Olvasási idő:5 perc
A mesterséges intelligencia (a továbbiakban úgy is mint MI vagy AI) alkalmazása ma már nem csupán technológiai kérdés, hanem egyre inkább adatvédelmi és megfelelőségi kihívás is. Legyen szó az ügyféladatok elemzéséről, automatizált ügyfélszolgálati chatbotokról, egy vállalkozás szolgáltatásainak biztosítása, fejlesztése, valamint a működési hatékonyság növelése érdekében alkalmazott eszközökről, vagy akár a HR-folyamatok hatékonyságának növeléséről, az MI-rendszerek drasztikus versenyelőnyt biztosítanak. A személyes adatok kezelése miatt az általános adatvédelmi rendelet (GDPR) szabályai továbbra is alkalmazandók, miközben a mesterséges intelligenciáról szóló EU rendelet (AI Rendelet, vagy AI Act) további kötelezettségeket is bevezet. Jelen cikkünkben áttekintjük, hogy a vállalati AI-használat során milyen főbb adatvédelmi és AI Rendelet szerinti szempontokat szükséges mérlegelni a megfelelés érdekében.
Az automatizáció jogi jelentősége
A gyakorlatban az egyik legfontosabb kérdés, hogy az adott AI-rendszer pontosan milyen szerepet tölt be az adatkezelési folyamatban. Az alkalmazott technológia működése és az adatok felhasználásának módja ugyanis alapjaiban minősíti az AI-rendszert, és meghatározza a vállalkozás adatvédelmi és MI-megfelelőségi kötelezettségeit is. Az adatok kezelése kapcsán lényeges különbség van az automatizált adatkezelés, a profilalkotás és az automatizált döntéshozatal között:
Automatizált adatkezelés:
Alapvetően technikai folyamatot jelent; abban az esetben automatizált az adatkezelés, ha az adatok gyűjtése, rendszerezése és kinyerése emberi beavatkozás nélkül, szoftveresen történik (például egy rendszer automatikusan ABC-rendbe állítja a beérkező pályázatokat, vagy kategorizálja a beérkező ügyféligényeket, dokumentumokat).
Profilalkotás:
A GDPR szerint profilalkotásról beszélünk, ha a rendszer nemcsak rendszerezi az adatokat, hanem az érintettekről következtetéseket von le, értékeli vagy rangsorolja őket. Ha a rendszer a személyes adatok alapján az érintett bizonyos személyes jellemzőit – így gazdasági helyzetét, preferenciáit, érdeklődési körét, megbízhatóságát, vagy akár képességeit, alkalmasságát – pontozza, vagy bármilyen formában szűri, az profilalkotásnak minősülhet.
Automatizált döntéshozatal:
Akkor valósul meg, ha a folyamat nemcsak technikailag automatizált, hanem maga az MI-rendszer hozza meg a végső döntést emberi beavatkozás nélkül, és ez a döntés a jelöltre nézve joghatással jár vagy őt jelentős mértékben érinti. Tipikus eset, ha a szoftver emberi jóváhagyás nélkül, automatikusan elutasítja (kizárja) a jelentkezőt a toborzási folyamatból valamely feltétel alapján.
A gyakorlatban a fenti kategóriák sokszor nem elkülönült tevékenységek. Egy egyszerű technikai automatizáció is könnyen válhat olyan folyamattá, amely már profilalkotási vagy automatizált döntéshozatali kérdéseket vet fel. Éppen ezért minden AI-alapú folyamatot külön szükséges vizsgálni az adatok felhasználása és a rendszer tényleges működése alapján.
Adatkezelési szempontú teendők
Ha a vállalat MI-technológiát integrál a belső folyamataiba vagy az ügyfeleknek nyújtott szolgáltatásaiba, a rendszer működésének sajátosságai alapján adatvédelmi szempontból minősíteni kell az adatok kezelésének módját. Ennek során szükséges feltárni, hogy történik-e profilalkotás, automatizált adatkezelés, és megítélni, hogy van-e olyan körülmény, amely miatt adatvédelmi hatásvizsgálatot (DPIA) kell lefolytatni.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) kötelező listája és iránymutatásai szerint az új technológiák alkalmazása önmagában is magas kockázatot hordozhat, de a hatásvizsgálat elvégzése teljesen elkerülhetetlenné válik az olyan adatkezelések esetén, amelyek célja a természetes személyek személyes jellemzőinek értékelése, pontozása vagy előrejelzése, vagy az automatizált döntéshozatali eljárások esetén, ahol az MI emberi beavatkozás nélkül zár ki vagy utasít el érintetteket (például egy toborzási szűrés során), valamint akkor is, ha a technológiát a munkavállalók teljesítményének és produktivitásának szisztematikus, szoftveres monitorozására használják.
A technológia alkalmazásához emellett elengedhetetlen a megfelelő adatkezelési jogalap biztosítása, egyes esetekben az érintett hozzájárulásának beszerzésére lehet szükség. Ezen felül a GDPR és az AI Rendelet által megkövetelt átláthatósági elvekkel összhangban, világosan és érthetően tájékoztatni kell az érintetteket az MI alkalmazásáról, céljáról, a gép működési logikájáról, továbbá az őket megillető olyan alapvető jogokról, mint a hozzáférés, a törlés, a tiltakozás, valamint az a kiemelten fontos lehetőség, hogy a gép döntésével szemben emberi felülvizsgálatot kérhessenek.
A gyakorlatunk alapján az alábbiak a leggyakrabban előforduló MI-szoftverek, amelyeket alkalmaznak a vállalatok és amelyek személyes adatok kezelésével járnak, emiatt szükségessé teszik az adatkezelési dokumentáció felülvizsgálatát:
ChatGPT
Microsoft 365 Copilot
Google Gemini
PerplexityClaude
Összegzés
A mesterséges intelligencia bevezetése nem csupán IT-kérdés, hanem komoly jogi megfelelési projekt is. Mivel az MI-alapú rendszerek működése szinte minden esetben személyes adatok kezelésével jár, a GDPR szigorú előírásai és a hatósági elvárások miatt ezekkel a kérdésekkel célszerű még a rendszerek alkalmazásának megkezdése előtt foglalkozni. A transzparens, biztonságos és már a tervezési fázistól kezdve jogszerű működés kialakítása nemcsak a jogi kockázatokat minimalizálja, hanem a hosszú távú üzleti sikerek alapfeltétele is. Amennyiben egy társaság tervez bevezetni vagy már bevezetett MI-megoldást, szükséges azt felülvizsgálni adatkezelési szempontból is és megfelelően frissíteni az adatkezelési dokumentációt.
Kép forrása: pexels.com, Egor Komarov