2023-09-13 | Adatvédelem, Data Protection, IT jog
AI Act
A rendelet egy olyan jogalkotási javaslat, amely a mesterséges intelligencia szabályozására irányul, annak potenciális káros hatásának kiküszöbölése érdekében. A tervezet kockázatalapú megközelítést alkalmaz, és attól függően, hogy a mesterséges intelligencia mekkora kockázatot jelent, bizonyos kötelezettségeket ír elő az AI-rendszereket fejlesztők és telepítők számára.
A tervezet szerint tilosak lesznek azok az AI-rendszerek, amelyek elfogadhatatlan szintű kockázatot jelentenek az emberek biztonságára nézve. Betiltja pl. a biometrikus azonosításhoz, érzelem felismeréshez, illetve prediktív rendfenntartáshoz használt AI-rendszereket. Azaz a jövőben az Európai Unió területén nem lehet olyan térfigyelő kamerákat alkalmazni, amelyek a járókelők azonosítását végzik, érzelmeit ismerik fel, vagy a korábbi bűnözői magatartásukon alapuló profilt alkotnak. A magas kockázatú listára felkerültek a közösségi média platformok által használt olyan ajánlórendszerek is, amelyek alkalmasak a politikai választások kimenetelének befolyásolására.
A gyorsan fejlődő ChatGPT-hez hasonló, generatív AI-rendszerek kapcsán a Parlament döntése értelmében a tervezet előírja, hogy a generatív AI rendszerek tájékoztassák a felhasználókat arról, hogy a tartalom AI által generált, annak érdekében, hogy a felhasználók meg tudják különböztetni az ún. deep-fake és a valós képeket. Emellett az AI rendszerek tanításához felhasznált szerzői joggal védett adatok részletes összefoglalóit is nyilvánosan hozzáférhetővé kell tenni.
Az AI Act az első kötelező erejű szabályozás lesz az Európai Unióban, így az innovatív informatikai vállaltoknak és vállalkozásoknak érdemes felkészülniük a jövőbeli kötelezettségek betartására. Ha többet szeretne megtudni az AI Act jövőjéről és múltjáról erre a linkre kattintva elolvashatja az AI Act-ről szóló elemző cikkünket!
Profilalkotás és az automatizált döntéshozatal
A mesterséges intelligencia egy ún. gépi tanulást alkalmaz, mely során a betáplált adatok alapján az algoritmus mintákat keres, a minták alapján pedig modellt generál. A felhasználást tehát egy tanulási fázisnak kell megelőznie minden esetben. A tanulási fázis során, a személyes adatokon automatizált műveletek összessége, vagyis a GDPR szerinti adatkezelés történik. Emellett a felhasználás során a GDPR szerinti profilalkotásra, esetleges automatizált döntéshozatalra is sor kerülhet.
Profilalkotás a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, vagy előrejelzésére használják. Az értékelés vagy elemzés a GDPR által felhozott példák szerint munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzőkhöz kapcsolódhat. Profilalkotásról beszélünk akkor is, ha a végső döntést ember hozza.
Amennyiben az AI emberi beavatkozás nélkül hoz meg döntéseket, úgy automatizált döntéshozatalról beszélünk. Az automatizált döntéshozatal hatóköre eltérő lehet, így megállapíthatjuk, hogy a profilalkotás és az automatizált döntéshozatal nem feltétlenül elkülönült tevékenységek. A GDPR főszabálya szerint az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt jelentős mértékben érintené. Az automatizált döntésekre vonatkozó speciális szabályok szerint az AI akkor használható jogszerűen, ha arra vagy szerződés, jogszabály, kifejezett hozzájárulás megfelelő jogalapot szolgáltat.
Az igazi probléma akkor jelentkezik, amikor a rendszert tanító programozó nem látja át azt, hogy az adatokat az algoritmus miként használta fel, márpedig a GDPR az alapelvek között rögzíti az adatkezelés átláthatóságát, méghozzá a jogszerűség és a tisztességes eljárás követelményével egy sorban. Az átláthatóság követelményének az érintett könnyen hozzáférhető tájékoztatásával lehet eleget tenni, méghozzá az automatizált döntéshozatalra vonatkozó speciális elvárásoknak megfelelve, tehát:
- tájékoztatni kell az érintettet az automatizált döntéshozatalról,
- annak alkalmazott logikájáról,
- valamint arról, hogy ez milyen várható következményekkel fog járni az érintettre nézve.
A tájékoztatás során nem elvárás, hogy üzleti titkot vagy szellemi tulajdonhoz való jogot sértsünk, de érdemi információt kell nyújtani a fentiekről az érintettnek.
Amennyiben a GDPR-al és az adatvédelemmel kapcsolatban többet szeretne megtudni erre a linkre kattintva elérheti az adatvédelmi incidensekkel és biztonsággal foglalkozó cikkünket.
A személyes adatokhoz való hozzáférés és biztonság
A hozzáférési jog különböző törvények szerint különböző formákat ölthet, azonban mindegyik szabályozás lényegét tekintve megegyezik. A GDPR értelmében például az érintetteknek jogukban áll részletesen átnézni, hogy egy vállalat milyen adatokat gyűjt róluk, a vállalkozás birtokában lévő pontatlan adatok kijavítását, valamint személyes adataik teljes törlését kérni. Az érintett azt is kérheti, hogy a vállalkozás az adatai kezelését csak meghatározott célra korlátozza, adatait más szolgáltatóhoz továbbítható formátumban kérje, illetve, hogy ne legyen alávetve a korábban már említett automatizált döntéshozatalnak.
Minden átfogó adatvédelmi törvény előírja, hogy a vállalkozásnak ésszerű ellenőrzéseket kell végrehajtania az általa gyűjtött és kezelt személyes adatok védelme érdekében, beleértve azt is, amikor az adatkezelést a szolgáltató végzi. Sok vállalkozás nem teljesíti ezt a követelményt, sok esetben csak feltételezik az összes vonatkozó követelménynek való megfelelést. A manapság nagy népszerűségnek örvendő chatbotok közül is már több ismert chatbotnál is felmerültek biztonsági problémák a vállalkozások hanyagságából kifolyólag.
Az adatvédelmi törvények közül a legtöbb további követelményként írja elő, hogy egy vállalkozás kockázatértékelést végezzen annak biztosítására, hogy az érintettet érő kár kockázata ne haladhassa meg az adatkezelésből elért hasznot.