Hogyan gyűjtsünk tanítóadatot jogszerűen egy MI-rendszer betanításához? - Szakértői összefoglaló a lagfontosabb tudnivalókról!

Az MI-rendszerek jogi megfeleltetése nem a bevezetésével, de még csak nem is a fejlesztésével kezdődik, hanem annál is előbb, hiszen ahhoz, hogy neki tudjunk állni a fejlesztésnek, tanítóadatokra van szükség, amelyeknek birtoklásához és felhasználásához jogszerű kereteket kell biztosítani. De mi is pontosan a tanítóadat? Miért van rá szükség? És mik lehetnek a beszerzésének jogi buktatói? – Cikkünk összefoglalja a legfontosabb tudnivalókat!

Mi az a tanítóadat és miért van szükség rá?

A tanítóadat alapvetően nem új keletű dolog, azonban fogalmát azonban jogszabályi szinten csak a tavalyi évben hatályba lépett, az Európai Unió 2024/1689. a mesterséges intelligenciáról szóló rendeletének 3. cikk 29. pontja határozza meg, mely szerint: a tanítóadatok olyan adatok, amelyeket egy MI-rendszer megtanulható paramétereinek illesztése révén történő tanítására használnak.

Az MI-rendszerek, különösen a gépi tanulás modellek, adatokból tanulnak. A tanítóadatok segítenek a rendszernek „meglátni” és „megérteni” a mintákat és összefüggéseket, felállítani a megfelelő logikai láncolatokat, amelyek alapján később önállóan döntéseket hozhat. Ehhez pedig nagy mennyiségű, pontos, és jó minőségű adatokra van szükség.

Mik lehetnek a tanítóadatok beszerzésének jogi buktatói?

Lehetetlenség lenne annak meghatározása – akár csak vázlatos jelleggel is – hogy hány féle forrásból és hány féle típusú tanítóadat létezhet. Azonban rendelkezzünk bármilyen tanítóadattal is, mindig meg kell vizsgálnunk, hogy azok között van-e, ami tartalmaz:

üzleti titkot vagy know how-t,
szerzői joggal védett tartalmakat,
személyes adatokat.

Jelen írás csak az utóbbira tér ki. Aki valaha tanult bármilyen küzdősportot, harcművészetet, az biztosan hallhatta már, hogy az önvédelem első és leghatékonyabb eszköze a konfliktus elkerülése. Nos, ez az elv igaz a tanítóadatként használt személyes adatokra is. Amennyiben egy mód és lehetőség van rá, – már csak a GDPR adattakarékosság elve (GDPR 5. cikk (1) bekezdés c) pont) miatt is – próbáljuk kerülni a személyes adatok felhasználását MI rendszer tanításához. Ha ez nem lehetséges, próbáljuk meg anonimizálni (pl. online profilban vásárlási szokásokra vonatkozó adatok felhasználása az online profil azonosítóinak maszkolásával).

Azonban, ha mégis kizárólag személyes adattal lehetséges az adott MI rendszer tanítása, akkor mindenképp figyelemmel kell lenni a megfelelő jogalapra.

Megfelelő jogalap kérdése

Természetesen a tanítóadatok gyűjtése is olyan adatkezelési cél, amely esetében a GDPR 6. cikk (1) bekezdése szerinti jogalapot kell tudni igazolni. Nem túl valószínű, hogy a tanítóadatok gyűjtését lehet például szerződés (GDPR 6. cikk (1) bekezdés b) pont) vagy jogi kötelezettség (GDPR 6 cikk (1) bekezdés c) pont) teljesítése vagy akár közfeladat végrehajtására (GDPR 6. cikk (1) bekezdés e) pont) alapozni.

Azonban könnyen lehetséges, hogy az érintetteket hozzá tudjuk járultatni (GDPR 6 cikk (1) bekezdés a) pont) ahhoz, hogy személyes adataik felhasználását engedélyezzék részünkre. Jó példa erre az, amikor egy Call Center felhívása során az ügyintéző kapcsolása előtt megkérdezik a telefonálót, hogy szeretne-e hozzájárulni a hangjának, mint személyes adatának MI rendszer tanításához való felhasználásához – itt az érintettet olyan helyzetbe hozzuk, hogy még az adatok felvétele előtt döntést hozhat. Természetesen fontos, hogy a hozzájárulás megadását és annak idejét igazolni tudjuk, hiszen mindenképp meg kell felelni az elszámoltathatóság elvének (GDPR 5. cikk (2) bekezdés). Szerencsére a GDPR nem írja elő, technikailag milyen formában szerezzük be a hozzájárulásokat, tehát a példában említett esetben járható út a hozzájárulások (hang)rögzítése vagy akár a klasszikusabb módszerek, mint a checkbox és nyilatkozat is rendelkezésre állnak.
De mi a helyzet akkor, ha az adatok már a birtokunkban vannak, csak azokat eredetileg más célból gyűjtöttük? Rendkívül elterjedt, hogy online viselkedésre vonatkozó adatokra, vásárlási szokásokra, e-mail üzenetváltásra vagy chat előzményekre van szükség egy MI rendszer tanításához. Az, hogy ezek az adatok rendelkezésre állnak, nem azt jelenti, hogy automatikusan felhasználható MI rendszer tanítására is. Továbbá nem minden esetben megoldható, hogy a kellő számú érintettet hozzájárultassunk birtokunkban lévő adataik MI rendszer tanításához való felhasználásához. Ilyenkor jöhet szóba az adatkezelő jogos érdeke (GDPR 6. cikk (1) bekezdés f) pont). Természetesen ehhez érdekmérlegelésünk során nagyon alaposan körbe kell járni az adatkezelés esetleges kockázatait az érintettre nézve, valamint ki kell fejteni, miért nem volt más mód, alternatíva MI rendszerünk tanítására. Továbbá figyelembe kell venni a GDPR 6. cikk (4) bekezdésében [1] előírt, az adatgyűjtés eredeti céljától eltérő adatkezelés szabályaira vonatkozó rendelkezéseket.

Bármely jogalapot is választjuk, nem tekinthetünk el a GDPR 12-14. cikkének megfelelő tájékoztatástól, különös tekintettel arra, hogy az érintettek számára érthető kell, hogy legyen, hogy személyes adataik gyűjtése miért nélkülözhetetlen, hogyan függ össze az egy MI rendszer tanításával és a jövőben mire is szeretnénk a tervezett MI rendszert használni.

Továbbá fontos átgondolni, hogy szükség van-e adatvédelmi hatásvizsgálatra. Erről itt érdemes tájékozódni: Hatásvizsgálati lista – Nemzeti Adatvédelmi és Információszabadság Hatóság

Álláspontom szerint a deep fake és a dark weben árult adatbázisok világában elengedhetetlen, hogy az érintettek tájékozottak, az adatkezelők pedig elszámoltathatóak legyenek az MI rendszer fejlesztéshez felhasznált adatok vonatkozásában, elvégre ezzel már egyáltalán nem csak a nagy cégek foglalkoznak.

[1] Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

a) a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;

b) a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;

c) a személyes adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van-e szó;

d) azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;

e) megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.

Süti	Időtartam	Leírás
COOKIE_SUPPORT	1 year	Ezt a sütit a Liferay állítja be. Ez a süti annak ellenőrzésére szolgál, hogy a látogató böngészője támogatja-e a sütiket.
JSESSIONID		JSP-ben írt webhelyek használják. Általános célú platform-munkamenet sütik, amelyek a felhasználók állapotának az oldalletöltések közötti fenntartására szolgálnak.
PHPSESSID		Ez a süti a PHP-alkalmazásokban található. A cookie a felhasználók egyedi munkamenet-azonosítójának tárolására és azonosítására szolgál a felhasználói munkamenet kezelése céljából a weboldalon. A munkamenet-süti a böngésző összes ablakának bezárásakor törlődik.
SERVERID		Ez a süti arra szolgál, hogy a felhasználót egy adott szerverhez rendelje, így jobb és gyorsabb szerveridőt biztosít. Emlékszik arra, hogy melyik szerver szállította az utolsó oldalt a böngészőnek. Segít a terheléselosztásban is.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Süti	Időtartam	Leírás
Gdyn	1 year 1 month	Ezt a sütit a Gemius szolgáltató állítja be. Ezt a sütit a MOSS és a fejlett webstatisztikák technikai munkamérésének végrehajtásához használják.
GUEST_LANGUAGE_ID	1 year	Ez a süti a látogatók által preferált nyelvi azonosító tárolására szolgál.

Süti	Időtartam	Leírás
_ga	2 years	Ezt a sütit a Google Analytics telepíti. A cookie-t a látogatói, munkamenet- és kampányadatok kiszámítására és a webhely használatának nyomon követésére használják a webhely analitikai jelentéséhez. A cookie-k névtelenül tárolják az információkat, és egy véletlenszerűen generált számot rendelnek hozzá az egyedi látogatók azonosításához.
_gat_UA-112481-1	1 minute	Ez a Google Analytics által beállított mintatípusú cookie, ahol a névben lévő mintaelem tartalmazza a fiók vagy a weboldal egyedi azonosító számát, amelyre vonatkozik. Ez a _gat cookie egy változata, amelyet a Google által rögzített adatok mennyiségének korlátozására használnak a nagy forgalmú webhelyeken.
_gid	1 day	Ezt a sütit a Google Analytics telepíti. A süti arra szolgál, hogy információkat tároljon arról, hogy a látogatók hogyan használják a weboldalt, és segít a weboldal teljesítményéről szóló elemzési jelentés elkészítésében. Az összegyűjtött adatok között szerepel a látogatók száma, a forrás, ahonnan érkeztek, és a meglátogatott oldalak névtelen formában.
UID	2 years	No description available.

Süti	Időtartam	Leírás
_goa3session	2 days	Ezt a sütit a szolgáltató Adverticum állítja be. Ezt a sütit a hirdetések kiszolgálásának folyamatához és a hirdetők számára statisztikai adatok gyűjtéséhez használják.
fr	3 months	A sütit a Facebook állítja be, hogy releváns hirdetéseket jelenítsen meg a felhasználóknak, valamint mérje és javítsa a hirdetéseket. A cookie a felhasználó viselkedését is nyomon követi az interneten keresztül azokon az oldalakon, amelyek Facebook pixellel vagy Facebook social pluginnal rendelkeznek.
Gtest	1 year 1 month	Ezt a sütit a felhasználói viselkedés és a weboldalon végzett tevékenységek gyűjtésére használják a weboldal optimalizálása érdekében. Segít továbbá a Google Ads és a Google Analytics számára a látogatói információk marketing célú összeállításában.
i	1 year	Nincs információ.
IDE	1 year 24 days	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden más hirdetést a weboldal meglátogatása előtt. Ezt arra használják, hogy a felhasználóknak a felhasználói profilnak megfelelő, számukra releváns hirdetéseket jelenítsenek meg.
mc	1 year 1 month	Ez a cookie a Quantserve-hez kapcsolódik, hogy anonim módon nyomon követhesse, hogy a felhasználó hogyan lép kapcsolatba a weboldallal.
test_cookie	15 minutes	Ezt a sütit a doubleclick.net állítja be. A cookie célja annak megállapítása, hogy a felhasználó böngészője támogatja-e a cookie-kat.
VISITOR_INFO1_LIVE	5 months 27 days	Ezt a sütit a Youtube állítja be. A weboldalon beágyazott YouTube-videók információinak nyomon követésére szolgál.
YSC	session	Ezt a sütit a Youtube állítja be, és a beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_goa3test	2 years	No description available.
_ia_uid	5 months 27 days	No description
_ia_version	5 months 27 days	No description
CONSENT	16 years 6 months	No description
INX_CHECKER2	16 years 6 months	No description available.
legacy-psid		No description available.
nxdigitolvasosession		No description
psid	session	Nincs elérhető információ.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

Hogyan gyűjtsünk tanítóadatot jogszerűen egy MI-rendszer betanításához? – Szakértői összefoglaló a lagfontosabb tudnivalókról!

Kapcsolódó tartalmak

Hölgyem, Uram! – Lehet-e feltétele nemi identitására vonatkozó adat megadása vasúti menetjegy megvásárlásának? – Az EuB ítélete adatvédelmi kérdéseket tisztáz!

Az adatvédelem büntetőjogi aspektusai

Az egészségügyi dolgozók esete a Nagy Testvérrel – avagy lesz-e biometrikus beléptetés a Kórházakban?! – Hatályban az egészségügyi törvény módosítása!

Az Európai Bíróság legújabb adatvédelmi tárgyú ítéletei – A Magyar Jogász Egylet podcastja ITT meghallgatható!

Felelős AI – A mesterséges intelligencia irányításának gyakorlati megközelítése – Az NMHH együttműködésében megjelent szakirodalmi sorozat első kötetét ajánljuk!

Módosítási javaslatok a Mesterséges Intelligencia Felelősségi Irányelvhez – újra lendületben a jogalkotás?

Köteles-e az adatkezelő tájékoztatni az érintettet a nem közvetlenül tőle gyűjtött adatokra vonatkozóan? – Magyar ügyben döntött az EuB!

A mesterséges intelligencia szerepe és hatása a munkajogi és személyügyi döntésekben – Mit hoz a munkáltatók és a HR-esek számára az EU AI Act?

Hangrögzítő készülék gyerekkabátban és cipősarokban – Jogszerű-e lehallgatni a volt házastársat a kapcsolattartás során?