A Személyes Adatok Kezelésének Jogi Alapjai az MI-modellekben
A mesterséges intelligencia (MI) egyre szélesebb körű alkalmazásával szükségszerűen központi kérdésként kell foglalkozni az adatvédelmi aspektussal, hiszen a személyes adatok kezelése az MI-rendszerek fejlesztése és bevezetése során kizárólag az általános adatvédelmi rendelet (GDPR) szerinti megfelelő jogalap fennállása esetén tekinthető jogszerűnek. Az előző – „Mesterséges Intelligencia és Adatvédelem: Az Innováció és a GDPR alapelveinek összehangolása” címmel megjelent – bevezető cikkünkben az Európai Adatvédelmi Testület (EDPB) mesterséges intelligencia modellek alkalmazásával összefüggő, személyes adatok kezelésére vonatkozó egyes adatvédelmi szempontokról szóló 28/2024. számú véleménye tükrében tárgyaltuk az MI és az adatvédelem közötti egyensúly megteremtésének összetett kérdéskörét, valamint az MI-modellek életciklusát végig kísérő GDPR alapelveknek való megfelelés követelményrendszerét, különös tekintettel az anonimitás megállapításának feltételeire. Mostani cikkünk ennek folytatásaként részletekbe menően vizsgálja azokat a jogalapokat, amelyekre az MI-hez kötődő adatkezelés épülhet, továbbá bemutatja a hozzájuk kapcsolódó részkövetelményeket.
A lehetséges jogalapokat a GDPR 6. cikk (1) bekezdése sorolja fel, ezek közül az MI alapú adatkezelés szempontjából különösen az érintett hozzájárulása, szerződés teljesítése, valamint az adatkezelő vagy harmadik fél jogos érdeke emelendő ki.
Jogos Érdek
A jogos érdek jogalapra vonatkozóan az EDPB véleménye általános szempontokat határoz meg, amelyeket a felügyeleti hatóságoknak figyelembe kell venniük annak megítélésekor, hogy a személyes adatok MI-modellek fejlesztése és bevezetése céljából történő kezelése esetén a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek megfelelő jogalapnak tekinthető-e. Az alkalmazhatóságról való meggyőződés megkönnyítése érdekében az EDPB az alábbi három lépcsős tesztet bocsátotta az adatkezelők rendelkezésére:
Első Lépés – Jogos érdek érvényesítése az adatkezelő vagy harmadik fél által: A jogos érdeknek jogszerűnek, pontosan meghatározottnak, valamint valósnak és fennállónak kell lennie.
- Példák: társalgási ügynök (conversational agent) fejlesztése, csalás felismerésére szolgáló MI-rendszer, informatikai fenyegetések detektálása
Második Lépés – Szükségességi teszt: A jogos érdekeken alapuló adatkezelés során az adatkezelőnek a szükségességi teszt keretében igazolnia kell, hogy a személyes adatok kezelése elengedhetetlen a cél eléréséhez, és nem áll rendelkezésre kevésbé beavatkozó alternatíva. Ez a követelmény az általános adatvédelmi rendelet adattakarékossági elvéből ered, amely szerint csak a célhoz feltétlenül szükséges adatokat szabad felhasználni. A szükségesség vizsgálatakor azt kell mérlegelni, hogy a tervezett adatkezelés valóban alkalmas-e a jogos érdek elérésére, illetve van-e kevésbé beavatkozó, de ugyanolyan hatékony alternatíva. Ez különösen fontos mesterségesintelligencia-modellek fejlesztésekor, ugyanis ha a cél személyes adatok nélkül is elérhető, az adatkezelés nem indokolt. Az értékelés során figyelembe kell venni az adatkezelés kontextusát, például, hogy az adatkezelő közvetlen kapcsolatban áll-e az érintettekkel, illetve, hogy az adatok mennyisége és jellege arányos-e a megjelölt jogos érdekkel. A felügyeleti hatóságoknak értékelniük kell a technikai és szervezési biztosítékokat, például az anonomizálást, amelyek csökkenthetik a kockázatokat, és segíthetnek a szükségességi feltétel teljesítésében.
Harmadik Lépés – Érdekmérlegelési teszt: A harmadik, talán legösszetettebb lépés az érdekmérlegelés, amely az érintettek érdekeinek, alapvető jogainak és szabadságainak, valamint az adatkezelő vagy egy harmadik fél érdekeinek azonosításából, leírásából áll. Ezt követően az ügy sajátos körülményeit olyan módon kell mérlegelni, hogy bizonyítható legyen, hogy a jogos érdek megfelelő jogalapként szolgál az adott adatkezelési műveletek elvégzéséhez.
Az érintettek érdekeinek azokat a szempontokat tekintjük, amelyeket érinthet az adott adatkezelési művelet. Ilyen lehet például az önrendelkezési jog, vagyis, hogy az érintettek megtarthassák az kontrollt személyes adataik felett, továbbá pénzügyi érdekek, személyes előnyök, valamint egyes társadalmi-gazdasági érdekek, mint például jobb egészségügyi ellátáshoz vagy oktatás való hozzáférés.
Az érintettek alapvető jogai közé tartozik többek között a magán- és családi élet tiszteletben tartása, a személyes adatok védelméhez való jog, a véleménynyilvánítás szabadsága – amely sérülhet például közzétételre szánt tartalmak algoritmikus blokkolása esetén –, a munkavállaláshoz való jog – amely megvalósulhat például önéletrajzok MI általi előszűrése esetén –, vagy akár a megkülönböztetés tilalma és a testi-lelki sérthetetlensége. Ezek a jogok különösen akkor sérülhetnek, ha az adatkezelés nem kellően átlátható, ha diszkriminatív modellek kerülnek alkalmazásra, vagy ha az automatizált döntéshozatal felülvizsgálata nem biztosított. Az MI-modellek és érintetti alapjogok kapcsolatának vizsgálatakor azonban fontos felismerni az MI-modellek által kínált olyan előnyöket, mint például káros online tartalmak előszűrése, bizonyos alapvető szolgáltatásokhoz való hozzáférés megkönnyítése, vagy éppen egyes alapjogok gyakorlásának elősegítése. Az érdekmérlegelés során a pozitív és negatív hatásokat egyaránt megfelelően figyelembe kell venni és értékelni kell.
Az adatkezelés érintettekre gyakorolt hatásának vizsgálatakor kiemelt figyelmet kell fordítani a lényegi befolyást eredményező faktorokra, így az adott modell által kezelt adatok jellegére, az adatkezelés kontextusára, valamint az adatkezelés további következményeire.
A kezelt adatok jellege kapcsán figyelemmel kell lenni a GDPR 9. és 10. cikke által védett különleges adatkategóriákon, valamint a büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó adatokon túl bizonyos rendkívül bizalmas személyes adatok – például pénzügyi vagy helymeghatározási adatok – kezelésére is, hiszen utóbbiak egyaránt komoly kockázatot hordozhatnak az érintettekre nézve, továbbá gazdasági (például foglalkoztatással összefüggő hátrányos megkülönböztetés) és reputációs (például rágalmazás) hátrányokhoz vezethetnek.
Az adatkezelési kontextus vizsgálata során elsődlegesen azonosítani kell mindazon tényezőket, amelyek az érintettek alapvető jogaira és szabadságaira potenciális kockázatot jelenthetnek, majd ezt követően fel kell mérni ezen kockázatok jellegét és súlyát. A kockázatot jelentő tényezők – így például a biztonsági intézkedések nem megfelelő szintje, a kezelt adatok kombinálása más adatkészletekkel, webes szüretelés (web scrapping), vagy akár a modell fejlesztésének, bevezetésének módja – vonatkozásában kiemelten fontos a modell jellegének és tervezett operatív felhasználásának alapos értékelése. A kockázatok súlyának felmérése olyan tényezőkre kell kiterjedjen, mint például a személyes adatok kezelésének módja, mértéke, a kezelt adatok mennyisége, az érintettek státusza (például gyermek vagy más okból sérülékeny csoportokba tartozó érintettek), illetve az adatkezelő és az érintettek kapcsolata (például ügyféli kapcsolat).
Az további következményeinek vizsgálata során a felügyeleti hatóságoknak minden esetben az adott adatkezeléshez kapcsolódó konkrét tények figyelembevételével kell feltárnia és értékelnie a várható hatásokat, amelyek növelhetik az alapvető jogok sérelmének kockázatát, különös tekintettel a fizikai, vagyoni vagy nem vagyoni károkra, valamint a hátrányos megkülönböztetés lehetőségére. Amennyiben az MI-modell bevezetése során a személyes adatok kezelése mind a fejlesztési szakaszban, mind a bevezetési szakaszban érintett személyek adataira kiterjed, a felügyeleti hatóságoknak az érdekmérlegelési teszt ellenőrzésekor e két érintetti kategória jogait, szabadságait és érdekeit érintő kockázatokat egymástól elkülönítve kell azonosítaniuk és mérlegelniük. A további következmények bekövetkezésének valószínűsége tekintetében fontos figyelembe venni minden technikai és szervezési intézkedést, különösen a generatív mesterséges intelligencia visszaéléseinek megelőzését szolgáló kontrollokat, mivel a deepfake-ek, dezinformáció, adathalászat, csalásra felhasznált chatbotok vagy manipulatív MI-ügynökök jelentősen növelhetik a jogsérelem kockázatát.
A GDPR (47) preambulumbekezdése szerint a jogos érdek fennállásának megállapításához mérlegelni kell, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor. Az érintettek észszerű elvárásai kulcsfontosságúak az érdekmérlegelés körében, melynek oka többek között az MI-modellek összetettségéből eredő nehezen átlátható működésre vezethető vissza. Az EDPB felhívja a figyelmet, hogy az érintettek tájékoztatása bár figyelembe vehető annak értékelésekor, hogy az érintettek észszerűen számíthatnak-e személyes adataik kezelésére, a GDPR által megkívánt átláthatósági követelmények, illetve adatkezelési tájékoztatóban feltüntetett, MI-modell fejlesztési szakaszára vonatkozó információk önmagukban nem elegendőek az elvárhatóság bizonyításához. A fejlesztési szakaszban zajló adatkezelés kapcsolatban az érintett ésszerű elvárásainak értékelésnek ki kell terjednie többek között
- arra, hogy a személyes adatok nyilvánosan hozzáférhetőek voltak-e,
- arra, hogy van-e a felek között fennálló kapcsolat, és ha igen, akkor milyen jellegű,
- az adatgyűjtés forrásaira,
- a szolgáltatás jellegére,
- a modell lehetséges további felhasználására és
- arra, hogy az érintettek tudatában vannak-e adataik online elérhetőségének.
Az elvárások eltérhetnek attól függően, hogy az adatokat az érintett maga hozta-e nyilvánosságra vagy más forrásból származnak, illetve, hogy milyen lépéseket tettek a tájékoztatás érdekében. Fontos vizsgálni azt is, hogy az érintettek tisztában voltak-e azzal, hogy adataikat a modell személyre szabására vagy a szolgáltatás javítására használják fel.
Amennyiben az értékelés keretében megállapítható, hogy az érintettek érdekei, jogai, illetve szabadságai elsőbbsége élveznek az adatkezelői oldal érdekeivel szemben, úgy utóbbi mérlegelheti bizonyos enyhítő intézkedések bevezetését az érintettekre gyakorolt hatás korlátozása érdekében. Az EDPB a fejlesztési és bevezetési szakra külön-külön számos intézkedést sorol fel példálózó jelleggel.
- A fejlesztési szakaszban ezen intézkedések közé tartozik például az álnevesítés, a személyes adatok anonimizálása, az egyéni azonosítókon alapuló adatok bármilyen kombinációjának megakadályozását célzó intézkedések, maszkolás, illetve az adatgyűjtés forrásainak korlátozása.
- A bevezetési szakaszban enyhítő intézkedések között szerepelnek többek között a személyes adatok tárolásának, regurgitációjának vagy generálásának megelőzése érdekében alkalmazható intézkedések, valamint a törlés valójog biztosítása modellkimeneti adatokból, illetve a betanítás utáni technikák tekintetében.
- Az EDPB véleménye konkrét intézkedéseket tartalmaz továbbá a webes szüreteléssel („web scraping”) kapcsolatban, melyek közé olyan technikai intézkedéseket sorol, mint például
- adattartalmak kizárása olyan kiadványokból, amelyek bizonyos személyekre vagy csoportokra nézve kockázatot jelentő személyes adatokat tartalmazhatnak;
- annak biztosítása, hogy meghatározott adatkategóriák ne kerüljenek gyűjtésre, illetve bizonyos források – például a témájuk érzékenysége miatt különösen beavatkozó jellegű weboldalak – ki legyenek zárva az adatgyűjtésből;
- az adatgyűjtés kizárása olyan weboldalakról (vagy azok részeiről), amelyek kifejezetten tiltják a webes szüretelést és tartalmuk mesterséges intelligencia betanítási adatbázisokban való felhasználását, például a robots.txt, ai.txt vagy más, az automatizált feltérképezés és szüretelés kizárására szolgáló elfogadott mechanizmusok figyelembevételével;
- kimaradási listák („opt-out lists”) létrehozása, amely lehetővé teszi az érintettek számára, hogy tiltakozzanak adataik bizonyos weboldalakon vagy online platformokon való gyűjtése ellen, még akár az adatgyűjtés megkezdése előtt, azáltal, hogy az adott oldalakon megadják az őket azonosító információkat.
További jogalapok: az Érintett Hozzájárulása és Szerződéses Kötelezettség Teljesítése
A mesterséges intelligencia és adatkezelés témakörben a jogos érdeken túl két további jogalap emelendő ki röviden, a GDPR 6. cikk (1) bekezdés a) pontja szerinti érintetti hozzájárulás, illetve a b) pont szerinti szerződéses kötelezettség teljesítése.
A hozzájárulás jogalapja abban az esetben alkalmazható, ha az adatkezelő közvetlen kapcsolatban áll az érintettekkel, amely többségében a bevezetési szakaszban fordul elő. Ezzel szemben a szerződés kötelezettség teljesítése, mint jogalap csak akkor alkalmazható, ha az MI-rendszer használata objektíven szükséges a szolgáltatás nyújtásához vagy a szerződés megkötéséhez (például személyre szabott árajánlat generálása). Kiemelendő azonban, hogy utóbbi nem alkalmazható azonban a fejlesztési fázisban vagy szolgáltatásfejlesztés céljára.
Összefoglalás
Az MI rendszerek működtetése során a személyes adatok védelmének biztosítása érdekében elengedhetetlen a jogalapok helyes megválasztása és a szükséges garanciális intézkedések meghozatala. A cikk átfogó jelleggel elemzi az MI-modellekhez kapcsolódó adatkezelés lehetséges jogalapjait, különös tekintettel a jogos érdek, az érintetti hozzájárulás és a szerződéses kötelezettség teljesítésének szerepére és alkalmazhatóságára. A témát körbejáró cikksorozatunk utolsó, soron következő részében az adatvédelmi hatásvizsgálat szabályait fogjuk részletesebben bemutatni, MI-vel kapcsolatos adatkezelés esetén.”
A cikk megírásában közreműködött: Czakó Barnabás