EU AI Act és GDPR megfelelés · Lecke 05

GDPR és az AI: automatizált döntés, profilalkotás, DPIA

Egy AI rendszer szinte mindig érint három GDPR területet, amely külön figyelmet igényel: a kizárólag automatizált döntéshozatal tilalmát, a tervezés fázisában érvényesítendő adatvédelmet, és azt, mikor kötelező előzetesen felmérni a kockázatokat. Ez a lecke ezt a hármat mutatja be, kifejezetten AI fókusszal.

Vissza a tananyaghoz


Kizárólag automatizált döntés (22. cikk)

A GDPR 22. cikk (1) bekezdése szerint az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen (ideértve a profilalkotást is) alapuló döntés hatálya, amely rá nézve joghatással jár, vagy őt hasonlóképpen jelentős mértékben érinti. Ez a szabály különösen fontos AI rendszereknél, mert sok tipikus AI alkalmazás pontosan ilyen döntést hoz: hitelbírálat, önéletrajz-szűrés, biztosítási díj megállapítása. A kulcskérdés az, mikor minősül egy döntés "kizárólag" automatizáltnak. Ha egy ember ténylegesen megvizsgálja az AI javaslatát, van érdemi mérlegelési jogköre, és ő hozza meg a végső döntést, a folyamat kikerül a 22. cikk hatálya alól. Ha viszont az emberi jóváhagyás csak formális, a döntést valójában az AI hozza meg, a tilalom alkalmazandó marad.

A 22. cikk (2) bekezdése három kivételt enged: ha a döntés szerződés megkötéséhez vagy teljesítéséhez szükséges, ha uniós vagy tagállami jog engedélyezi, vagy ha az érintett kifejezett hozzájárulásán alapul. Ezekben az esetekben is kötelező garanciákat biztosítani, legalább az emberi beavatkozáshoz, a saját álláspont kifejtéséhez és a döntés megtámadásához való jogot. A döntés főszabályként nem alapulhat a 9. cikk szerinti különleges kategóriájú adatokon sem.


Kizárólag automatizált (22. cikk hatálya alá esik)

  • Az AI kimenete automatikusan végrehajtódik
  • Az emberi jóváhagyás csak formális kattintás
  • A jóváhagyó nem érti vagy nem vizsgálja a modell indoklását
  • Nincs érdemi lehetőség a döntés felülbírálására

Van elég emberi közreműködés

  • Az ember ténylegesen áttekinti az AI javaslatát
  • Van jogköre és kompetenciája eltérni tőle
  • A végső döntést az ember hozza, indoklással
  • Az érintett vitathatja a döntést, ember bírálja el

AI javaslatot ad egy döntéshez Van érdemi, kompetens emberi felülvizsgálat? nem, csak formális Kizárólag automatizált 22. cikk (1): tilalom, kivéve a 22. cikk (2) kivételeit igen, érdemi Nem esik a 22. cikk alá az ember hozza meg a tényleges döntést A formális jóváhagyó gomb önmagában nem elég emberi közreműködés
Döntési logika: az AI javaslat akkor marad a 22. cikk hatálya alatt, ha az emberi jóváhagyás nem érdemi.

Beépített és alapértelmezett adatvédelem (25. cikk)

A GDPR 25. cikke szerint az adatkezelőnek már a tervezés fázisában, és az adatkezelés teljes ideje alatt, megfelelő technikai és szervezési intézkedéseket kell alkalmaznia az adatvédelmi elvek érvényesítésére. Ez a beépített adatvédelem (privacy by design) elve. Emellett a rendelkezés alapértelmezett adatvédelmet is előír, vagyis alapértelmezetten csak a konkrét célhoz feltétlenül szükséges személyes adatok kezelhetők.

Egy AI rendszer fejlesztésénél ez konkrétan azt jelenti, hogy az adattakarékosságot és a célhoz kötöttséget nem utólag, egy megfelelőségi ellenőrzés keretében kell hozzáadni a rendszerhez, hanem már a modell vagy az alkalmazás tervezésekor be kell építeni. Ide tartozik például, hogy a betanítási adatkészlet ne tartalmazzon feleslegesen sok azonosító adatot, hogy a rendszer alapértelmezett beállításai a legkevesebb adatot gyűjtsék, és hogy a modell kimenete ne fedjen fel több személyes adatot, mint amennyi a cél eléréséhez szükséges.


25.

A tervezés fázisában, nem utólag. A GDPR 25. cikke szerint a technikai és szervezési intézkedéseket már a fejlesztés kezdetén kell alkalmazni, nem egy kész AI rendszerhez utólag hozzátoldani. Az adattakarékosság és a célhoz kötöttség a modell architektúrájának és az adatgyűjtési folyamatnak is a része kell legyen.


Adatvédelmi hatásvizsgálat, DPIA (35. cikk)

A GDPR 35. cikk (1) bekezdése szerint adatvédelmi hatásvizsgálatot (DPIA) kell végezni, ha az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, különösen új technológia alkalmazása esetén. Egy AI rendszer bevezetése tipikusan új technológiának minősül, ezért gyakran önmagában is felveti a DPIA szükségességét. A 35. cikk (3) bekezdése három olyan esetet nevesít, amelyeknél a hatásvizsgálat jellemzően kötelező, és egy AI rendszer bevezetése gyakran mindhárom alá eshet.


  1. Profilalkotáson alapuló szisztematikus és kiterjedt értékelés35. cikk (3) a). Ha az AI rendszer joghatással járó vagy hasonlóan jelentős döntést hoz profilalkotás alapján, ez a leggyakoribb eset AI rendszereknél.
  2. Különleges vagy büntetőjogi adatok nagy számban35. cikk (3) b). Ha az AI rendszer nagy mennyiségben kezel a 9. cikk szerinti különleges kategóriájú vagy a 10. cikk szerinti büntetőjogi adatot.
  3. Nyilvános terek nagymértékű, szisztematikus megfigyelése35. cikk (3) c). Ha az AI rendszer kamerás, biometrikus vagy más megfigyelési célra nagy kiterjedésben nyilvános teret figyel.

35. CIKK (1): VALÓSZÍNŰSÍTHETŐEN MAGAS KOCKÁZAT (3) a) Profilalkotáson alapuló szisztematikus, kiterjedt értékelés (3) b) Különleges vagy büntetőjogi adat nagy számban (3) c) Nyilvános terek nagymértékű, szisztematikus megfigyelése Egy AI rendszer bevezetése gyakran mindhárom eset alá eshet
A 35. cikk (3) bekezdésének három tipikus esete, amikor a DPIA jellemzően kötelező.

Az EDPB véleménye AI modellekről

Az Európai Adatvédelmi Testület (EDPB) 28/2024. számú véleménye a személyes adatok AI modellek kontextusában történő kezelését tárgyalja, és több ponton közvetlenül érinti az AI fejlesztők és üzemeltetők gyakorlatát. A vélemény kimondja, hogy egy AI modell anonimitását a felügyeleti hatóságoknak esetről esetre kell megítélniük, tehát nincs automatikus vélelem arra, hogy egy modell pusztán a mérete vagy a felépítése miatt anonimnak minősül. A vélemény emellett a jogos érdek mint jogalap alkalmazhatóságával is foglalkozik AI modellek fejlesztésénél és üzembe helyezésénél.

Az egyik legfontosabb következtetés, hogy ha egy AI modellt jogellenesen kezelt személyes adatokkal fejlesztettek, akkor a modell későbbi üzembe helyezése is jogellenes lehet, kivéve ha a modellt megfelelően anonimizálták. Ez azt jelenti, hogy a betanítási adatok jogszerűségének kérdése nem tűnik el a fejlesztés lezárásával, hanem továbbviheti a jogi kockázatot a modell teljes életciklusán át.


28/2024

EDPB vélemény az AI modellekről. Az anonimitást esetről esetre kell megítélni, nem lehet automatikusan feltételezni. Ha a betanításhoz jogellenesen kezelt adatot használtak, a modell üzembe helyezése is jogellenes lehet, kivéve ha a modellt utólag megfelelően anonimizálták.


FRIA és DPIA kapcsolata (AI Act 27. cikk)

Az AI Act 27. cikke alapjogi hatásvizsgálatot (FRIA, fundamental rights impact assessment) ír elő egyes magas kockázatú AI rendszerek üzembe helyezői, különösen közintézmények számára, a bevezetés előtt. Fontos, hogy a FRIA és a GDPR szerinti DPIA két külön eljárás, de nem egymástól függetlenül működnek. A 27. cikk (4) bekezdése kimondja, hogy ha a FRIA-ban vizsgálandó kötelezettségek egy részét már teljesíti a GDPR 35. cikke szerinti adatvédelmi hatásvizsgálat, akkor a FRIA ezt kiegészíti, nem helyettesíti. Vagyis ha egy szervezet már elvégzett egy alapos DPIA-t az AI rendszerére, ez nem váltja ki a FRIA elvégzésének kötelezettségét, de a már meglévő elemzés felhasználható és nem kell mindent nulláról újraírni.


DPIA (GDPR 35. cikk)

  • Az adatkezelés kockázatait vizsgálja
  • A természetes személyek jogait és szabadságait nézi
  • Adatvédelmi hatóság felügyeli
  • Minden magas kockázatú adatkezelésnél kötelező

FRIA (AI Act 27. cikk)

  • Az AI rendszer alapjogi hatásait vizsgálja
  • Szélesebb kört néz, nem csak az adatvédelmet
  • Elsősorban közintézményi üzembe helyezőknek kötelező
  • Kiegészíti a DPIA-t, nem helyettesíti azt

DPIA GDPR 35. cikk adatvédelmi kockázatok elvégzett elemei FRIA AI Act 27. cikk alapjogi hatások, a DPIA-ra épülve kiegészít 27. cikk (4): a FRIA kiegészíti, nem helyettesíti a DPIA-t A már elvégzett DPIA elemei beépülnek a FRIA-ba
A FRIA a meglévő DPIA elemeire épül és kiegészíti azt, nem duplikálja vagy váltja ki.

← Előző lecke Következő lecke →

Workshop

AI Transformation Day

Egésznapos, vezetőknek szóló program. Feltérképezzük, hol tart a szervezet, mi az első reális lépés, és milyen belső feltételek szükségesek a sikerhez. A nap végén konkrét, prioritizált cselekvési lista.

Érdekel a program →