GDPR konferencia és interaktív kerekasztal beszélgetés

január 15, 2025

GDPR konferencia és interaktív kerekasztal beszélgetés

2024. október 21 és 22-én megrendezésre került a GDPR konferencia és interaktív kerekasztal beszélgetés, amelyen Németh Anna munkatársunk is részt vett. A konferencia során 3 fő téma került ismertetésre, majd a résztvevőknek lehetősége nyílt az elhangzottakkal, valamint az aktuális adatvédelmi gyakorlattal kapcsolatban kérdéseket feltenni.

Első előadás

Az első előadás fő témája a gyermekek védelme volt. A gyermekek koruknál fogva sokkal kiszolgáltatottabbak az adatkezelési kockázatokkal szemben a felnőttekhez képest, emiatt esetükben különleges védelemre van szükség a digitális térben. A gyerekek kevésbé képesek felmérni, hogy milyen következményekkel járhat személyes adataik megadása vagy felhasználása, ezért különösen fontos, hogy az adatkezelők a gyermekek adatait a legnagyobb körültekintéssel kezeljék. A gyermekek adatainak kezelése során az adatvédelmi elvek, – különösen a célhoz kötöttség és a tisztességes adatkezelés – legszigorúbb betartása szükséges. Ez azt jelenti, hogy az adatokat csakis meghatározott, jogszerű célra szabad felhasználni és kezelni, és az adatkezelésnek mindenkor tisztességesnek és átláthatónak kell lennie.

Az adatvédelmi jogszabályok értelmében az adatkezelési tájékoztatóknak egyértelműnek és könnyen érthetőnek kell lenniük. A gyermekek esetében ez különös jelentőséggel bír.  Az érthetőség érdekében ajánlott olyan tájékoztatókat készíteni, amelyek a gyermekek életkorának és fejlettségi szintjének megfelelően egyszerű, közérthető nyelvezettel és vizuális elemekkel vannak kialakítva. Az érthetőség ellenőrzése érdekében célszerű a tájékoztatókat tesztelni is.

Az előadó felhívta a figyelmet a köznevelési és közoktatási intézmények körében gyakori, hibásan alkalmazott gyakorlatra, mely szerint az adatkezelő intézmények a kiskorú gyermek törvényes képviselőitől minden év elején általános adatkezelési hozzájárulást kérnek. A Hatóság vizsgálatai során megállapította, hogy ez a gyakorlat nem mentesíti az oktatási intézményeket azon kötelezettségük alól, hogy a tanév során végzett személyes adatkezelésekről a törvényes képviselőket minden esetben előzetesen tájékoztassák, és lehetőséget biztosítsanak a hozzájárulás visszavonására. A másik elterjedt gyakorlat az iskolai rendezvényeken készült fényképek és videók interneten való közzététele. A Hatóság kiemelte, hogy itt már szükség van arra, hogy a köznevelési intézmény gondoskodjon a szülő írásos, előzetes hozzájárulásának beszerzéséről is.

Második előadás

A második előadás témája a kamerás megfigyeléssel kapcsolatos adatkezelés volt. Az előadás közzéppontjában a kamerás megfigyelő rendszerek alkalmazása során elkövetett leggyakoribb jogsértések voltak. A jogsértések egyik kategóriáját a GDPR alapelveinek sérelme jelenti. Ezek az alapelvek olyan sarkalatos pontok, amelyek az adatkezelés egész folyamatát áthatják.

A célhoz kötöttség elve során az adatkezelő minden esetben köteles vizsgálni, hogy a kamerás megfigyelés a megjelölt cél elérésére alkalmas-e. Az alapelv sérelmét állapította meg a Hatóság, amikor egy szórakozóhely tulajdonosa kamerákat helyezett el a teraszon, amelyek a nyitvatartási idő teljes időtartama alatt folyamatosan megfigyelték a területet. A Hatóság megkeresésére a tulajdonos azzal indokolta az adatkezelést, hogy korábban többször előfordult, hogy éjszaka székeket loptak el a teraszról, és a kamerák telepítésére a vagyonvédelem biztosítása érdekében került sor. Az adatkezelő által meghatározott cél tehát a vagyonvédelem volt, amelyet a munkaidőn kívüli lopások előfordulásával támasztott alá. A Hatóság azonban megállapította, hogy a nyitvatartási idő alatt végzett folyamatos megfigyelés nem tekinthető szükséges és arányos intézkedésnek e cél eléréséhez.

Az átláthatóság elvének sérelme állapítható meg, amikor az adatkezelő elmulasztja tájékoztatni az érintettet az adatkezelés céljáról, jogalapjáról és egyéb lényeges körülményeiről világos, közérthető és könnyen hozzáférhető formában. Az előadó hangsúlyozta, hogy a tájékoztatást a megfigyelt terület határain, a jogszerű belépési pontokon kell elhelyezni. A könnyű hozzáférhetőség érdekében a tájékoztatónak önálló, elkülönült dokumentumnak kell lennie. Nem felel meg a jogszabályi előírásoknak az a gyakorlat, amikor a kamerás megfigyeléssel kapcsolatos tájékoztató az Általános Szerződési Feltételek részeként kerül rögzítésre.

A jogsértések másik kategóriáját a kamerás megfigyelés során alkalmazott helytelen jogalapok képezik, különös tekintettel a jogos érdek túlzott használatára. A Hatóság gyakorlata szerint nem korlátlan ennek a jogalapnak sem alkalmazási lehetősége. A jogalap alkalmazásához a jogos érdeknek valóban fenn kell állnia és ténylegesen léteznie kell. A megfigyelés megkezdése előtt tényleges veszélyhelyzetnek kell felmerülnie, amely lehet például korábbi káresemény vagy súlyos incidens. Ha konkrét káresemény nem történt, az adatkezelőnek valószínűsítenie kell, hogy a megfigyelés hiányában a védett jogok megsértésének (például lopás, rongálás, testi sértés) a kockázata jelentősen megnő.
A Hatóság sokszor azt tapasztalja, hogy az adatkezelés céljának meghatározása megtörténik, azonban elmarad annak alapos indokolása, hogy a kamerás megfigyelés miért szükséges, alkalmas és arányos az adott cél eléréséhez. Magas a száma azoknak a hatósági eljárásoknak, amelyek az érdekmérlegelési teszt hiányára vezethetőek vissza. Kiemelten fontos, hogy kamerás megfigyelés alkalmazása esetén az adatkezelő mindig gondoskodjon az érdekmérlegelési teszt elkészítéséről.

Az előadás zárásaként az érintetti joggyakorlás kérdése került elemzésre, különös tekintettel a hozzáféréshez való jogra. Tapasztalatok szerint gyakran fordulnak elő olyan esetek, amelyekben ez a jog sérelmet szenved. Fontos hangsúlyozni, hogy az érintettnek nincs indokolási kötelezettsége a hozzáférési kérelme kapcsán. Az adatkezelő feladata nem terjed ki annak vizsgálatára, hogy a kérelem ténylegesen segíti-e az érintettet a releváns adatkezelés jogszerűségének ellenőrzésében vagy más jogai érvényesítésében. Gyakori mulasztás, hogy az adatkezelők jogos érdek igazolását követelik az érintettektől, vagy a kérelem teljesítését kizárólag hatósági megkeresés esetén biztosítják. Ez a gyakorlat helytelen, nem felel meg a jogszabályi előírásoknak.

Harmadik előadás

Az utóbbi időszakban a mesterséges intelligencia (továbbiakban: MI vagy AI) alkalmazása jelentős mértékben előtérbe került, elterjedése pedig számos adatvédelmi aggályt is felszínre hozott. A felmerült problémák az alábbiakban láthatóak:

1. A személyes adatok kezelésére vonatkozó elveknek való megfelelés

A GDPR 5. cikke határozza meg az adatkezelés alapelveit. A jogszerűség, tisztességes eljárás és átláthatóság elve szerint adatkezelésnek jogszerűen, tisztességesen és átlátható módon kell történnie, amit az érintettek számára könnyen hozzáférhető tájékoztatással kell biztosítani. Tájékoztatást kell adni különösen az automatizált döntéshozatal tényéről, az alkalmazott logikáról, és arról, hogy ez milyen várható következményekkel fog járni az érintettre nézve.  Az egyik legnagyobb kihívás a mesterséges intelligencia alkalmazásával kapcsolatban az, hogy nem lehet pontosan meghatározni, hogy a megosztott adatok milyen módon kerülnek felhasználásra. Az algoritmusok döntéshozatalának folyamata komplex és átláthatatlan, ami pedig felveti a kérdést, hogy hogyan kerülhet az érintett abba a helyzetbe, hogy átlássa ki és hogyan fogja használni a személyes adatait? Milyen formában, milyen nyelven kellene ezt a tájékoztatást az érintett rendelkezésére bocsátani?

A célhoz kötöttség elvével kapcsolatban kérdéses, hogy a mesterséges intelligencia rendszerek alkalmazása esetén milyen cél határozható meg, amely mindhárom követelménynek – egyértelmű, meghatározott, jogszerű cél – megfelel. Például, ha a személyes adatok kezelésének céljaként a mesterséges intelligencia fejlesztését jelöljük meg, az nem feltétlenül biztosít kellően informatív tájékoztatást egy átlagos ismeretekkel rendelkező érintett számára.

A mesterséges intelligencia és az adatvédelem viszonyában rendszeresen visszatérő kérdés, hogy miként egyeztethető össze a MI rendszerek jelentős adatigénye a GDPR-ban szereplő adattakarékosság elvével. Ez utóbbi ugyanis előírja, hogy az adatkezelés során kizárólag a cél eléréséhez szükséges mértékű adat kerüljön felhasználásra. Egyes MI modellek teljesítménye azonban szorosan összefügg a rendelkezésre álló adatok mennyiségével és minőségével.

2. Helyes adatkezelési jogalap meghatározása

Az előadás második felében az MI rendszerek alkalmazása során felmerülő jogalapok kerültek ismertetésre. Az érintett hozzájárulása alkalmazása kapcsán felmerül a kérdés, hogy a mesterséges intelligencia rendszerek alkalmazása esetén miként szerezhetők be az érintetti hozzájárulások, és hogyan bizonyíthatja az adatkezelő, hogy az érintett hozzájárulása valóban önkéntes volt. További kihívást jelenthet, hogy az érintett bármikor gyakorolhatja a hozzájárulás visszavonásának a jogát, amely alapján az adatkezelést az érintett tekintetében be kell fejezni és a kezelt személyes adatot törölni kell. Az adat törlésére vonatkozó kötelezettség pedig hatással lehet az MI rendszer működésére, funkcionalitására. 

A szerződéses adatkezelés csak az érintettel szerződéses viszonyban álló adatkezelő tekintetében adhat jogalapot az adatkezeléshez. Az Európai Bíróság a C-252/21 ügyben kimondta, hogy ahhoz, hogy az adatkezelés a „[…] szerződés teljesítéséhez szükségesnek lehessen tekinteni, annak objektíve elengedhetetlennek kell lennie az érintettnek nyújtott szerződéses szolgáltatás szerves részét képező cél megvalósításához.

A jogos érdek alkalmazásával kapcsolatban három felügyeleti hatóság eltérő álláspontot képvisel. A Francia Adatvédelmi Hatóság véleménye szerint elképzelhető a jogos érdek alkalmazása, amennyiben az adatminimalizálás elve teljesül. Az EU ChatGPT Taskforce is elismeri a jogos érdek alkalmazásának lehetőségét, azonban hangsúlyozták, hogy ennek alkalmazása több kockázatokat is hordozhat magával. A Holland Adatvédelmi Hatóság álláspontja alapján a web scraping (egy olyan szoftver, ami képes kinyerni egy webhely adatait, saját célú felhasználásra) esetén nem alkalmazható ez a jogalap, mivel ehhez jellemzően gazdasági érdek kapcsolódik, így az nem érvényesíthető az érintett jogainak sérelme nélkül.

Összegezve látható, hogy a mesterséges intelligencia használatának és elterjedésének növekedésével a szabályozás folyamatosan fejlődik, azonban még mindig akadnak olyan kérdések, amelyek további pontosításra, kiegészítésre szorulnak. Bár a jogalkotók folyamatosan törekednek a változó technológiai környezethez való alkalmazkodásra, a mesterséges intelligencia sajátosságai miatt számos jogi kérdés még további tisztázásra szorul.

Dr. Miklós Péter, ügyvéd

Németh Anna, jogi munkatárs

Amennyiben adatvédelem területén ügyvéd segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu

FŐOLDAL | BEMUTATKOZÁS | ADATVÉDELEM | EGYÉB JOGTERÜLETEK | BLOG | KAPCSOLAT

Adatkezelési Tájékoztató  | Impresszum

Ezt a honlapot a Budapesti Ügyvédi Kamarában bejegyzett Dr. Miklós Péter Ákos egyéni ügyvéd (székhely: 1028 Budapest, Piszke utca 14., adószám: 42982117-2-41, KASZ szám: 36079442) tartja fenn az ügyvédekre vonatkozó jogszabályok és belső szabályzatok szerint, melyek az ügyféljogokra vonatkozó tájékoztatással együtt a www.magyarugyvedikamara.hu honlapon találhatóak. A honlapon elérhető blogbejegyzések, cikkek nem minősülnek konkrét jogi tanácsadásnak, ajánlattételnek vagy erre történő felhívásnak. Célja, hogy az érdeklődő tájékozódni tudjon Dr. Miklós Péter Ákos egyéni ügyvéd szakterületeiről. A honlap a Magyar Ügyvédi Kamara (MÜK) Elnökségének "Az ügyvédi honlap tartalmáról" szóló 2/2001 (IX.3.) számú állásfoglalásának, valamint a MÜK 6/2018. (III. 26.). számú szabályzatának 10. fejezetében leírtak figyelembevételével készült.  Jogi közlemény.

Honlapkészítés: ZK DESIGN - Ügyvédhonlap