EU AI Act és GDPR megfelelés · Lecke 03

GDPR alapelvek és jogalapok

Minden adatkezelésnek két dolgot kell teljesítenie egyszerre. Meg kell felelnie a GDPR hét alapelvének, és kell hozzá legalább egy érvényes jogalap. Ez a lecke a kettőt mutatja be, és azt is, mit jelent ez egy AI rendszer betanításánál vagy futtatásánál.

Vissza a tananyaghoz


A hét alapelv (5. cikk)

A GDPR 5. cikke rögzíti azokat az elveket, amelyeknek minden adatkezelésnek meg kell felelnie, függetlenül attól, milyen jogalapon történik. Az 5. cikk (1) bekezdése hat anyagi alapelvet sorol fel az a) f) pontokban, a (2) bekezdés pedig egy hetediket teszi hozzá, ez az elszámoltathatóság elve. Ez azt jelenti, hogy nem elég betartani az elveket, az adatkezelőnek azt is igazolnia kell tudnia, hogy betartja őket.


  1. Jogszerűség, tisztesség, átláthatóság5. cikk (1) a). Kell hozzá érvényes jogalap, és az érintett világos tájékoztatást kap az adatkezelésről.
  2. Célhoz kötöttség5. cikk (1) b). Az adatot meghatározott, egyértelmű, jogszerű célból kell gyűjteni, más célra alapból nem használható.
  3. Adattakarékosság5. cikk (1) c). Csak annyi adat gyűjthető, amennyi a célhoz feltétlenül szükséges.
  4. Pontosság5. cikk (1) d). Az adatnak pontosnak, szükség esetén naprakésznek kell lennie, a pontatlan adatot törölni vagy helyesbíteni kell.
  5. Korlátozott tárolhatóság5. cikk (1) e). Az adat csak addig tárolható azonosítható formában, amíg a cél eléréséhez szükséges.
  6. Integritás és bizalmas jelleg5. cikk (1) f). Megfelelő technikai és szervezési intézkedésekkel biztosítani kell az adat biztonságát.
  7. Elszámoltathatóság5. cikk (2). Az adatkezelő felelős a fenti hat elvnek való megfelelésért, és képesnek kell lennie ezt igazolni.

7.

Az elszámoltathatóság a hetedik alapelv. Az 5. cikk (2) bekezdése szerint nem elég betartani a szabályokat, dokumentálni és bizonyítani is kell tudni, hogy az adatkezelés megfelel az 5. cikk (1) bekezdésének. Egy AI projektnél ez konkrétan azt jelenti, hogy legyen írásos nyilvántartás arról, milyen adatot, milyen jogalapon, milyen célra használ a rendszer.


5. CIKK (1) A) F): HAT ANYAGI ALAPELV a) Jogszerűség b) Célhoz kötöttség c) Adattakarékosság d) Pontosság e) Korlátozott tárolhatóság f) Integritás és bizalmas jelleg 5. cikk (2): elszámoltathatóság, mind a hat felett
A hat anyagi alapelv az 5. cikk (1) bekezdésében, felettük az elszámoltathatóság a (2) bekezdésből.

A hat jogalap (6. cikk)

Az alapelvek betartása önmagában nem elég, minden adatkezeléshez kell egy jogalap is. A GDPR 6. cikk (1) bekezdése hat lehetséges jogalapot sorol fel az a) f) pontokban. Elegendő, ha ezek közül egy teljesül, nem kell mindegyiket megalapozni. A gyakorlatban a legtöbb vállalati adatkezelés a szerződés vagy a jogos érdek jogalapra épül, a hozzájárulás pedig ott jellemző, ahol nincs más jogalap, például marketing megkeresésnél.


6. cikk (1) a) c)

  • a) Hozzájárulás
  • b) Szerződés teljesítése
  • c) Jogi kötelezettség teljesítése

6. cikk (1) d) f)

  • d) Létfontosságú érdek védelme
  • e) Közérdek vagy közhatalmi jogosítvány
  • f) Jogos érdek

1/6

Elég egyetlen jogalap megléte. A 6. cikk (1) bekezdése szerint az adatkezelés akkor jogszerű, ha a hat jogalap közül legalább az egyik teljesül. Fontos kivétel: a jogos érdek (f) pont) nem alkalmazható, ha az adatkezelést közhatalmi szerv végzi a feladatai ellátása során, ott a közérdek vagy közhatalmi jogosítvány (e) pont) jogalapot kell keresni.


Adatkezelés tervezve Van a 6. cikk (1) a) f) közül legalább egy jogalap? nem Jogellenes adatkezelés nem indítható el igen Adatkezelés indítható az 5. cikk elveivel együtt Nem kell minden jogalap, elég ha az egyik igazolható
Döntési logika a 6. cikk szerint: adatkezelés csak akkor indítható, ha legalább egy jogalap fennáll.

Jogalap egy AI rendszernél

Egy AI rendszer betanítása vagy futtatása is adatkezelés, ha személyes adatot érint, tehát ennek is kell egy jogalap a 6. cikk szerint. A tipikus helyzetek eltérő jogalapot kívánnak. Ha egy vállalat a saját ügyféladatait elemzi egy AI rendszerrel, hogy jobb ajánlatot adjon vagy kiszolgálja a szerződéses kötelezettségét, ez jellemzően a szerződés (b) pont) vagy a jogos érdek (f) pont) jogalapra épül. Ha viszont az AI rendszert marketing célú megkeresésre használják, ott jellemzően hozzájárulás (a) pont) szükséges, mert a direkt marketing nem tartozik automatikusan a jogos érdek körébe.

Az Európai Adatvédelmi Testület (EDPB) 28/2024. számú véleménye külön foglalkozik azzal, hogy a jogos érdek mennyiben lehet jogalap AI modellek fejlesztésénél és üzembe helyezésénél, és hangsúlyozza, hogy ezt esetről esetre kell megítélni. Ez az oktatási anyag nem jogi tanácsadás, egy konkrét AI projekt jogalapjának meghatározásához érdemes jogi szakértőt bevonni.


Ügyféladat AI elemzése (szerződés teljesítéséhez)b) / f)
Belső hatékonyságjavító AI (saját folyamat)f)
Marketing célú AI megkeresésa)
Jogszabályban előírt AI alapú ellenőrzésc)

← Előző lecke Következő lecke →

Workshop

AI Transformation Day

Egésznapos, vezetőknek szóló program. Feltérképezzük, hol tart a szervezet, mi az első reális lépés, és milyen belső feltételek szükségesek a sikerhez. A nap végén konkrét, prioritizált cselekvési lista.

Érdekel a program →