégiákat és technikákat.
4. Enyhítő intézkedések: Az adatkezelőknek mérlegelniük kell enyhítő intézkedések bevezetését az adatkezelés érintettekre gyakorolt hatásának korlátozása érdekében. Ezek az intézkedések különböző tényezőktől, többek között az MI-modell tervezett használatától függenek.
5. Átláthatóság: Az adatkezelőknek biztosítaniuk kell, hogy az érintettek megfelelő tájékoztatást kapjanak a személyes adatok kezeléséről, különösen az MI-modellek fejlesztési és bevezetési szakaszában.
6. Dokumentáció: Az adatkezelőknek megfelelően dokumentálniuk kell adatkezelési műveleteiket, beleértve az adatvédelmi hatásvizsgálatokat és az adatvédelmi tisztviselő által adott tanácsokat.

Ha egy szervezet jogos érdek alapján kíván adatot kezelni az MI-modellek fejlesztése során, akkor tehát:

• Dokumentálnia kell a háromlépcsős teszt eredményeit,
• Értékelnie kell az érintettekre gyakorolt hatásokat,
• Enyhítő intézkedéseket kell bevezetnie, például anonimizálást vagy adatminimalizálást,
• Biztosítania kell a transzparenciát, azaz megfelelően tájékoztatnia kell az érintetteket az adatkezelés céljáról és jogi alapjáról​

Ezek az intézkedések biztosíthatják, hogy az MI-modellek fejlesztése és alkalmazása összhangban legyen a GDPR előírásaival.