CLVPartners

CLV-02
Menu

adatkezelés

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások

Adatvédelem, Hírek / / , , , , , , , ,

Olvasási idő: 5 perc

A mesterséges intelligencia („MI”) gyorsan fejlődő technológiacsalád, amely az ágazatok és a társadalmi tevékenységek teljes spektrumában gazdasági, környezeti és társadalmi előnyök széles skálájához járul hozzá. Az előrejelzések javításával, a műveleteknek és az erőforrások elosztásának optimalizálásával, valamint az egyének és a szervezetek rendelkezésére álló digitális megoldások személyre szabásával az MI használata kulcsfontosságú versenyelőnyt biztosíthat a vállalkozások számára, és társadalmi és környezeti szempontból kedvező eredményeket hozhat.

Az MI használata az elérhető előnyök mellett ugyanakkor bizonyos kockázatokkal is együtt jár. Ezeknek a kockázatoknak a mérséklése érdekében elfogadásra került az Európai Parlament és Tanács mesterséges intelligenciáról szóló 2024/1689 számú rendelete („MI Rendelet”), amelynek több rendelkezése már hatályba lépett. Ugyanakkor számos MI-modell fejlesztéséhez személyes adatokat is felhasználnak, így felvetődhet a kérdés, hogy az MI Rendelet miként érinti az MI rendszerekhez kapcsolódó adatkezelési folyamatokat.

Az MI Rendelet és a GDPR egymáshoz való viszonya

Az MI Rendelet egyértelművé teszi, hogy nem módosítja a személyes adatok kezelésére vonatkozó hatályos uniós szabályok – így a GDPR-ban rögzített követelmények – alkalmazását. Tehát az MI Rendelet hatálya alá tartozó szervezeteknek adatkezelési tevékenységeik során meg kell felelniük a GDPR előírásainak is.

A GDPR az adatvédelemhez való jog érvényesítésén keresztül támogatja más alapvető jogok érvényesülését is, így többek között a gondolat- és véleménynyilvánítás szabadságát, a tájékozódáshoz és az oktatáshoz való jogot, valamint a vállalkozás szabadságát. Mindezek alapján megállapítható, hogy a GDPR olyan jogi keretet teremt, amely elősegíti a felelős innovációt – így az MI-vel kapcsolatos fejlesztések felelős megvalósítását is.

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások

Az MI-modellek fejlesztésével összefüggésben az Európai Adatvédelmi Testület („EDPB”) önálló véleményt fogadott el az adatvédelmi szempontokról, amik a személyes adatoknak a mesterségesintelligencia-modellekkel összefüggésben történő kezelésével kapcsolatban merülnek fel („Vélemény”).

A Vélemény azt vizsgálja, hogy milyen módon használhatók fel személyes adatok MI-modellek fejlesztése során, valamint, hogy mire szükséges különös tekintettel figyelemmel lenni a személyes adatok felhasználásával létrehozott MI-rendszerek forgalomba hozatalakor.

MI-modellek életciklusa

Az EDPB az MI-modellek életciklusát két szakaszra osztja, hangsúlyozva, hogy bármelyikben előfordulhat adatkezelés. Az első szakasz a modell bevezetését megelőző folyamatokat foglalja magában (ideértve pl. a létrehozást, a fejlesztést, betanítást, finomhangolást). A második szakasz pedig a bevezetési időszakra vonatkozik, amely a fejlesztést követő használatot öleli fel.

Adatkezelők adatkezeléshez fűződő jogalapjának megléte

Az adatvédelmi szabályozás egyik sarokköve, hogy adatkezelésre kizárólag meghatározott jogalap fennállása esetén kerülhet sor. A Vélemény megismétli azt az általános elvárást, hogy az adatkezelőknek kell meghatározniuk az adatkezelési tevékenységeik megfelelő jogalapját.

Az EDPB ugyanakkor megállapította, hogy az MI-modell fejlesztője főszabály szerint hivatkozhat a jogos érdekre, mint jogalapra, ugyanakkor köteles annak fennállását megfelelően alátámasztani. Erre egy– adatkezelési compliance-gyakorlattal rendelkezők számára már ismert – háromlépcsős teszt szolgál, amely alapján megfelelően értékelhető, hogy a jogos érdek ténylegesen fennáll-e.

Az EDPB kiemeli, hogy az érdekmérlegelési tesztben figyelemmel kell lenni arra a körülményre, hogy az érintettek észszerűen számíthatnak-e személyes adataik felhasználására. A Vélemény azért jelentős e tekintetben, mert több olyan kritériumot is meghatároz, amelyek segítséget nyújtanak az adatvédelmi hatóságok számára az „ésszerűen belátott”-szempont megítéléséhez.

A Vélemény arra is emlékeztet, hogy amennyiben úgy tűnik, hogy az érintettek érdekei, jogai és szabadságai elsőbbséget élveznek az adatkezelő vagy harmadik fél jogos érdekeivel szemben, akkor sincs minden veszve. Az adatkezelő ugyanis mérlegelheti olyan enyhítő intézkedések bevezetését, amelyek korlátozzák a negatív hatást, például álnevesítés, vagy a személyes adatok elfedésére vagy a betanítási adatkészletben hamis személyes adatokkal való helyettesítésére irányuló intézkedések A megfelelő adatvédelmi eszközök bevezetése pedig ismét jogszerűvé teheti az adatok kezelését

Anonimitás

A GDPR a személyes adatok körébe sorol minden olyan információt, amely alapján az érintett személy közvetlenül vagy közvetve azonosítható. Az uniós szerv álláspontja szerint az MI-modellek fejlesztése során a személyes adatok csak akkor használhatók fel, ha azokat megfelelően anonimizálják, és ezáltal a modell esetleges visszafejtésekor sem válik lehetővé az érintettek azonosítása. Az anonimizálás kapcsán az EDPB hangsúlyozza, hogy az illetékes adatvédelmi hatóságoknak minden esetben egyedileg kell megítélniük, hogy az MI-modellt fejlesztő szervezet eleget tett-e ennek a követelménynek. A testület több olyan ajánlott technikát is megfogalmaz, amelyek alkalmasak lehetnek az anonimitás megőrzésére (pl.: megakadályozzák vagy korlátozzák a betanításhoz használt személyes adatok kinyerését).

Összegzés

Az uniós testület a Véleményben hangsúlyozza, hogy az MI-modellek fejlesztése és bevezetése során is meg kell felelni a személyes adatok kezelésére vonatkozó adatvédelmi követelményeknek. Látható, hogy az MI térnyerését és lehetséges kockázatait prioritással kezeli és követi a jogalkalmazás, ezért számos hatósági iránymutatás várható a közeljövőben.

Fotó forrása: pexels.com, Tara Winstead

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások Read More »

A sütikkel kapcsolatos adatkezelés gyakorlati problémái

Hírek, Adatvédelem / / , , , , , ,

Bevezető

Mai digitális világunkban rendkívüli módon elterjedtek a személyes adatok gyűjtésére és kezelésére irányuló módszerek és technológiák (pl.: cookie-k, magyarul: sütik), hiszen ezek révén az adatkezelők igen fontos információkat tudhatnak meg rólunk. Elegendő, ha például arra gondolunk, hogy egy cipő interneten történő egyetlen felkeresését követően szinte borítékolhatóan szembe találkozunk a megtekintett, illetve ahhoz hasonló cipők reklámjaival más platformokon.

Az adatkezelő cégek és a magánszemélyek viszonya alapvetően egyenlőtlen, hiszen az átlag felhasználók tipikusan nincsenek tisztában a személyes adataik sokrétű kezelésével kapcsolatban. Ennek kiegyensúlyozásaként, a magánélet tiszteletben tartása és a személyes adatok védelme érdekében került megalkotásra – többek között – az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelv („Elektronikus hírközlési adatvédelmi irányelv”), valamint a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló 2016/679/EU rendelet („GDPR”). Ezek az uniós jogszabályok olyan minimum követelményeket fogalmaznak meg az adatkezelőkkel szemben, amelyek az aszimmetrikus jogviszonyok kiegyenlítését hivatottak szolgálni.

A jogok tényleges érvényesülését segítik elő az olyan civil szervezetek, mint például a None of Your Business („NOYB”). A NOYB tevékenységének eredményeképpen idén megjelent a sütikkel kapcsolatos legújabb, az Európai Adatvédelmi Testület sütikre szakosodott munkacsoportjának összefoglaló jelentése. A munkacsoport jelentésében 7 főbb süti kezelési gyakorlatot mutatott be, amely álláspontja szerint nem megfelelő az irányadó jogszabályok fényében. Ezeket az alábbiakban röviden és összefoglalóan ismertetjük annak érdekében, hogy a honlapot működtető cégek megfelelően alakítsák gyakorlatukat és a felhasználók is legyenek tudatosabbak:

Visszautasítási gomb hiánya: A hozzájárulással szemben támasztott követelményeknek nem felel meg, ha a hozzájáruláshoz kötött sütikkel kapcsolatos tájékoztató ablakban elsőre kizárólag az “elfogadás”, illetve a “további tudnivalók” lehetősége ugrik fel, de az elutasításra vonatkozó gomb nem.

Előre bejelölt opciók: Csakugyan nem megfelelő az az eljárás, ha a cookie-k beállítása során a lehetséges opciók közül előre be vannak pipálva az adatkezelő által preferált választási lehetőségek.

Link használata: A sütikkel kapcsolatos adatkezelésre vonatkozó elfogadó gomb tipikusan minden oldalon automatikusan felugrik, ugyanakkor vannak olyan adatkezelők, akik az elutasításra vonatkozó lehetőséget csupán egy külön linken keresztül biztosítják, ezzel megnehezítve a felhasználók önkéntes választását és nyomást helyezve rájuk.

Megtévesztő gomb színek, kontrasztok: Az érvényes hozzájáruláshoz az sem elhanyagolható körülmény, hogy a lehetséges opciók vizuálisan miként kerülnek megjelenítésre. Ugyanis, ha a megjelenített gombok színe vagy kontrasztja megtévesztő az érintettek számára (pl.: ha az elfogadás gomb egyértelmű megjelenítése mellett az elutasítás, valamint a további lehetőségek gomb színeinek kontrasztja olyan minimális, hogy az szinte láthatatlan), az így adott hozzájárulás nagy valószínűséggel érvénytelennek fog minősülni. Természetesen ezt mindig esetről-esetre szükséges vizsgálni.

Jogalappal kapcsolatos félrevezetés: Nem jogszerű az a gyakorlat, amikor az oldal kezelője először a látogató hozzájárulására, annak hiányában pedig jogos érdekére alapozza az adatkezelést. E tekintetben különösen jogszerűtlen az, amikor a hozzájárulás kapcsán tiltakozási lehetősége nincsen a felhasználónak arra tekintettel, hogy hozzájárulás hiányában az adatkezelő a jogos érdekére alapozva fogja kezelni azokat, hiszen, ez azt a benyomást keltheti az érintettben, hogy az adatkezeléshez csak hozzájárulni tud, más lehetősége nincs.

Alaptalanul nélkülözhetetlennek feltüntetett sütik: A munkacsoport jelentésében kitért arra az esetre is, miszerint sok adatkezelő alapvető szükségletű, nélkülözhetetlen sütiként tüntet fel olyan cookie-kat, amelyek valójában nem minősülnek annak.

Visszavonási lehetőség hiánya: A hozzájárulással szemben támasztott további követelmény, hogy az bármikor, ugyanolyan egyszerű módon visszavonható legyen, mint annak megadása volt az érintett számára. Így ennek lehetőségét biztosítania kell az adatkezelőknek a sütikkel kapcsolatban is (pl.: egy visszavonásra utaló lebegő gomb, link elhelyezésével).

Összefoglaló

A fentiek alapján látható, hogy az adatkezelőknek úgy kell eljárniuk, hogy a felhasználók részére biztosítsák a megfelelő információkhoz való hozzáférés lehetőségét és azok így kerüljenek döntési helyzetbe. Természetesen az már az érintettek felelőssége, hogy ténylegesen tájékozódjanak, és így, mint jogtudatos felhasználók járjanak el, illetve hozzanak döntést saját adataik vonatkozásában (pl.: adatkezelési beállítások testreszabásával, felkeresett oldalak használat utáni elhagyásával, NAIH tájékoztatók, adatkezelő adatkezelési tájékoztatójának megismerésével).

A sütikkel kapcsolatos adatkezelés gyakorlati problémái Read More »

CLVPartners
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.