Lassan két év telt el azóta, hogy történelmi mértékű bírságot szabott ki a NAIH egy call centeres AI-megoldás nem szabályszerű használata miatt Magyarországon. Voltak-e azóta AI-megoldások használatával kapcsolatos szabálytalanságok vagy panaszok?
A hatóság jelenleg a ChatGPT adatkezelését vizsgálja számos másik tagállami hatósághoz hasonlóan,
ezzel kapcsolatban még idén várható döntés, amelyet a honlapon nyilvánosságra fogunk hozni.
A hazai és a nemzetközi tapasztalatok alapján mennyire kockázatos technológia adatkezelési szempontból a mesterséges intelligencia? Milyen gyakorlatokat látni a nemzetközi színtéren, amelyeket a hatóságok vizsgálnak vagy büntetnek? Tipikusan hol szoktak hibázni az adatkezelők?
Az MI tanításához felhasznált adatok forrása fontos, hogy jogszerű legyen, ennek hiányában minden erre épülő további adatkezelési lépés sem lehet jogszerű. Az MI-vel kapcsolatban főleg az átláthatóság, tájékoztatás és az érintetti jogok biztosítása kiemelten fontos, mivel általában nagyszámú érintett van és ezek biztosítása MI esetén többlet erőfeszítést igényel az adatkezelő részéről. Különösen nagy kockázatú adatkezelések tervezésekor a GDPR 36. cikk szerinti előzetes konzultáció is szükséges lehet az adott eset körülményeitől függően, amelyet szintén ritkán teljesítenek az adatkezelők.
A nagy nyelvi modellek fejlesztőit gyakran támadják különböző szerzői jogok megsértése miatt, de mi a helyzet a személyes adatokkal? Az rendben van, ha személyes adatokat is „lenyel” és feldolgoz egy nagy nyelvi modell? Ez mennyire jellemző gyakorlat?
A személyes adatok feldolgozása mind a tanítása, mind a működése során tipikusnak mondható sok MI esetén. A GDPR szerinti jogszerűségi feltételeknek itt is ugyanúgy meg kell felelni kockázatarányosan mint minden más adatkezelés esetén. Ezt megerősíti az EU új MI rendelete is.
Ehhez a témához kapcsolódik, hogy nagy port kavart, hogy az olasz adatvédelmi hatóság nekiment a ChatGPT-t fejlesztő OpenAI-nak és a többi nagy nyelvi modell fejlesztőjének, ideiglenesen betiltották a népszerű platformotis. Az olasz hatóság mit kifogásolt?
Az olasz adatvédelmi hatóság az adatvédelmi incidens miatt függesztette fel a ChatGPT szolgáltatást Olaszország területén, mivel csak arra volt illetékessége. Az adatvédelmi incidens amiatt következett be, hogy felhasználók egymás adatait láthatták rövid ideig egy hibás frissítés miatt. Ezt követően mind az olasz mind más adatvédelmi hatóságok – így a NAIH is – általános adatkezelési gyakorlat vizsgálatára indítottak eljárásokat a ChatGPT szolgáltatással kapcsolatban az adatkezelés jogalapja és az érintetti jogok érvényesülése főbb témakörök mentén.
Olaszországban az eset után egy mesterséges intelligencia-tanácsadó testület létrehozását tervezték, amely az adatvédelmi szempontokat felügyeli. Mit gondolsz erről a módszerről? Lenne értelme ilyennek Magyarországon is?
A hatóság nem rendelkezik hivatalos információkkal az Olaszországban tervezett új intézményről. A GDPR alapján az adatvédelmi kérdéseket egy független hatóságnak kell vizsgálnia, és azt az EU-n belüli egységes jogalkalmazás érdekében a többi tagállami adatvédelmi hatósággal kell egyeztetnie az EDPB-n keresztül. Az EU tevékenységi hellyel rendelkező adatkezelők esetén ez a one-stop-shop keretein belül történik, ha pedig nincs EU tevékenységi hely, mint a ChatGPT szolgáltatás esetén 2024. február 15. előtt, ott az EDPB taskforce-ot hozott létre a koordináció érdekében. Egy új szerv a személyes adatok védelmébe ezen rendszerbe nehezen lenne beilleszthető, feltehetően több problémát okozna, mint hasznot.
A Mesterséges Intelligencia Rendelet (AI Act) közel három évig tartó uniós vitája és előkészítése február elején zárult le. A kormány tervei szerint új nemzeti szintű hatóságot és a piaci szereplőknek tesztkörnyezetet is létrehoznának Magyarországon az AI Act kapcsán. Lesz-e szerepe a NAIH-nak az AI Act szabályainak betartásában, részt vesz-e az új hatóság munkájában, előkészítésében?
Az MI rendelet közvetlenül kimondja, hogy amennyiben az új magas kockázatú MI tesztelésére létrehozott tesztkörnyezetben személyes adatokat is kezelnének, akkor a tesztkörnyezet felügyeletében aktív szerepet kap az érintett tagállami adatvédelmi hatóság, amelyhez a tesztkörnyezet üzemeltető piacfelügyeleti hatóság kell megfelelően együttműködjön az adatvédelmi hatóságokkal. Ennek részleteit majd az uniós és tagállami végrehajtási jogszabályok kell meghatározzák, több részlet erről még nem ismert. A személyes adatok kezelésével járó MI-k vizsgálata adatvédelmi szempontból változatlanul a mi feladatunk lenne, az MI rendelet alapján inkább fogyasztóvédelmi és piacfelügyeleti feladatokat végez az új hatóság.
Melyek voltak az utóbbi időszak legnagyobb volumenű vagy legkirívóbb adatkezelési incidensei itthon? Milyen tendenciákat láttok a területen, melyek a jellemző esetek?
Az adatvédelmi incidensekkel kapcsolatos eljárások során tavaly is folytatódott az a trend, hogy az ügyek nagy részében az incidenskezelés vizsgálata mellett a hatóságnak az adatkezelők általános adatbiztonsági megfelelőségét is párhuzamosan vizsgálnia kellett, hiszen csak a tényállás ilyen átfogó feltárása mellett lehetett megállapítani, hogy az adatkezelők a GDPR előírásainak megfelelően jártak-e el. 2023-ban egyébként 533 új incidensbejelentés érkezett hozzánk, mely kisebb visszaesés a korábbi évekhez viszonyítva.
Az elmúlt időszak legjelentősebb adatvédelmi incidense talán a KRÉTA rendszert fejlesztő Educational Development Informatikai Zrt.-hez kötődött, az ügyben hivatalból indított adatvédelmi hatósági eljárás lefolytatását követően 2023 decemberében hoztuk meg határozatot. Röviden: egy támadó hozzáfért az ügyfél egyik munkatársának jogosultságaihoz, ezáltal az ügyfél által fejlesztett, több millió természetes személy személyes adatait is tartalmazó rendszerhez. Az a körülmény, hogy a támadó konkrétan meg is ismerte-e az éles rendszerben tárolt személyes adatokat, nem volt az eljárás során bizonyítható. Az ügyfél ugyanis nem megfelelő adatbiztonsági intézkedéseket alkalmazott, a munkatársai IT-tevékenysége kapcsán végzett naplózása nem volt megfelelő. Az incidens közvetlen kiváltó oka ugyan munkavállalói hiba volt, megfelelő adatbiztonsági intézkedések mellett ez semmiképpen nem járhatott volna ilyen súlyos következményekkel. A rendszer éles verziójának eléréséhez a kétfaktoros autentikáció beállítására csak az incidenst követően került sor. A hatóság a jogsértések miatt 110 millió forint adatvédelmi bírságot szabott ki.
Egy másik esetben egy távhőszolgáltató vállalat honlapján egyes linkeken keresztül több olyan dokumentum (panaszvizsgálati jegyzőkönyvek) volt elérhető, amelyek természetes személy ügyfelek személyes adatait (pl. név és lakcím) tartalmazzák. A bejelentéssel kapcsolatban 2020-ban hatósági ellenőrzést indítottunk, az adatok törléséről szóló jegyzőkönyvet a vállalat megküldte, az ellenőrzést 2021-ben lezártuk. Azonban 2022 augusztusában újabb panasz érkezett, a honlapon keresztül valamennyi korábban megszüntetésre került link és azon keresztül elérhető pdf fájl ismét elérhető volt, ugyanazon útvonalakon keresztül, ahogy korábban. Kiderült, hogy a vállalat ugyan a honlapról törölte a tévesen közzétett jelentésekre mutató linkeket, de a háttérszerveren azok továbbra is fellelhetőek voltak. A magánszemély bejelentő nevét beírva egy internetes keresőbe az találatként hozta a találati listájában a dokumentumokat. A hatóság ezért 2023 júniusi határozatában 16 millió forint adatvédelmi bírságot szabott ki.
Egy harmadik esetben nem közvetlenül az incidenssel kapcsolatos kötelezettségek elmulasztása, hanem a kapcsolódó adatbiztonsági követelmények megsértése miatt szabott ki szankciót a hatóság. Az adatkezelő informatikai szolgáltatást biztosító vállalkozás volt, amely incidens bejelentést tett. A bejelentés szerint az adatkezelő felhasználó felől elérhető (un. frontend) kiszolgálóját támadás érte, melynek során a támadó a frontend oldali tartalomkezelő rendszer sérülékenységét használta ki.
A támadó jelentős hálózati forgalmat generált és az incidenssel összesen 8547 db adat volt érintett. Az incidens orvoslásaként az adatkezelő a kapcsolódó szolgáltatást átmenetileg felfüggesztette, megkezdte a kihasznált sérülékenység javítását, többek között intézkedéseket tett a hálózati forgalom automatikus tiltása, illetve a jelszócsere kikényszerítése iránt, valamint az érintett felhasználókat nyilvános közleményben tájékoztatta az incidensről. Az adatbiztonsággal kapcsolatos követelmények vizsgálata során a Hatóság megállapította, hogy az adatkezelő által használt tartalomkezelő rendszer 2011-2012-ben volt használatos, ez a rendszer a támadás bekövetkeztekor, 2022-ben már rendkívül elavultnak tekinthető. Az adatkezelő nem végzett az általa használt tartalomkezelő rendszer tekintetében verziófrissítést, amely sérülékenységet eredményezett, és amelyet kihasználva követték el a támadók az adatvédelmi incidenst eredményező SQL injection típusú támadást. A hatóság az adatkezelőt a jogsértés miatt 27 millió forint adatvédelmi bírság megfizetésére kötelezte.
Címlapkép forrása: Portfolio
