EU AI Act és GDPR megfelelés · Lecke 02

GDPR alapfogalmak és szereplők

Mielőtt bármit is kimondanánk a megfelelésről, tisztázni kell a négy legfontosabb fogalmat. Ez a lecke bemutatja, mi számít személyes adatnak és adatkezelésnek, és hogy ki az adatkezelő, ki az adatfeldolgozó egy hétköznapi AI-példán keresztül.

Vissza a tananyaghoz


Személyes adat: a kiindulópont

A GDPR 4. cikk 1. pontja szerint személyes adat az azonosított vagy azonosítható természetes személyre, vagyis az érintettre vonatkozó bármely információ. Azonosítható az a személy, aki közvetlen vagy közvetett módon azonosítható, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján. A felsorolás szándékosan tág, nem csak a névhez és a lakcímhez hasonló nyilvánvaló adatokra vonatkozik, hanem minden olyan tényezőre is, amely alapján egy személy beazonosítható.


Azonosító tényezők (4. cikk 1. pont) Név, szám Helymeghatározó adat Online azonosító Testi, fiziológiai Genetikai Szellemi Gazdasági Kulturális, szociális Bármelyik tényező elég ahhoz, hogy egy információ személyes adatnak minősüljön
A GDPR 4. cikk 1. pontja szerinti azonosító tényezők teljes felsorolása, a szellemi tényezővel együtt.

Adatkezelés: a személyes adaton végzett bármely művelet

A 4. cikk 2. pontja szerint adatkezelésnek minősül a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. Ide tartozik a gyűjtés, rögzítés, rendszerezés, tárolás, felhasználás, továbbítás, korlátozás, törlés vagy megsemmisítés is. A fogalom tehát nem csak a tárolást jelenti, hanem gyakorlatilag mindent, amit egy cég a személyes adattal tesz, a beérkezéstől a végleges törlésig.


  1. Gyűjtés, rögzítésAz adat bekerül a rendszerbe, például egy űrlapon vagy beszélgetésben.
  2. Rendszerezés, tárolásAz adat strukturálva, adatbázisban vagy fájlban megmarad.
  3. Felhasználás, továbbításAz adatot valamilyen célra használják, vagy más félnek átadják.
  4. Korlátozás, törlés, megsemmisítésAz adatkezelés lezárul, az adat végül törlődik vagy megsemmisül.

Adatkezelő és adatfeldolgozó: két különböző felelősség

A 4. cikk 7. pontja szerint az adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Az adatkezelő dönt arról, miért és hogyan történik az adatkezelés, és ő viseli az elsődleges felelősséget a jogszerűségért. Ezzel szemben a 4. cikk 8. pontja szerint az adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében kezeli a személyes adatokat. Az adatfeldolgozó csak az adatkezelő írásbeli utasítása és a 28. cikk szerinti szerződés alapján járhat el, saját döntést a célokról és eszközökről nem hozhat.


Adatkezelő meghatározza a célt és az eszközöket 4. cikk 7. pont 28. cikk szerinti szerződés Adatfeldolgozó írásbeli utasítás alapján kezeli az adatot 4. cikk 8. pont Érintett akire az adat vonatkozik Az adatkezelő felel a célért, az adatfeldolgozó csak az utasítás szerint járhat el
Az adatkezelő, az adatfeldolgozó és az érintett viszonya a GDPR 4. cikke szerint.

Adatkezelő felelőssége

  • Meghatározza az adatkezelés célját és eszközeit
  • Kijelöli a jogalapot
  • Elsődlegesen felel a jogszerűségért

Adatfeldolgozó felelőssége

  • Csak írásbeli utasítás alapján járhat el
  • 28. cikk szerinti szerződés köti az adatkezelőhöz
  • Saját célra nem használhatja az adatot

Egy hétköznapi példa: az ügyfélszolgálati chatbot

Vegyük egy cég ügyfélszolgálati chatbotját, amely AI-val válaszol az ügyfelek kérdéseire. A cég, amely a chatbotot üzemelteti és eldönti, milyen adatokat gyűjt és milyen célra, ebben a viszonyban az adatkezelő. Ha a cég egy külső AI-szolgáltató rendszerét használja a beszélgetések feldolgozására, és ez a szolgáltató a cég írásbeli utasítása és szerződése alapján, kizárólag a cég nevében kezeli az adatokat, akkor a szolgáltató adatfeldolgozóként jár el. Az ügyfél, aki a chatbottal beszélget, az érintett. A beszélgetésben megadott adatok, például a neve, az elérhetősége, vagy akár egy panasz szövegéből kiolvasható, a hangulatára utaló megjegyzés is személyes adatnak minősülhet, hiszen mindegyik a 4. cikk 1. pontja szerinti azonosító tényezőkhöz kapcsolódik.


CHATBOT BESZÉLGETÉS "A nevem Kovács Anna, a rendelésem nem érkezett meg, nagyon ideges vagyok emiatt, hívjanak a 06301234567-en." az érintett üzenete SZEMÉLYES ADAT-E? Név: igen, közvetlen azonosító Telefonszám: igen, azonosító Idegesség: igen, szellemi tényezőre utaló adat Rendelés ténye: igen, kapcsolódó
Egy rövid chatbot üzenetben szinte minden mondatrész a 4. cikk 1. pontja szerinti azonosító tényezőhöz kapcsolódik, a névtől a szellemi állapotra utaló megjegyzésig.

Adatkezelőönálló döntési kör
Adatfeldolgozóutasításhoz kötött kör
Érintettjogérvényesítési kör

A sávok a szereplők önálló döntési mozgásterét szemléltetik fogalmilag, nem jogszabályban rögzített arányszámot.


3

Legalább ennyi szerepet érdemes tisztázni minden AI-integráció előtt: ki az adatkezelő, ki lehet adatfeldolgozó, és pontosan mi minősül személyes adatnak a folyamatban.


Fontos. Ez a lecke oktatási célú, általános tájékoztatás, nem minősül jogi tanácsadásnak. Konkrét szereplői besoroláshoz mindig kérj szakszerű jogi véleményt.


← Előző lecke Következő lecke →

Workshop

AI Transformation Day

Egésznapos, vezetőknek szóló program. Feltérképezzük, hol tart a szervezet, mi az első reális lépés, és milyen belső feltételek szükségesek a sikerhez. A nap végén konkrét, prioritizált cselekvési lista.

Érdekel a program →