Adatvédelmi reggeli: Harmadik felvonás
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az ARB Consulting Kft. által szervezett harmadik adatvédelmi reggelin ezúttal a GDPR aktuális kérdéseiről és az automatikus döntéshozatali rendszer, valamint a gépi tanulás kapcsolatáról tudhattunk meg érdekességeket.
Az ARB Consulting Kft. által szervezett harmadik adatvédelmi reggelin ezúttal a Wolters Kluwer kiadásában megjelent Magyarázat a GDPR-ról című könyv kapcsán a GDPR aktuális kérdései mellett az automatikus döntéshozatali rendszer és a gépi tanulás kapcsolatáról tudhattunk meg érdekességeket.
Dr. Révész Balázs ARB Consulting Kft. adatvédelmi tanácsadója egy érdekes los angelesi rendőrrobot esetének bemutatásával nyitotta meg a rendezvényt.
A hírek szerint egy amerikai polgár odament a robothoz, hogy jelentsen egy bűncselekményt, de az nem foglalkozott vele és a vészhelyzet gombra sem reagált. A los angelesi rendőrség egy cégtől bérli a robotrendőröket körülbelül évi 60-70.000 dollárért, de egyelőre még csak tesztfázisban alkalmazzák őket. A kritikus vélemények szerint nem is igazi robotzsaruk, inkább csak arra valók, hogy a járókelőkre rászóljanak, ha nem tartják be a szabályokat.
Az állampolgár végül kénytelen volt a központi segélyhívón keresztül rendőri intézkedést kérni.
Dr. Révész Balázs az automatikus döntéshozatal és a mesterséges intelligencia kapcsolatában a GDPR szempontjából nehézségként értékelte, hogy az adatkezelő és az adatfeldolgozó személye sem pontosan állapítható meg. Ki az adatkezelő? Az akinek érdekében az MI működik, vagy az aki üzemelteti? Azt is nehéz megállapítani, hogy az MI döntését ki írhatja felül, ki rendelkezik arra megfelelő kompetenciával?
Napjainkban a hitelbírálatok esetében a legelterjedtebb az automatikus döntéshozatal. Ezenkívül számos alkalmazási terület képzelhető még el, például a reptéri kapuknál az útlevél szkennelése, vagy, hogy extrémebb esetet is említsünk, a betáplált orvosi adatok alapján az MI orvosi döntéseket is képes meghozni, ha kellő információ áll rendelkezésére.
A GDPR alapján alapvető tiltott az automatikus adatkezelés, az egyik kivétel ez alól a tilalom aló az az eset, ha az érintett ahhoz kifejezetten hozzájárult.
A kérdésfelvetéseket követően Dr. Péterfalvi Attila a NAIH elnöke vette át a szót, aki az adatvédelmi hatóság aktuális gyakorlatát ismertette, kiemelt figyelemmel a bírságkiszabás és az érdekmérlegelés témakörére.
A bírságkiszabás keretében érdekességként említette a Sziget Zrt. ügyét, amely az első olyan ügy volt, ahol a NAIH által kiszabott bírság összege meghaladta a korábbi bírságmaximumot. Ugyanakkor a 30.000.000 Ft-os bírság Péterfalvi szerint még így is méltányos volt, főleg a többi tagállam adatvédelmi hatóságai által kiszabott bírságokkal összevetve. A NAIH elnöke élt volna a GDPR által biztosított lehetőségekkel, de ebben nem volt egyetértés a hatóságon belül.
A bírságkiszabással kapcsolatosan elmondta, hogy a NAIH minden esetben figyelembe veszi, ha az adatkezelő együttműködik a hatósággal, főleg az adatvédelmi incidenseknél. Az együttműködés hiányát is értékelik, ezért ha nem volt együttműködő, vagy nem jelentette be az incidenst határidőben, akkor garantált a bírság kiszabása. Sajnos az adatkezelők nem mindig együttműködőek és nem mindig teljesítik a Hatóság kéréseit, ezért eljárási bírság alkalmazására is gyakran sor kerül.
Emellett a NAIH figyelembe veszi a jogsértést elkövető szervezet előéletét és a jogsértéssel érintett adatok kategóriáit is.
Elmondta, hogy az idei évben 34 lezárt ügyből 33-ban szabott ki bírságot a NAIH. Megállapítható, hogy a bírságolás gyakoribb lett, de a bírságösszegek nem emelkedtek jelentősen. Példaként említette a Demokratikus Koalíció és a Budapesti Közlekedési Központ Zrt. ügyét, amelyből az egyik az Infotörvény hatálya alá, a másik viszont már a GDPR hatálya alá tartozott.
A NAIH elnöke szerint a magyar jogalkotó szándéka ellenére nem lehet kivételes az első jogsértést követő bírságkiszabás, mert a GPDR nem különbözteti meg az első jogsértést. A GDPR szerint a jogsértés általános szankciója a bírság és nem a jogalkotó által támogatott figyelmeztetés.
Dr. Péterfalvi Attila szerint a korábbi bírósági gyakorlat nem volt megfelelő és egyelőre a bírákban még nem tudatosult az új szabályozás.
Az érdekmérlegeléssel kapcsolatban Dr. Péterfalvi Attila úgy értékelte, hogy az adatkezelők sokszor nem mernek érdeket mérlegelni, helyette többnyire a szerződéses jogalapra vagy az érintett hozzájárulására hivatkoznak.
A NAIH elnöke előadásában többször hangsúlyozta, hogy a Hatóság nem hagyhatja figyelmen kívül azokat az eseteket, amikor az adatkezelő nem jelöli meg a jogos érdeket adatkezelési jogalapként, de az igénybe vehető lenne számára. Előfordulhat olyan eset is, hogy ugyan az adatkezelő jogos érdekére hivatkozik, de nem csatolja be az érdekmérlegelési tesztet, vagy az nem megfelelő.
Elmondta, hogy a NAIH-on belül kemény viták zajlottak a kérdést érintően. Álláspontja szerint ilyen esetekben nem lehet pusztán az adatvédelmi szempontokat értékelni, figyelembe kell venni a felek között létrejött magánjogi jogviszonyt is, abba pedig a Hatóság nem avatkozhat be, azt nem változtathatja meg, nem minősítheti másképpen, mert az ellentétes lenne a szerződési szabadság Ptk-ban rögzített elvével.
Szerinte, ha a törvény alapján, az adatkezelő oldalán, jogos érdek merülhet fel, akkor a NAIH köteles azt hivatalból figyelembe venni.
Ha a jogos érdekmérlegelés lehetséges, akkor a NAIH nem helyezkedhet arra az álláspontra, hogy mivel az adatkezelő nem hivatkozott rá, ezért nincs is jogos érdeke.
Érdekes kérdés az elnök szerint, hogy mit tehet a NAIH, ha egy eljárásban felmerül jogos érdek, de az adatkezelő nem hivatkozott rá.
Úgy foglalt állást, hogy, ha az adatkezelő a szerződésre hivatkozik jogos érdek helyett, akkor sem lehet töröltetni az adatokat.
Példaként említette a követeléskezelést. A Ptk. például az engedményezéskor előírja, hogy meg kell adni az adós és a követelés adatait az egyértelmű azonosítás érdekében. De azt nem mondja meg a Ptk., hogy milyen adatokat. Az engedményezés szabályai tehát nem tekinthetők jogi kötelezettségnek, mert akkor a jogszabálynak taxatív felsorolással kellene meghatároznia a kötelezően kezelendő adatokat. Ebben az esetben viszont a követelés érvényesítéséhez fűződő jogos érdek megfelelő jogalap lehet, amelyet az adatkezelő a Ptk-val is alá tud támasztani.
A jogalap helytelen megválasztása Dr. Péterfalvi Attila szerint nem teszi minden részében jogellenessé az adatkezelést. Ha több jogalap is megfelelő lehet, akkor NAIH nem fogja felderíteni, hogy az adatkezelő által választott jogalap helyett más jogalapot is figyelembe lehet-e venni, de lehetnek kivételek.
A NAIH elnöke Révész Balázs felvetésére elismerte azt, hogy az érintett hozzájárulásán kívül az összes többi jogalap konkurálhat egymással, ezért sokszor nehéz a helyeset megválasztani. Ugyanakkor a NAIH vizsgálat alatt, illetve az adatkezelés során nem lehet jogalapot váltani, amely álláspontját a Hatóság a Sziget Zrt. ügyében is érvényre juttatta.
A jogos érdekre alapított adatkezelésnél a NAIH azt nézi, hogy az adatkezelő elvégezte-e az érdekmérlegelési tesztet és annak eredményéről tájékoztatta-e az érintett(ek)et.
Az érdekmérlegelés nem megfelelő elvégzése, dokumentálása, a megfelelő tájékoztató hiánya azonban jogsértésnek számít, amelyet a Hatóság az eljárás során értékel.
Ha van dokumentáció, azonban az érdekmérlegelés tartalmilag nem megfelelő, attól még az adatkezelés lehet részben jogszerű.
A jogos érdek mérlegelésénél a NAIH elnöke szerint a jogszabály engedélye alapján egy kvázi alapjogsértés történik.
Dr. Révész Balázs szerint szintén érdekes kérdéseket vet fel, hogy mi a helyzet, ha a munkahelyen a dolgozó betegállományba kerül, de a munkáltatónak a munkavégzés érdekében szüksége lenne a számítógépén lévő adatokba. Az ügyintézés folyamatossága érdekében a beteg munkavállaló betelefonál, hogy intézzék el az ügyet helyette. A munkáltatónak ebben az esetben jogos gazdasági érdeke az adatokhoz való hozzáférés.
A NAIH elnöke szerint az ilyen típusú a jövőben nagy eséllyel bekövetkező esetekre előre fel lehet és fel is kell készülni. (Például: munkavállaló meghal, kórházba, kómába kerül). A munkáltatót ezekben az esetekben nem lehet gátolni az adatokhoz való hozzáférésben.
A Hatóság elnöke még egy érdekes példát említett a központi személyi adat és lakcímnyilvántartás ügyét. Akik mostanában jogos érdek alapján szeretnének adatot igényelni, azt tapasztalhatják, hogy az adatokat kezelő Belügyminisztérium nem nagyon szolgáltat adatokat. Az adatok igénylő részére történő kiadásának jogalapja ugyanis nem tisztázott. Jogos érdek a GDPR alapján a közhatalmi szerveknél nem állhat fenn. Ha mégis eljátszunk a gondolattal, hogy az adatátadás jogalapja a jogos érdek, akkor ki fogja az érdekmérlegelést elvégezni. A kormányhivatali vagy belügyminisztériumi ügyintéző erre aligha kötelezhető.
A NAIH elnöke ajánlást küldött a Belügyminisztériumnak, hogy módosítsák az irányadó jogszabályt.
A fentiekből látszik, hogy a GDPR sokkal nagyobb változást jelent, mint amire számítottunk. A jogszabályi visszásságokat senki sem látta előre. A GDPR hatályba lépését követően az Országgyűlés ugyan elfogadott egy számos jogszabályt módosító salátatörvényt, de Dr. Péterfalvi Attila szerint bőven van még tennivaló.
A NAIH elnökétől Dr. Eszteri Dániel a NAIH Engedélyezési és Incidenskezelési Főosztályának vezetője vette át a szót, aki beszámolt az adatvédelmi hatóságok konferenciáján az MI-k adatvédelmi szabályozásával kapcsolatban szerzett tapasztalatairól.
Mit is jelent a mesterséges intelligencia – tette fel a kérdést. Manapság nagyon divatos kifejezés, de sokan nem tudják mit is jelent valójában.
Válaszában kifejtette, hogy a mesterséges intelligenciának nincs egységes megfogalmazása, nincs jogi fogalma, de informatikai szempontból sincs kellően körülhatárolva. Egyes elméletek szerint a sakkozógép is annak számít, hiszen előre kell látnia a lépéseket, mások szerint viszont csak az önálló tudattal rendelkező gépeket tekinthetjük annak.
Az általánosan elfogadott meghatározás szerint akkor beszélhetünk MI-ről, ha a gép önálló döntést tud hozni. A gép csak valószínűséggel dolgozik, maga a programozó csak a célt adja meg, a rendszer maga kísérletezi ki, hogy egy adott helyzetben hogyan kell reagálnia. A szoftverek többnyire mintákat vizsgálnak, logikus döntéseket hoznak, de nem mindig kiszámíthatóak.
Eszteri szerint adatvédelmi szempontból a gépi tanulásnak van a legnagyobb jelentősége. Egy ilyen MI esetén egy nagy adatbázisban rengeteg személyes adat van (pl. bűnügyi személyes adatok). Ezeket tanuló algoritmusokkal elemzik, annak érdekében, hogy összefüggéseket keressenek. (Pl. mi jellemző egy adott bűnözői körre.)
A rendszer létrehoz egy modellt, amelyben összefüggések vannak. Ez elválasztható az adatbázistól. Ha a modellbe új adatokat táplálnak be, az MI ebben az adatbázisban is tudja majd alkalmazni a tanultakat.
A GDPR elsősorban a gépi profilalkotás szabályozza, amely a személyes adatok automatizált kezelése. A manuális alapú profilalkotást azonban nem tiltja.
A 29-es munkacsoport álláspontja szerint a GDPR által tilalmazott profilalkotásnál az automatikus adatkezelésnek nem kell kizárólagosnak lennie. Az is tiltott, ha a rendszer kiad valami eredményt, amelyet a kezelő értelmez.
Eszteri előadásában kitért a magánnyomozók, kriminálpszichológusok tevékenységére, amelyet szintén nem lehet a GDPR által szabályozott profilalkotásnak tekinteni.
Eszteri felhívta a figyelmet, hogy maga az automatizált döntéshozatal nem szerepel a GDPR-ban.
A 29-es munkacsoport véleménye szerint az automatizált döntéshozatal technológiai eszközökkel, emberi beavatkozás nélkül hoz döntéseket. Ilyen például az automatikus hitelbírálat. Az a GDPR 22. cikke szerint alapvetően tilos, hogy kizárólag egy gép, automatikusan hozzon döntést az automatikus döntéshozatalra vonatkozóan például egy támogatás odaítélése, az államhatár átlépése, az online hitelkérelem automatikus elutasítása, az online munkaerőtoborzás, vagy egyetemi felvételi esetében biztosítani kell, hogy az MI által hozott döntés felett legyen emberi ellenőrzés.
Akkor lehet automatikus döntéshozatalt alkalmazni, ha az érintett és az adatkezelő között létrejött szerződés és a szerződés teljesítése indokolja. Az adatkezelőnek ebben az esetben is igazolnia kell, hogy miért ez a legmegfelelőbb eszköz.
Ha az automatikus döntéshozatalt az EU-s vagy tagállami jog teszi lehetővé az adatkezelő részére, akkor a jogalkotó feladata az alkalmasság mérlegelése.
Az automatikus döntéshozatal akkor is alkalmazható, ha az érintett kifejezetten hozzájárul. A 29-es munkacsoport iránymutatása szerint a hozzájárulás feltételeinek (önkéntesség, kifejezettség, előzetes tájékoztatás) ebben az esetben is teljesülniük kell és az adatkezelőnek tudnia kell bizonyítani, hogy az érintett hozzájárult a személyes adatai ilyen kezeléséhez.
Az MI-kkel kapcsolatban gyakran felmerül, hogy az adatminimalizálás elve teljesíthető-e, mert a megalapozott döntéshozatalhoz minél több adatra van szükségük. Azt kell majd kidolgozni, hogy mennyi a célnak megfelelő mérték és mire mondhatjuk azt, hogy az már meghaladja a célhoz szükséges mértéket.
Dr. Eszteri Dániel és Dr. Buzás Péter a jelentős hatásról beszélgettek. Dr. Buzás Péter példaként hozta fel, hogy a mondás szerint mindenkinek hazudunk csak a Google keresőnek nem. Dr. Eszteri Dániel erre válaszul a kialakult gyakorlatot említette, amely szerint, ha egy eladósodott ember szerencsejáték oldalakat nézeget, akkor az adósságról és a szerencsejátékról tárolt adatok birtokában nem kaphat a Google-től olyan célzott reklámokat, amelyek nagy kockázatú hitelek felvételére ösztönzik.
Az EU-s adatvédelmi hatóságok még nem foglalkoztak MI döntéshozatalon alapuló panasszal, de a norvég hatóság már foglalkozott az MI-kkel, amikor kiadott állásfoglalásában rögzítette, hogy egy adott rendszer tesztelése során folyamatosan monitorozni kell a rendszert és vizsgálni kell, hogy a célt elértük-e.
Az önvezető autóknál például úgy működik, hogy a tanuló algoritmusba sok ember fotóját, mozgását táplálják be és a rendszer megtanulja, hogy milyen egy ember. 10-15.000 ember képének elemzését követően rájön a rendszer. A gépeknek sokkal több adatra van szüksége, mint az embernek – mondta Eszteri.
Dr. Révész Balázs itt említette a fekete doboz problémáját. Ez akkor fordul elő, ha egy használt modell vagy gépi tanulási algoritmus produkált egy olyan döntést, amely látszólag nem logikus. Ez a komplex rendszereknél merül fel elsődlegesen. Sokszor az MI programozói sem értik a döntést, mert az olyan komplex, hogy emberi elme számára már felfoghatatlan.
Érdekes kérdés, hogy hogyan lehet biztosítani az adatkezelés átláthatóságát, ha azt maguk a rendszer fejlesztői sem értik.
Eszteri Dániel főosztályvezető szerint szintén tisztázni kell, hogy miről kell az érintettet tájékoztatni. Az automatizált döntéshozatal tényéről, az alkalmazott logikáról való tájékoztatás, a várható következmények és jelentőségről mindenképpen. A szakmai viták hevesek ez ügyben, de a 29-es munkacsoport már példákat dolgozott ki és szaklapokban is elindult a vita.
Dr. Eszteri Dániel utalt a 29-es munkacsoport álláspontjára, amely szerint minél egyszerűbb módszereket kell találni a logika és a következmények bemutatására.
Szerinte jó gyakorlat lehet például az alternatív értelmezések hozzáférhetővé tétele, amilyen egy nyilvános tesztrendszer közzététele, amelyet az érintettek fiktív adatokkal tudnak kitölteni. Az alternatív döntéseket lehetővé tevő tesztrendszer előnye, hogy az érintettek saját maguk fedezhetik fel az MI működését, így könnyebben megértik azt.
Fontos, hogy az adatkezelő biztosítsa az emberi beavatkozás kérésének lehetőségét. Az érintettnek jogorvoslati lehetőséget kell biztosítani a gépi döntéshozatallal szemben, amelyet embernek kell megvizsgálnia. Emberi kontroll legyen a folyamatok végén – tette hozzá.
A másik alapvetés Eszteri szerint, hogy a lehető legkevesebb személyes adatot kell felhasználni és folyamatosan monitorozni kell a rendszert.
A rendezvény kerekasztal beszélgetéssel folytatódott, amelyen Dr. Eszteri Dániel, Dr. Koczka Erika ügyvéd, adatvédelmi szakjogász, illetve az ARB Consulting Kft. szakértői Dr. Buzás Péter és Dr. Révész Balázs vettek részt.
Dr. Eszteri Dániel a hallgatóság kérdésére adott válaszában elmondta, hogy ha különleges adatokat akarnak automatikus döntéshozatallal kezelni (például: arcfelismerő kamerákkal követni a bűnözőket vagy egészségügyi adatok alapján gépi döntést hozni – szerk.), akkor többszörös jogalapot kell igazolni. Magyarország példaként említette a NAV pénzmosás elleni irodájának bankszámlaforgalmat elemző szoftverét. Ebben az esetben a jogalkotó törvényi alapot teremtett, mert úgy gondolta, hogy szüksége van rá a társadalomnak.
A főosztályvezető szerint a törvényen alapuló kötelező adatkezelés szükséges lehet a terrorizmus elleni harc érdekében, amely sok jogkorlátozással jár, ezért a jogalkotó köteles hatásvizsgálatot végezni.
Ha a jogalap az érintett hozzájárulása, akkor annak az általánoshoz képest még kifejezettebbnek és egyértelműbbnek kell lennie.
Dr. Révész Balázs adatvédelmi tanácsadó példaként hozta fel a partnerközvetítő weboldalakat, ahol az érintettek sok különleges személyes adatot adnak meg magukról és ezeket elemezve automatikusan hoz döntést, hogy milyen potenciális párokat ajánl.
Az egészségügy egy még kritikusabb terület az orvos és a beteg közötti bizalmi viszony miatt.
Dr. Koczka Erika a Mesterséges Intelligencia Koalíció tagja röviden ismertette a szervezet tevékenységét, amelynek célja a Magyarország MI stratégia kialakítása, adatvagyon összegyűjtése, rendszerezése, felhasználása, technológia megvalósítási kérdéseinek elemzése.
Dr. Péterfalvi Attilához hasonlóan ő is úgy értékelte, hogy a GDPR fogalmi rendszerében sokkal több a személyes adat, mint korábban képzeltük, illetve a személyes és nem személyes adatok gyakran keverednek.
Elmondta, hogy a jogalapok nehézzé teszik az MI felhasználását, mivel a legtöbb esetben az adatbázis létrehozásához nem lehet az érintett hozzájárulását jogalapként alkalmazni, marad tehát a jogszabályi alap, amelyhez a jogalkotó hatásvizsgálata kell.
A kerekasztal beszélgetés tagjai ezt követően a tanulási és az alkalmazási folyamat szétválaszthatóságáról beszélgettek. A kialakult álláspont szerint a tanulási folyamathoz szükséges személyes adatokat lehet jogos érdek alapján kezelni, mert akkor még nincs szó automatikus döntéshozatalról. Dr. Koczka Erika szerint a különböző szakaszokban (tanulás, felépítés, alkalmazás, újrahasznosítás, átadás) mindig újra és újra vizsgálni kell a lehetséges jogalapot.
A jelenlegi magyar szabályozás a közadatok újrahasznosítása esetén kizárja a személyes adatok kezelését, így az MI általi felhasználást sincs mód. A kerekasztal tagjai szerint a jogalkotónak lépnie kell, az érintettek érdekeinek és a GDPR rendelkezéseinek figyelembe vétele mellett, hogy az MI a közérdekű célokra alkalmazható legyen. A magyar MI jogalkotási struktúrája lassan halad, az adatokat átadóknak is problémát jelent, hogy milyen alapon adják át az adatokat. Sokszor magánjogi jogviszony keretében kerül erre sor, mert a szabályozás kiszámíthatatlansága jelentős kockázatokkal jár.
Dr. Koczka Erika megemlítette, hogy kormányzati szinten várható változás, a prototípusok kialakítása várható, kormányzati adatfelhő fejlesztése folyamatban van. Úgy véli, problémát jelent még, hogy az adatok áramlását próbálják határok közé szorítani és a fejlesztőkben és létrehozókban sem tudatosult még, hogy az nem a személyes eredményük, hanem közvagyon.
Elhangzott, hogy az adatkezelők számon kérik a NAIH-on, hogy miért nem rugalmasabb, miért nem ad ki ajánlásokat.
Dr. Buzás Péter az ARB Consulting Kft. adatvédelmi tanácsadója szerint a GDPR 22. cikke alapján a mérlegelés körében felmerülhet a jogszabályba foglalt jogos érdek. Példaként említette a vagyonvédelmi törvényt, amely lehetővé teszi a kamera rendszeren alapuló adatkezelést, de az adatkezelőnek kell mérlegelnie annak alkalmazását. A részt vevők egyetértettek abban, hogy a jogszabályon alapuló jogos érdek akkor merülhet fel, ha a jogos érdek olyan evidens, hogy ezt a jogalkalmazónak keretek közé kell szorítania.
