Az AI és a GDPR kapcsolata összetett kérdéseket vet fel, különösen a jogszerű adatkezelés, az átláthatóság és a felhasználói jogok szempontjából. A belga adatvédelmi hatóság nemrégiben kiadta a „Mesterséges intelligencia rendszerek és a GDPR – adatvédelmi szempontból” című közleményét, amely a kifejezetten a mesterséges intelligencia rendszerek fejlesztésére és telepítésére vonatkozó GDPR-követelményeket ismerteti. Ezen közleményen, valamint egyéb szakmai forrásokon keresztül szeretnénk jelen cikkünkkel bemutatni az EU AI Act és a GDPR kapcsolatát.
Milyen fő kapcsolódási pontok vannak GDPR legfontosabb alapelvei és mesterséges intelligencia szabályozása között?
A GDPR több olyan alapelvet határoz meg, amelyek kulcsfontosságúak a személyes adatok jogszerű feldolgozásának biztosítása szempontjából a mesterséges intelligencia rendszerekben:
Jogszerűség. Mind a GDPR, mind az EU AI Act előírja, hogy az AI-rendszereknek be kell tartaniuk a jogszerű adatkezelés elveit. A GDPR hat jogalapot határoz meg a személyes adatok feldolgozására, amelyek az AI Act értelmében is alkalmazandók. Bizonyos magas kockázatú mesterséges intelligencia-alkalmazások – mint például a társadalmi értékelési rendszerek vagy a valós idejű arcfelismerés nyilvános helyeken – teljesen tilosak, mivel visszaélésre és diszkriminációra adhatnak lehetőséget.
Méltányosság. Bár az EU AI Act nem tartalmaz „méltányosság” címet viselő szakaszt, a GDPR tisztességes adatkezelésre vonatkozó elvére épül, mivel az AI-rendelet az elfogultság és a megkülönböztetés mérséklésére összpontosít az AI-rendszerek fejlesztése, telepítése és használata során.
Átláthatóság. Az átláthatóság különösen fontos; a felhasználókat tájékoztatni kell, amikor az AI-rendszerekkel kapcsolatba lépnek. Például egy chatbot egy olyan üzenettel kezdeményezhet interakciót, mint például: „Szia, Nelson vagyok, egy chatbot. Miben segíthetek ma?”. A magas kockázatú mesterséges intelligencia rendszerek (például a munkaerő-felvételi technológiák, az orvosi eszközök és a biometrikus azonosítás) esetében az AI Act még magasabb szintű átláthatóságot ír elő. A rendszerhez használati utasítást kell mellékelni, amely meghatározza a rendszer képességeit, korlátait, tervezett céljait és egyebeket.
Célhoz kötöttség és adatminimalizálás. Személyes adatokat csak meghatározott, jogszerű és egyértelműen kifejezett célokra lehet gyűjteni. Ezek az elvek biztosítják, hogy a mesterséges intelligencia rendszerek ne használjanak fel adatokat más célokra, mint amire tervezték őket, illetve, hogy ne gyűjtsenek túlzott mennyiségű adatot. Az AI-jogszabály megerősíti a célhoz kötöttség elvét a magas kockázatú AI-rendszerek esetében, mivel hangsúlyozza a jól meghatározott és dokumentált cél szükségességét.
Az adatok pontossága és naprakészsége. A személyes adatoknak pontosnak, és szükség esetén naprakésznek kell lenniük. Az AI-rendelet erre a GDPR-elvre épül azáltal, hogy előírja a magas kockázatú AI-rendszerek számára, hogy jó minőségű és objektív adatokat használjanak a diszkriminatív eredmények elkerülése érdekében.
Tárolási korlátozás. A személyes adatokat nem szabad a rendeltetésükhöz szükségesnél hosszabb ideig megőrizni. Az EU AI Act nem vezet be kifejezetten a tárolás korlátozására vonatkozó külön követelményt a magas kockázatú AI-rendszerekre vonatkozóan.
Automatizált döntéshozatal. A GDPR lehetővé teszi az egyének számára, hogy tiltakozzanak a kizárólag automatizált döntések ellen, míg az AI-rendelet a magas kockázatú AI-rendszerek esetében proaktív emberi felügyeletet ír elő a lehetséges elfogultságok elleni védelem és az ilyen rendszerek felelős fejlesztésének és használatának biztosítása érdekében.
A feldolgozás biztonsága. Az AI-rendszerek által feldolgozott személyes adatok védelme érdekében a szervezeteknek robusztus technikai és szervezeti intézkedéseket kell végrehajtaniuk. Az AI-rendelet tovább erősíti ezt a követelményt azáltal, hogy előírja a képzési adatokban lévő torzítások és a mesterséges intelligencia technológiákra jellemző sebezhetőségek folyamatos nyomon követését. Az AI-rendelet olyan proaktív intézkedésekre is összpontosít, mint a potenciális problémák azonosítása és tervezése, a folyamatos nyomon követés és tesztelés, valamint az emberi felügyelet.
Az érintettek jogai. Az AI Act megerősíti a GDPR szerinti jogokat azáltal, hogy hangsúlyozza az adatok AI-rendszerekben történő felhasználásának módjára vonatkozó egyértelmű magyarázatok fontosságát. Ennek az átláthatóságnak köszönhetően az egyének megalapozott döntéseket hozhatnak adataikkal kapcsolatban, és hatékonyabban élhetnek az érintettek jogaival.
Elszámoltathatóság. Bár az EU AI Act nem tartalmaz külön szakaszt az elszámoltathatóság bizonyítására, a GDPR elveire épít. A szervezeteknek fel kell mérniük a kockázatokat, dokumentálniuk kell az AI-rendszereket, emberi felügyeletet kell gyakorolniuk és jelenteniük kell az incidenseket.
A fentieket kiegészítve, érdemes áttekinteni, hogy a DPC (ír adatvédelmi hatóság) milyen adatvédelmi kockázatokra és tennivalókra hívja fel az MI-rendszert használó adatkezelők figyelmét:
Adatvédelmi kockázatok merülhetnek fel – többek között – a modellek tanításához vagy finomhangolásához használt személyes adatok nem kívánt, szükségtelen vagy előre nem tervezett kezeléséből. Tovább az MI-termékek (pl. LLM-ek) esetében előfordulhat pontatlan vagy elfogult információk előállítása. Ha a kimenetekre emberi elemzés vagy beavatkozás nélkül támaszkodnak, akkor „automatizált döntéshozatalra” kerülhet sor, és az ezzel járó kockázatok kezelése is szükségessé válik. Az ír hatóság annak a megfontolását is javasolja, hogy a szervezetek milyen adatokat tesznek nyilvánosan hozzáférhetővé (pl. a honlapjukon), hiszen ezen adatok MI modellek tanításához is begyűjtésre kerülhetnek Ez tehát nem az MI használathoz kapcsolódó figyelemfelhívás, hanem az „érme másik oldala”, a személyes adatok adatkezelő általi védelme a további, adott esetben jogszerűtlen használat ellen.
Megfelelés a GDPR-nak az AI rendszerek kapcsán
A mesterséges intelligenciamodellek, és különösen az LLM-ek (Large Language Models) képzése egyedi kihívásokat jelenthet a GDPR-megfelelés szempontjából. Ezek a kihívások különösen az LLM-ek és más generatív mesterséges intelligencia modellek kezdeti képzését végzők számára jelentenek kihívást. Mérlegelni kell a tisztességes adatkezelésről szóló közleményeket, a jogalapokat és az érintettek jogainak tiszteletben tartását, valamint el kell végezni az adatvédelmi hatásvizsgálatot; az ilyen gyakorlatok eredményei nem garantálják a megfelelést, várnunk kell amíg nem születik több releváns döntés vagy egyértelműbb iránymutatások.
A mesterséges intelligencia projekteket mindig egy szilárd, a szervezetre, az egyénekre és tágabb értelemben a társadalomra jelentett kockázatokat felmérő mesterséges intelligencia irányítási program keretében kell végrehajtani. Az érintettek jogait és szabadságait érintő kockázatokat más kockázatokkal együtt kell értékelni, mint például a megkülönböztetés, a szellemi tulajdon (mind a tulajdonjog, mind a jogsértés tekintetében) és az ágazatspecifikus jogszabályok, például a pénzügyi szolgáltatások szabályozása, valamint annak felmérése, hogy keletkeznek-e kötelezettségek az AI Act alapján.
Gyakorlati szempontok az EU AI Act és a GDPR kapcsán
Azoknak a szervezeteknek, amelyek a mesterséges intelligencia rendszer fejlesztése vagy használata során személyes adatokat kezelnek, mérlegelniük kell, hogy milyen szerepet töltenek be mind a GDPR, mind az EU mesterséges intelligenciáról szóló rendelete alapján.
| Példa 1: szolgáltató (AI Act) és adatkezelő (GDPR) | Példa 2: alkalmazó (EU AI Act) és adatkezelő (GDPR) |
| Egy olyan vállalat (A), amely személyes adatokat dolgoz fel egy új mesterséges intelligencia rendszer képzésével összefüggésben, az EU mesterséges intelligenciáról szóló rendelete értelmében szolgáltatónak, a GDPR értelmében pedig adatkezelőnek minősül. Ennek oka, hogy a vállalat új mesterséges intelligencia rendszert fejleszt, és e fejlesztés részeként döntéseket hoz arról, hogy hogyan dolgozzon fel személyes adatokat a mesterséges intelligencia rendszer képzése céljából. | Az a vállalat (B), amely megvásárolja az 1. példában leírt mesterséges intelligencia rendszert az A vállalattól, és azt olyan módon használja, amely személyes adatok feldolgozásával jár (például chatbotként az ügyfelekkel való beszélgetéshez, vagy automatizált munkaerő-toborzási eszközként), az EU mesterséges intelligenciáról szóló rendelete értelmében egyszerre jár el alkalmazóként és a GDPR értelmében külön adatkezelőként a saját személyes adatainak feldolgozása tekintetében (vagyis nem az eredetileg a mesterséges intelligencia rendszer képzéséhez használt személyes adatok tekintetében az adatkezelő, hanem a mesterséges intelligenciával együtt felhasznált bármely adat tekintetében). |
Felhasznált források:
https://gdpr.blog.hu/2024/07/22/nagy_nyelvi_modellek_es_adatvedelem
https://www.runsensible.com/blog/gdpr-general-data-protection-regulation/
https://artificialintelligenceact.eu
2025.01.10.
Bódi Bálint, jogi munkatárs
Dr. Miklós Péter, ügyvéd
Amennyiben adatvédelem területén adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu
