Megfelelés az AI Act-nek - gyakorlati példák az adatvédelmi feladatokra

2024. augusztus 1-én hatályba lépett az EU Mesterséges Intelligencia Rendelete (AI Act), és elkezdődött a felkészülés az új jogszabálynak való megfelelésre. Az előkészületek során az egyik leggyakrabban felmerülő kérdés, hogy az AI Act követelményei mellett a GDPR milyen konkrét elvárásokat támaszt az AI-rendszerek adatvédelmi megfelelőségével kapcsolatban.

A belga adatvédelmi hatóság (Autorité de protection des données / Gegevensbeschermingsautoriteit) nemrégiben „Mesterséges Intelligencia Rendszerek és a GDPR” címmel kifejezetten az AI rendszerek fejlesztésére és telepítésére vonatkozó iránymutatást tett közzé, amely több hasznos gyakorlati példát is tartalmaz, elsősorban a banki, a biztosítási és az egészségügyi szektorból.[1] Az alábbiakban ismertetjük a legfontosabbakat, hogy segítséget nyújtsunk abban, hogy az AI Act-nek való megfelelés során milyen szempontokat érdemes megvizsgálni és dokumentálni a GDPR-ral való összhang érdekében. A példák alapján érdemes lehet átnézni az adatkezelésekkel kapcsolatos belső nyilvántartásokat és külső adatkezelési tájékoztatókat, a bevezetett adatbiztonsági intézkedéseket, valamint az érintetti kérelmek és az adatvédelmi incidensek kezelésére szolgáló belső eljárásokat.

Az iránymutatás elérhető francia francia nyelven ITT és angol nyelven ITT.

1. Hogyan lehet pontosan meghatározni az AI-rendszerek körét?

Az AI Act pontos definíciót tartalmaz az „AI-rendszerekre”: “gépi alapú rendszer, amelyet különböző autonómiaszinteken történő működésre terveztek, és amely a bevezetését követően alkalmazkodóképességet tanúsíthat, és amely a kapott bemenetből – explicit vagy implicit célok érdekében – kikövetkezteti, miként generáljon olyan kimeneteket, mint például előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket, amelyek befolyásolhatják a fizikai vagy a virtuális környezetet”.

A definíció elméletibb megfogalmazása és a hatósági gyakorlat hiánya miatt az AI Act-nek való megfelelésre készülő szervezetek számára sokszor nehézséget okoz rendszereik pontos kategorizálása. A hatóság iránymutatása az alábbi értelmezési szempontok meghatározásával igyekszik segítséget nyújtani:

AI-rendszer például egy adatok elemzésére, mintázatok azonosítására és ennek a tudásnak a felhasználásával döntések vagy előrejelzések meghozatalára tervezett számítógépes rendszer.
Az AI-rendszer képes lehet tanulni az adatokból, idővel alkalmazkodóképességet tanúsíthat, és ennek a tanulási képességnek a felhasználásával javíthatja teljesítményét, különböző adatkészletek között összetett mintázatokat azonosíthat, valamint pontosabb vagy árnyaltabb döntéseket hozhat.

A fenti két szemponton túl a hatóság iránymutatása négy konkrét AI-rendszer példáján keresztül mutatja be, milyen szempontok alapján érdemes vizsgálni és dokumentálni az egyes rendszerek működését:

Spamszűrők: elemzik az e-mailek tartalmát, spamre utaló mintázatokat azonosítanak, és eldöntik, hogy az e-mailek spamek-e, vagy sem. A felhasználói visszajelzések alapján az AI-rendszer képes tanulni és javítani a szűrési pontosságát.
Ajánlórendszerek: elemzik a felhasználók tartalomfogyasztási szokásait, mintázatokat azonosítanak a hasonló profilú felhasználók preferenciáiban, és eldöntik, milyen további tartalmakat ajánlanak.
Virtuális asszisztensek: elemzik a felhasználói kéréseket, mintázatokat azonosítanak a beszédben a kérések megértése céljából, és eldöntik, hogyan reagáljanak a felhasználói kérésekre; adott esetben pedig alkalmazkodnak – a tanult felhasználói preferenciák szerint alakítják válaszaikat.
Orvosi képalkotó rendszerek: elemzik a feltöltött digitalizált képeket (például röntgenfelvételek), rendellenességre utaló mintázatokat azonosítanak, és eldöntik, mik lehetnek a lehetséges problémás területek, segítve ezzel a pontosabb diagnózis felállításával összefüggő döntéshozatalt.

2. Hogyan lehet biztosítani a GDPR egyes alapelveinek való megfelelést?

A GDPR 5. cikkében meghatározott, a személyes adatok kezelésére vonatkozó elveknek való gyakorlati megfelelés dokumentálása az AI-rendszerek használata során is kulcsfontosságú. Ennek a gyakorlati megvalósítását a hatóság iránymutatása az alábbi példák segítségével szemlélteti:

Célhoz kötött adatkezelés. A „célhoz kötöttség” alapelvével ellentétes lehet, ha egy bank természetes személyek hitelképességének értékeléséhez vagy hitelpontszámuk megállapításához használt AI-rendszere az ügyfélazonosítási adatok és a hitelminősítő információk mellett az érintett személy földrajzi helyadatait (például korábban felkeresett helyek) és közösségi média adatait (például barátok profiljai és érdeklődési körei) is felhasználja.
Adatpontosság. A „pontosság” alapelvével ellentétes lehet, ha egy bank AI-rendszerének betanítása során használt adatok (például: jövedelem, hitelmúlt és irányítószám) olyan időszakból származnak, amikor egy magasabb átlagjövedelemmel bíró városrészben a természetes személyek könnyebben kaptak hitelt. Emiatt a historikus torzítás alapján az AI-rendszer egy alacsonyabb átlagjövedelemmel rendelkező városrészből érkező hitelkérelmeket a megfelelő pénzügyi mutatók ellenére esetleg elutasíthatja. Pontosabb tanítóadat-készletek használatával ez elkerülhető lehet.
Tisztességes adatkezelés. A „jogszerűség, tisztességes eljárás és átláthatóság” alapelvének való megfelelés érdekében egy gépjármű-biztosítási díjak kiszámításához használt AI-rendszer működtetése során el kell kerülni az egyes személyek csoportjait hátrányosan érintő, elfogult eredményeket. A biztosítónak az adatforrások (például: irányítószám, nem, életkor) áttekintése során ezért azonosítania és csökkentenie kell a lehetséges torzításokat. Az AI-rendszer rendszeres tesztelése segíthet ebben – például, a gépjármű-biztosítási díjakat hasonló ügyfélprofilok esetében folyamatosan össze kell hasonlítani egymással, és azonosítani kell a szokatlan eltérések okát. Az AI-rendszer által hozott, jelentős hatású döntések esetén (például nagyobb díjemelés vagy szerződéskötési kérelem elutasítása) biztosítani kell az emberi felügyeletet.
Elszámoltathatóság: Az „elszámoltathatóság” alapelvének való megfelelés során lényeges az AI-rendszerek tervezésének és megvalósításának egyértelmű dokumentálása, továbbá formális az AI-rendszer szokatlan működése, vagy meghibásodása esetére incidenskezelési folyamat kialakítása. A gépjármű-biztosítási díjak kiszámításához használt AI-rendszer bevezetését megelőzően az AI Act 27. cikke alapján alapvető jogi hatásvizsgálatot kell végezni, elsősorban a tisztességes és megkülönböztetés-mentes díjszámítás megvalósítása céljából.

3. Milyen adatbiztonsági intézkedéseket kell alkalmazni az AI-rendszerek működése során?

A GDPR 32. cikkében meghatározott technikai és szervezési adatbiztonsági intézkedések AI-rendszerek használata során történő alkalmazását a hatóság iránymutatása egy tüdőrák diagnosztizálására használt, egészségügyi adatokat kezelő nagy kockázatú AI-rendszer példáján keresztül szemlélteti. Egy ilyen AI-rendszer esetében egy adatvédelmi incidens vagy hibás (pontatlan vagy téves adatokon alapuló) kimenet súlyos következményekkel járhat a páciensek egészségére nézve – az adatbiztonsági kockázatok csökkentése érdekében ezért fontos a páciens adatainak titkosítása, a hozzáférés és az adatok módosításának szigorú szabályozása, a rendszer biztonsági gyengeségeit feltáró penetrációs tesztelés, valamint a gyanús tevékenységek nyomonkövetését és kivizsgálását segítő naplózás.

Specifikus intézkedéseket kell tenni a tanítóadat-készletek védelmére:

Az adatok figyelemmel kísérése segít a tanítóadat-készletekben előforduló esetleges torzítások vagy manipulációk (például a röntgenképek hibás címkézése) eredetének azonosításában.
Elengedhetetlen a tanítóadat-készletekben előforduló, rosszindulatú beavatkozásra utaló szokatlan mintázatok (anomáliák – például hirtelen megjelenő, szokatlan tulajdonságokkal rendelkező röntgenképek) azonosítása és megjelölése.
Szükséges továbbá a nagy kockázatú adatpontok emberi ellenőrzése: például egészségügyi szakemberek bevonása az AI-rendszer betanítására használt kritikus (szokatlan jellemzőket mutató vagy a diagnózist jelentősen befolyásoló) röntgenképek felülvizsgálata során.

4. Hogyan biztosíthatók az érintettek adatvédelmi jogai az AI-rendszerek működése során?

Az AI-rendszerek működése által érintett személyeknek a GDPR III. fejezetében meghatározott adatvédelmi jogai érvényesülését a hatóság iránymutatása az alábbi két példával szemlélteti:

Az érintett hozzáférési joga. Egy gépjármű-biztosítási díjak kiszámításához használt AI-rendszer működésével kapcsolatban az ügyfél jogosult információt kérni a díj számításának módjával kapcsolatban. Válaszában a biztosító el kell magyarázza, milyen adatokat kezel az AI-rendszer működése során (például éves futásteljesítmény, baleseti előzmények, a gépjármű munkavégzési célú használata), és ügyfélbarát formában (például vizuális elemeket vagy gyakori kérdéseket és válaszokat tartalmazó) tájékoztatást kell adjon az AI-rendszer által végzett számítási folyamatról.
A helyesbítéshez való jog. A kockázatértékeléshez és az árképzéshez való használatra szánt AI-rendszerek használata esetén a gépjármű biztosítók online portálon, mobilalkalmazáson keresztül, vagy dedikált telefonvonalon keresztül kell, hogy biztosítsák ügyfeleik számára a biztosítási díjak kiszámításához használt adataik ellenőrzését, illetve frissítését. Ezen túlmenően, az adott biztosító az ügyfélprofilokban jelenítsen meg figyelmeztetéseket a hiányzó vagy esetleg pontatlan adatpontokra vonatkozóan, az adatfrissítésekkel kapcsolatban pedig maga is proaktívan keresse fel ügyfeleit.

Süti	Időtartam	Leírás
COOKIE_SUPPORT	1 year	Ezt a sütit a Liferay állítja be. Ez a süti annak ellenőrzésére szolgál, hogy a látogató böngészője támogatja-e a sütiket.
JSESSIONID		JSP-ben írt webhelyek használják. Általános célú platform-munkamenet sütik, amelyek a felhasználók állapotának az oldalletöltések közötti fenntartására szolgálnak.
PHPSESSID		Ez a süti a PHP-alkalmazásokban található. A cookie a felhasználók egyedi munkamenet-azonosítójának tárolására és azonosítására szolgál a felhasználói munkamenet kezelése céljából a weboldalon. A munkamenet-süti a böngésző összes ablakának bezárásakor törlődik.
SERVERID		Ez a süti arra szolgál, hogy a felhasználót egy adott szerverhez rendelje, így jobb és gyorsabb szerveridőt biztosít. Emlékszik arra, hogy melyik szerver szállította az utolsó oldalt a böngészőnek. Segít a terheléselosztásban is.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Süti	Időtartam	Leírás
Gdyn	1 year 1 month	Ezt a sütit a Gemius szolgáltató állítja be. Ezt a sütit a MOSS és a fejlett webstatisztikák technikai munkamérésének végrehajtásához használják.
GUEST_LANGUAGE_ID	1 year	Ez a süti a látogatók által preferált nyelvi azonosító tárolására szolgál.

Süti	Időtartam	Leírás
_ga	2 years	Ezt a sütit a Google Analytics telepíti. A cookie-t a látogatói, munkamenet- és kampányadatok kiszámítására és a webhely használatának nyomon követésére használják a webhely analitikai jelentéséhez. A cookie-k névtelenül tárolják az információkat, és egy véletlenszerűen generált számot rendelnek hozzá az egyedi látogatók azonosításához.
_gat_UA-112481-1	1 minute	Ez a Google Analytics által beállított mintatípusú cookie, ahol a névben lévő mintaelem tartalmazza a fiók vagy a weboldal egyedi azonosító számát, amelyre vonatkozik. Ez a _gat cookie egy változata, amelyet a Google által rögzített adatok mennyiségének korlátozására használnak a nagy forgalmú webhelyeken.
_gid	1 day	Ezt a sütit a Google Analytics telepíti. A süti arra szolgál, hogy információkat tároljon arról, hogy a látogatók hogyan használják a weboldalt, és segít a weboldal teljesítményéről szóló elemzési jelentés elkészítésében. Az összegyűjtött adatok között szerepel a látogatók száma, a forrás, ahonnan érkeztek, és a meglátogatott oldalak névtelen formában.
UID	2 years	No description available.

Süti	Időtartam	Leírás
_goa3session	2 days	Ezt a sütit a szolgáltató Adverticum állítja be. Ezt a sütit a hirdetések kiszolgálásának folyamatához és a hirdetők számára statisztikai adatok gyűjtéséhez használják.
fr	3 months	A sütit a Facebook állítja be, hogy releváns hirdetéseket jelenítsen meg a felhasználóknak, valamint mérje és javítsa a hirdetéseket. A cookie a felhasználó viselkedését is nyomon követi az interneten keresztül azokon az oldalakon, amelyek Facebook pixellel vagy Facebook social pluginnal rendelkeznek.
Gtest	1 year 1 month	Ezt a sütit a felhasználói viselkedés és a weboldalon végzett tevékenységek gyűjtésére használják a weboldal optimalizálása érdekében. Segít továbbá a Google Ads és a Google Analytics számára a látogatói információk marketing célú összeállításában.
i	1 year	Nincs információ.
IDE	1 year 24 days	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden más hirdetést a weboldal meglátogatása előtt. Ezt arra használják, hogy a felhasználóknak a felhasználói profilnak megfelelő, számukra releváns hirdetéseket jelenítsenek meg.
mc	1 year 1 month	Ez a cookie a Quantserve-hez kapcsolódik, hogy anonim módon nyomon követhesse, hogy a felhasználó hogyan lép kapcsolatba a weboldallal.
test_cookie	15 minutes	Ezt a sütit a doubleclick.net állítja be. A cookie célja annak megállapítása, hogy a felhasználó böngészője támogatja-e a cookie-kat.
VISITOR_INFO1_LIVE	5 months 27 days	Ezt a sütit a Youtube állítja be. A weboldalon beágyazott YouTube-videók információinak nyomon követésére szolgál.
YSC	session	Ezt a sütit a Youtube állítja be, és a beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_goa3test	2 years	No description available.
_ia_uid	5 months 27 days	No description
_ia_version	5 months 27 days	No description
CONSENT	16 years 6 months	No description
INX_CHECKER2	16 years 6 months	No description available.
legacy-psid		No description available.
nxdigitolvasosession		No description
psid	session	Nincs elérhető információ.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

Kapcsolódó tartalmak

Állásra jelentkezők személyes adatainak megőrzése

A munkavállalói fényképek használatának GDPR szerinti jogalapja

Parkolóőrök testkamerával az atrocitásokkal szemben: jogszerű-e?

Egészségügyi adatokhoz való hozzáférési jog – mire érdemes figyelni?

Whistleblowing és adatvédelem – amiről nem beszél a jogszabály

Új fejezet a transzatlanti adatforgalom terén – elfogadásra került a Privacy Framework

Az új Bejelentővédelmi Törvény – gyorstalpaló a felkészüléshez

NAIH: rugalmasabb megközelítés a munkavállalói dokumentumok lemásolásával kapcsolatban

Fontos EUB döntés született az adatvédelmi tisztviselők elbocsátásáról és összeférhetetlenségéről szóló rendelkezések értelmezése kapcsán