A mesterséges intelligencia (AI) technológiák gyors fejlődése jelentős lehetőségeket kínál az innováció és a társadalmi fejlődés terén. Ugyanakkor az AI modellek fejlesztése és alkalmazása során az adatvédelmi szabályoknak való megfelelés komoly kihívást jelent a fejlesztők és adatkezelők számára.
Az Európai Adatvédelmi Testület (EDPB) 2024 decemberében közzétett iránymutatása („Opinion 28/2024”) az AI modellek fejlesztésével és alkalmazásával kapcsolatban számos fontos adatvédelmi jogi következtetést tartalmaz. Ezek közé tartozik az AI modellek anonimitásának kérdése, a jogos érdek, mint jogalap alkalmazhatósága, valamint a fejlesztési szakaszban történt jogellenes adatkezelés hatása a későbbi felhasználásra. Ezeket a szempontokat részletesen megvizsgálva betekintést nyerhetünk abba, hogyan lehet az AI modelleket a GDPR-ral összhangban fejleszteni és alkalmazni.
1. Az AI modellek anonimitása és annak bizonyítása
A GDPR 4. cikkének (1) bekezdése a személyes adatot „azonosított vagy azonosítható természetes személyre (azaz az érintettre) vonatkozó bármely információként” határozza meg. Továbbá a GDPR (26) preambulumbekezdése előírja, hogy az adatvédelmi elvek nem alkalmazandók az anonim információkra, azaz azokra az információkra, amelyek nem kapcsolódnak azonosított vagy azonosítható természetes személyhez. Ezen rendelkezések tükrében egyértelművé válik, annak jelentősége, hogy az AI modellek anonimitásának kérdése központi jelentőségű a GDPR-nak való megfelelés szempontjából. Az EDPB véleménye szerint az AI modellek két kategóriába sorolhatók:
– Személyes adatokat szolgáltató modellek: Ezeknél a modelleknél fennáll a személyes adatok közvetlen kinyerésének valószínűsége azon személyek tekintetében, akiknek személyes adatait a modell kifejlesztéséhez felhasználták
– Nem személyes adatokat szolgáltató modellek: Ezek a modellek nem arra vannak tervezve, hogy személyes adatokat nyújtsanak, de fennáll annak a lehetősége, hogy közvetetten mégis személyes adatokat generáljanak.
Az előbbi két esetkörben egyaránt konkrét kritériumok alapján, eseti alapon vizsgálandó az adott mesterséges intelligenciamodell anonim jellege.
Az EDPB álláspontja szerint az anonimitás igazolásához legalább a következő feltételek teljesülése szükséges:
– a képzési adatokhoz kapcsolódó személyes adatok nem vonhatók ki a modellből; és
– a modell lekérdezése során előállított bármely kimenet nem vonatkozik azokra az érintettekre, akiknek személyes adatait a modell képzéséhez felhasználták.
Ezen feltételek teljesülése céljából lefolytatott hatásvizsgálatoknak:
– Figyelembe kell venniük a WP29 anonimizálási technikákról szóló 05/2014. számú véleményében és/vagy az EDPB iránymutatásaiban meghatározott elemeket. (ha nem lehetséges az állítólag anonimizált adatállományból információt összekapcsolni és levezetni, akkor az adatok anonimnak tekinthetők; amennyiben egy javaslat nem felel meg valamelyik kritériumnak, az azonosítási kockázatok alapos értékelését kell elvégezni)
– Az adatkezelő vagy más személy által az egyének azonosítására ésszerűen valószínűsíthetően használt valamennyi eszköz igénybevételével kell megvalósulniuk.
– Ki kell terjedniük az azonosítási kockázatok felmérésére, mely keretében vizsgálandó, a szóban forgó adatokhoz való hozzáférhetőség vagy azok feldolgozásának lehetősége.
Az EDPB arra a következtetésre jutott, hogy egy mesterséges intelligenciamodell anonim minőségéhez elengedhetetlen, hogy
– a modell képzéséhez használt természetes személyek személyes adatainak közvetlen kinyerésének valószínűsége; valamint
– a lekérdezésekből fakadó szándékosan vagy nem szándékosan ilyen személyes adatokhoz való hozzáférés lehetősége minimális legyen.
Az adatkezelőknek az anonimitást bizonyító dokumentációval szükséges igazolniuk az anonimitási kritériumoknak való megfelelést. Ennek keretében az adatkezelők számára javasolt a következők alkalmazása és dokumentálása: a fejlesztési szakaszban használt személyes adatok gyűjtésének megakadályozása vagy korlátozása, az azonosíthatóságuk csökkentése, az adatok kinyerésének megakadályozása, illetve a támadásokkal szembeni ellenállóképességre vonatkozó biztosíték nyújtása
Az adatkezelőknek továbbá elengedhetetlen, hogy megfelelő technikai és szervezési intézkedéseket alkalmazzanak, hogy megakadályozzák a személyes adatok visszanyerését vagy azonosítását. Az EDPB hangsúlyozza, hogy az anonimitás bizonyítása során figyelembe kell venni a technológiai fejlődést és az újraazonosítás kockázatát.
2. A jogos érdek, mint jogalap alkalmazhatósága az AI modellek fejlesztésében és alkalmazásában
Az adatkezelési műveletek során a GDPR 6. cikk (1) bekezdésében foglalt jogalapok alkalmazhatóak. Az „jogos érdek”, mint jogalap (6. cikk (1) bek. f) pont) az AI modellek fejlesztésénél gyakran hivatkozott megoldás lehet, azonban az EDPB szerint a jogos érdek megfelelő alkalmazása három feltétel egyidejű teljesülését követeli meg:
1. Jogos érdek meghatározása: Az érdeknek törvényesnek, konkrétnak és valóságosnak kell lennie. Az AI fejlesztés keretében ilyen lehet például a csalásészlelési rendszerek fejlesztése vagy egy chatbot funkcionalitásainak javítása.
2. Személyes adatok kezelésének szükségessége: Az EDPB szerint az adatkezelésnek feltétlenül szükségesnek kell lennie a jogos érdek eléréséhez. Alternatív, kevésbé invazív megoldások keresése kulcsfontosságú.
3. Érdekek mérlegelése: Az adatkezelő érdekei nem haladhatják meg az érintettek jogait és szabadságait. Ebben az összefüggésben az érintettek elvárásainak vizsgálata, valamint a transzparens tájékoztatás alapvető jelentőségű.
3. A fejlesztési szakaszban történt jogellenes adatkezelés hatása a későbbi felhasználásra
Az EDPB kiemeli, hogy ha az AI modell fejlesztési szakaszában jogellenes adatkezelés történt, az hatással lehet a modell későbbi alkalmazásának jogszerűségére is. Ezért az adatkezelőknek biztosítaniuk kell, hogy a fejlesztési szakaszban minden adatkezelési tevékenység megfeleljen a GDPR előírásainak, beleértve a megfelelő jogalap meglétét, az adatminimalizálás elvének betartását és az érintettek jogainak tiszteletben tartását.
Az AI modellek fejlesztése és alkalmazása során az adatkezelőknek emellett különös figyelmet kell fordítaniuk a következőkre:
– Adatvédelmi hatásvizsgálat (DPIA): Az AI rendszerek gyakran magas kockázatot jelentenek az érintettek jogaira és szabadságaira nézve, ezért az adatkezelőknek DPIA-t kell végezniük a GDPR 35. cikke alapján.
– Adatvédelmi alapelvek betartása: Az adatkezelőknek biztosítaniuk kell az átláthatóságot, célhoz kötöttséget, adattakarékosságot, pontosságot, korlátozott tárolhatóságot, integritást és bizalmas kezelést.
– Adatvédelmi incidens kezelése: Az adatkezelőknek fel kell készülniük az esetleges adatvédelmi incidensek kezelésére, beleértve azok bejelentését és az érintettek tájékoztatását.
4. Az illegális adatkezelés hatásai az AI modellekre
Az EDPB iránymutatása különösen fontos hangsúlyt fektet arra, hogy a jogellenes adatkezelés milyen következményekkel járhat az AI modellek további működésére nézve. Az iránymutatás három forgatókönyvet tárgyal:
– Az adatok modellben maradnak és további feldolgozásra kerülnek: Ebben az esetben az érintett adatkezelő kötelezettsége a jogszerűtlenség átfogó kivizsgálása.
– Az adatokat átadják egy másik adatkezelőnek: Az EDPB szerint az adatokat fogadó adatkezelőnek átfogó kockázatelemzést kell végeznie.
– Az adatok anonimizálása után folytatódik az AI modell működése: Amennyiben igazolható, hogy a modell anonimizált adatokkal működik tovább, az EDPB szerint a GDPR nem alkalmazandó a további adatfeldolgozásokra.
5. Javaslatok és következtetések
Az AI technológiák fejlesztése és alkalmazása során elengedhetetlen az adatvédelmi szempontok integrálása. Az EDPB iránymutatása részletes útmutatást ad arra, hogy a fejlesztők és adatkezelők miként tehetnek eleget a GDPR követelményeinek. A transzparens adatkezelés, a megfelelő jogalap kiválasztása és az anonimizálási technikák alkalmazása kulcsfontosságúak az AI jövője szempontjából.
2025.03.31.
Baffia Dániel, jogi munkatárs
Dr. Miklós Péter, adatvédelmi ügyvéd
Amennyiben adatvédelem területén segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu
