Az Európai Unió – digitális stratégiája részeként – szabályozza a mesterséges intelligenciát (MI) annak érdekében, hogy jobb feltételeket biztosítson annak fejlesztéséhez és használatához, illetve csökkentse potenciális kockázatait. Az Európai Bizottság még 2021-ben tett javaslatot a terület szabályozására, majd a mesterséges intelligenciáról szóló rendelet (AI Act) az EU Tanácsa és az Európai Parlament jóváhagyása után 2024. augusztus 1-én lépett hatályba. Az uniós rendelet a MI-rendszereket négy kategóriába sorolja az elfogadhatatlan kockázatot jelentő rendszerektől a minimális kockázatú megoldásokig. A nagyobb egyéni felhasználói és társadalmi kockázattal járó megoldásokra szigorúbb szabályok vonatkoznak.

A rendelet Magyarországon is kötelező erejű – azaz nem kell külön a magyar jogrendbe emelni –, a végrehajtásáról szóló magyar törvény pedig megteremti a jogszabály alkalmazásának intézményi hátterét. Legtöbb rendelkezése most december 1-én hatályba is lépett. A törvény és végrehajtási rendelete kijelöli a végrehajtásért felelős hazai hatóságokat. Az MI bejelentő hatóság a Nemzeti Akkreditáló Hatóság, amely az MI-rendszerek jogszabályi megfelelőségét értékelő szervezeteket jelöli ki és felügyeli. Az MI piacfelügyeleti hatóság pedig a vállalkozásfejlesztésért felelős Nemzetgazdasági Minisztérium, amely a jogszabályok betartását, azaz a rendszerek jogszerű használatát ellenőrzi. Ez a hatóság szabhat ki szankciókat, így például bírságokat – ez 15 millió euró vagy az árbevétel 3 százaléka is lehet. Kiemelt bírság szabható ki az elfogadhatatlan kockázatot jelentő tiltott rendszerek használata miatt: ez elérheti a 35 millió eurót vagy az árbevétel 7 százalékát is. Ide tartoznak például a manipulációs és tudatalatti technikák, illetve a viselkedés, társadalmi-gazdasági státusz vagy személyes jellemzők alapján osztályozó szociális pontozás (social scoring) is.

„A jogszabály szerint a cégeknek gondoskodniuk kell a munkatársak jártasságágáról. Meg kell ismertetni velük az MI lehetőségeit, kockázatait és az általuk okozható károkat. Mindehhez folyamatos képzésekre lesz szükség, hiszen a terület rohamosan fejlődik: az uniós rendelet tárgyalása és elfogadása közti időben jelentek meg például a nagy nyelvi modellekre épülő olyan szolgáltatások, mint a ChatGPT, és ennek tanulságait folyamatosan építették be a jogszabályba – mondta dr. Vári Csaba, a Baker McKenzie IPTech praxisának vezetője. – Emellett érdemes leltárt készíteni a vállalatoknak arról is, mire és milyen mesterséges intelligenciát alkalmaznak, illetve meg kell vizsgálni, hogy egyáltalán szükséges-e a használatuk. Külön figyelmet kell fordítani az MI-rendszerek biztonsági kérdéseire.”

Az ügyvédi iroda tapasztalatai szerint változó a magyarországi vállalatok felkészültsége. Elsősorban a nagyvállalatok foglalkoznak az MI-jártasság megteremtésével, nemcsak a február óta érvényes törvényi kötelezettség miatt. Jelentős kihívás az úgynevezett shadow AI, amikor a munkavállalók jóváhagyás nélkül használják a mesterséges intelligenciát, sokszor érzékeny céges adatokat megosztva – ez jelentős károkat tud okozni, hiszen nem lehet tudni, hova kerülnek ezek az adatok. Így fontos annak belső tudatosítása, hogy az MI használatával ne kerüljenek ki üzleti titkok vagy személyes adatok. Ugyanígy látható az is, hogy a kiberbűnözők is mesterséges intelligenciával dolgoznak, és ennek felismerése komoly kihívást jelent a munkavállalók számára.

A most elfogadott törvény rendelkezik a tesztkörnyezet létrehozásáról is – ezt szintén a piacfelügyeletért felelős minisztérium alakítja ki. Itt a mesterséges intelligenciát fejlesztő cégek szabályozott környezetben tesztelhetik, hogy termékeik megfelelnek-e az MI rendeletnek. A rendelkezés ezen része 2026. augusztus 2-án lép majd hatályba.

A vállalatok jobb felkészülése és – elsősorban a KKV-kra és a közepes méretű cégekre vonatkozó – szabályok egyszerűsítése, az adminisztrációs terhek csökkentése érdekében az Európai Bizottság novemberben közzétett egy több jogszabályt is érintő úgynevezett digitális omnibusz csomagot. Ez többek között elhalasztaná a nagy kockázatú rendszerekre vonatkozó rendelkezések hatályba lépését, legfeljebb 2027 végéig. A Bizottság javaslatát azonban még az Európai Parlamentnek és a Tanácsnak is el kell még fogadnia, ezért a cégeknek érdemes folyamatosan figyelemmel kísérniük a rájuk vonatkozó rendelkezések módosulását.

Fotó: joel-filipe-VuwAfoHpxgs-unsplash_800, free license

Az Egyesült Királyság kilépett az Európai Unióból, azonban a tavalyi év végéig tartó átmeneti időszak alatt a felek közötti kapcsolatokat szabályzó korábbi szabályok érvényesek maradtak az adatvédelem területén is. Mivel 2020. december közepén még nem látszódtak az EU és az Egyesült Királyság közötti megegyezés körvonalai, ezért az Európai Adatvédelmi Testület tájékoztatásokat adott ki, amelyek a megállapodás nélküli Brexit esetére nyújtottak iránymutatásokat az unióból az Egyesült Királyságba történő adattovábbítások tekintetében. Ezt követően, december 24-én megszületett az EU és az Egyesült Királyság közötti kereskedelmi és együttműködési megállapodás, amit a tárgyaló felek képviselői december 30-án aláírtak, és az Egyesült Királyság parlamentje ratifikálta. Mivel az Európai Parlament csak később, 2021. elején fogja ratifikálni a megállapodást, ezért az január elsejével egyelőre ideiglenesen kerül alkalmazásra.

A Megállapodás adatvédelemmel kapcsolatos legfontosabb rendelkezése, hogy személyes adatok további garanciák nélkül továbbíthatók az unióból az Egyesült Királyságba az átmeneti időszak végétől számított 4 hónapig. Ez a határidő automatikusan meghosszabbodik 2 hónappal, amennyiben sem az EU, sem az Egyesült Királyság nem tiltakozik ellene. Ennek feltétele, hogy az Egyesült Királyság a továbbiakban is alkalmazza a GDPR szabályait, ahogyan az a nemzeti jogában átültetésre került. Ez az időszak hamarabb véget ér, ha időközben az Európai Bizottság megfelelőségi határozatot fogad el az Egyesült Királyság vonatkozásában.

„A Megállapodás legnagyobb jelentősége adatvédelmi szempontból, hogy az átmeneti időszak lejártát követő legfeljebb 6 hónapos időtartam alatt továbbra is külön intézkedések nélkül lehet az Egyesült Királyságba személyes adatot továbbítani. Ez azt jelent, hogy egyelőre nincs szükség speciális garanciák, például általános szerződési feltételek alkalmazására az ilyen jellegű adattovábbítások vonatkozásában. Az Egyesült Királyság adatvédelmi hatósága, az ICO azonban felhívta a figyelmet arra, hogy a vállalkozásoknak ez alatt a 6 hónap alatt észszerű elővigyázatosságból fel kell készülniük arra is, hogy megfelelőségi határozat hiányában alternatív adattovábbítási mechanizmusokat alakítsanak ki” – hangsúlyozta dr. Vári Csaba, a Baker McKenzie adatvédelmi csoportvezetője.

A Megállapodás fontos rendelkezése, hogy egyik fél sem engedélyezi, hogy magánszemélyek részére hozzájárulásuk nélkül lehessen direkt marketing kommunikációs üzeneteket küldeni. Ugyan a cégek az úgynevezett „soft opt-in”-t alkalmazhatják, azaz ügyfeleik részére küldhetnek hasonló termékekről, szolgáltatásokról közvetlen üzletszerzés célú üzenetet, ha ez ellen az érintettek nem tiltakoznak, azonban például Magyarországon ez a módszer nem megengedett.

Az EU és az Egyesült Királyság megállapodott abban is, hogy bilaterális és multilateriális szinten is együttműködnek az adatvédelem területén párbeszéd, tapasztalatcsere és bűnügyi együttműködés útján. Ez azt mutatja, hogy az ICO továbbra is szorosan együttműködhet az Európai Bizottsággal, az Európai Adatvédelmi Testülettel és az EU-s felügyeleti hatóságokkal.

Az adatlokalizáció vonatkozásában a felek megállapodtak, hogy egyikük sem fogja előírni, hogy adatokat (beleértve személyes adatokat is) saját területükön kelljen tárolni vagy kezelni.

A Megállapodás kitér arra is, hogy a felek bűnüldözés területén történő együttműködése feltétele megfelelő garanciák biztosítása az adatvédelmi jogszabályaikban. Bármely fél felfüggesztheti ezt az együttműködést abban az esetben, ha a másik fél adatvédelmi rendszerében súlyos és rendszerbeli hiányosságok mutatkoznának.

Néhány ügyben a Megállapodás nem tartalmaz speciális előírást, azonban a Brexit kapcsán fontos megemlíteni, hogy az Egyesült Királyságból az Európai Gazdasági Térség (EGT) területére történő adattovábbítások a továbbiakban is külön garanciák nélkül történhetnek, mivel az Egyesült Királyság az adatvédelem tekintetében már valamennyi EGT tagállamot megfelelő szintűnek tekint. Továbbá, az Egyesült Királyság megfelelőségi határozatokat hozott azon nem EGT tagállamok vonatkozásában, amelyek kapcsán a Bizottság is hozott már megfelelőségi határozatot, ezért ezen országokba is korlátozások nélkül lehet személyes adatot továbbítani. Fontos megjegyezni, hogy ezek egyoldalú határozatok, azaz az Egyesült Királyság részéről bármikor visszavonhatók, módosíthatók vagy kiegészíthetők.

A digitalizáció a legtöbb iparágban szinte megkerülhetetlen, amit a járványhelyzet még inkább felerősített. A Baker McKenzie kutatásában megkérdezett cégek mindössze 12 százaléka nem mérlegeli rövid távon a digitális átállás lehetőségét. A felmérésben résztvevők több mint 60 százaléka már megkezdte a technológiai átalakulást, az eddig kivárók többségét (58%) pedig a koronavírus-járvány kényszeríti, hogy mielőbb nekikezdjenek a folyamatnak. A digitalizációban ugyanakkor még bőven van üzleti lehetőség, mivel az átállás célja eddig elsősorban a korábbi hatékonyság fenntartása és növelése volt, és kevésbé a folyamattal járó új pénzügyi lehetőségek kihasználása.

A digitális átállás ugyanakkor nem mindig sikertörténet, és a felmérés alapján jellemzően három fő akadályba ütközhet. A legnagyobb nehézséget az okozza, hogy a régi működést sok esetben bonyolult összeegyeztetni az új, elektronikus rendszerrel. Továbbá, a technológiákat biztosító szolgáltatók rendszerint nem is kommunikálják világosan a cégek felé a fejlesztésből származó előnyöket és a benne rejlő üzleti lehetőségeket. A harmadik leggyakoribb probléma pedig a korszakváltáshoz szükséges szakértők hiánya a vállalatnál, amit még sürgetőbbé tesz, hogy számos cég a digitalizáció felgyorsításával kívánja magához csábítani és megtartani a tehetséges munkaerőt.

A technológiai váltás gyorsasága eltérően alakult az egyes ágazatokban. A válaszokból megállapítható, hogy a világjárvány a pénzügyi szektorban okozta a leggyorsabb változást. A technológia, média és telekommunikáció (TMT) területén működő vállalatok szintén hatékonyan tudtak alkalmazkodni a megváltozott helyzethez. Ezzel szemben ritkábban mutattak előrelépést azok az iparágak, amelyek az átlagnál szigorúbban szabályozott jogi környezetben működnek, komolyabb infrastruktúrát igényelnek, vagy ahol bonyolultabb az ellátási lánc – ilyen például az energetika, a bányászat és az építőipar, de hagyományosan az egészségügy is jelentős nehézségekbe ütközött a szabályozott jogi környezet miatt.

A technológiaváltás gyorsaságára jellemző példa, hogy blockchain technológiát a 2017-es 4 százalékhoz képest 2020-ban már a megkérdezett cégek 42 százaléka használja – leginkább a TMT és az ipari, gyártó és szállítmányozási szektorokban – az ellátási lánccal kapcsolatos feladatok ellátására.

„Az adatvédelem és kiberbiztonság által előmozdított digitalizáció fokozott ütemben gyorsul Magyarországon is – mondta dr. Vári Csaba, a Baker McKenzie adatvédelmi csoportvezetője – Ahhoz, hogy a folyamat hatékonyan megvalósulhasson, a cégeknek érdemes meghatározniuk a digitális átállásuk legfőbb céljait, fel kell térképezniük az átálláshoz szükséges legfontosabb kritériumokat, valamint a folyamatosan változó jogi környezetet, amelyek lehetővé teszik a biztonságos digitális működést és új megoldásokat nyújthatnak a pandémia alatt és után.”

A felmérés szerint a digitalizáció kulcsa, hogy a vállalat tárolt adatai biztonságban legyenek, és ahhoz illetéktelenek ne férjenek hozzá. A válaszadók 42 százaléka a digitális átállás három legfőbb kritériuma között említi a kiberbiztonságot. Megítélésük szerint a cégüknek szüksége is lenne fejlesztésre ezen a területen a folyamat felgyorsítása érdekében. Ennek megfelelően ötből négy megkérdezett vállalkozás jelentős kiberbiztonsági beruházásokat hajt végre.

A felhőszolgáltatások a társaságok számára továbbra is, és egyre jelentősebb mértékben a működés szempontjából elengedhetetlen technológiák közé tartoznak. Ezen belül is terjedőben van a privát felhőszolgáltatás a nyilvános felhőszolgáltatással szemben – a megkérdezett cégek négyötöde privát vagy a kettőt ötvöző hibrid szolgáltatást használ. A kis- és középvállalkozások több mint fele privát felhőszolgáltatást vesz igénybe, a nagyobb vállalatoknak pedig 44 százaléka hibrid megoldást választ, míg 33 százaléka privát felhőszolgáltatást. Ezek a számok is azt jelzik, hogy a vállalatok egyre inkább foglalkoznak az adatbiztonsági és katasztrófaelhárítási kérdésekkel, amit felerősít a járványhelyzet alatt terjedő távmunka és home office.

A megkérdezett vállalkozások legnagyobb arányban (26%) a rugalmasságot és a hatékonyabb ügyfélkommunikációt jelölték meg a digitalizáció legfőbb előnyének, az átállással járó költségcsökkenést pedig mindössze 13 százalékuk tartotta a legfontosabbnak hozadéknak. A járványügyi helyzet elsősorban a fogyasztóknak értékesítő (B2C) vállalatoktól igényel jelentősebb agilitást – számukra kiemelten fontos, hogy elektronikus csatornákon is elérjék a közönségüket.

A 2020. július 16-án hozott ítéletében a Bíróság a döntését arra alapozta, hogy az USA nemzetbiztonsági szolgálatai hozzáférhetnek uniós polgároknak az Egyesült Államokban található szervereken tárolt személyes adataihoz nemzetbiztonsági célból. A Bíróság megállapította, hogy általánosságban véve az adatvédelmi pajzs szabályrendszere az érintettek alapvető jogaival szemben a nemzetbiztonság, a közérdek és a bűnüldözés érdekének elsőbbségére épít. Emellett az Egyesült Államok joga nem teljesíti a GDPR által elvárt arányosság elvét, mivel a jogszabályok által lehetővé tett megfigyelési programok nem a feltétlenül szükséges mértékre korlátozódnak. Az uniós polgárokat védő GDPR garanciák tovább sérültek azáltal, hogy az Egyesült Államokban előírt ombudsmani jogorvoslati rendszer nem biztosítja az érintettek számára, hogy jogsérelem esetén az amerikai hatóságokkal szemben bíróság előtt érvényesíthessék jogaikat. Az adatvédelmi pajzs érvénytelenítése nem okoz jogi vákuumot, mivel a GDPR 49. cikkében foglaltak megfelelően alkalmazhatók az adattovábbítás jogszerűségének biztosítására.

Nem változnak a szerződési feltételek

A Bíróság döntése szerint a Bizottság által az adatfeldolgozók vonatkozásában elfogadott általános szerződési feltételek bizonyos esetekben továbbra is alkalmazhatóak, mivel az Unióban biztosított védelem szintjével megegyező védelmet garantálnak. Az adatfeldolgozói szerződési feltételekkel szemben a külföldi adatkezelők részére történő adattovábbítások során használt általános szerződési feltételek érvényességéről a Bíróság a Schrems II ügyben nem döntött.

Hogyan tovább?

„Az ítéletet követően az adattovábbítók az Egyesült Államokba történő személyes adatok továbbításának jogszerűségéről több módon gondoskodhatnak. Ezek közül a kötelező erejű vállalati szabályokat, az általános szerződési feltételeket és a különleges helyzetekben biztosított eltéréseket várhatóan az eddigieknél szélesebb körben alkalmazzák majd” – hangsúlyozta dr. Vári Csaba, a Baker McKenzie adatvédelmi csoportvezetője.

Kötelező erejű vállalati szabályok (BCR): az adattovábbítók a tagállamok adatvédelmi hatóságainak jóváhagyásával cégcsoporton belül információtovábbítási mechanizmust alakíthatnak ki. Az eszköz előnye, hogy a folyamat megfelelőségét maguk az adatvédelmi hatóságok igazolják, hátránya ugyanakkor, hogy nem terjed ki a beszállítók vagy más, cégcsoporton kívüli szerződéses partnerek vonatkozásában megvalósuló adattovábbításra.

Általános szerződési feltételek: Az adattovábbítók a továbbítás igazolására a jövőben is hivatkozhatnak az általános szerződési feltételekre, ugyanakkor a Bíróság ítélete nyomán ezután fokozott felelősség terheli őket annak felmérésében, hogy az adott harmadik ország joga tiszteletben tartja-e az EU által garantált védelmi szintet. Ezen kötelezettség keretében az adattovábbítónak esetről esetre vizsgálnia kell egyrészt az adott harmadik ország jogrendszerének szabályait, mérlegelnie kell az adattovábbítással felmerülő kockázatokat, és az elszámoltathatóság elvével összhangban a levont következtetéseit szükség szerinti igazolnia is tudni kell. Az egyes adattovábbítások függvényében mindez tehát jelentős ráfordítást, valamint adminisztratív terhet róhat az adattovábbítókra. Az általános szerződési feltételek alapján történő adattovábbítás garanciáinak értékelésében fokozott szerep jut majd a tagállami adatvédelmi hatóságoknak, értékelésük függvényében ugyanakkor az is előfordulhat, hogy amíg egyik adatvédelmi hatóság az adott harmadik ország tekintetében megállapítja a védelem megfelelő szintjét, addig más tagállam adatvédelmi hatósága a megfelelőség hiányát is megállapíthatja. Ez az adatvédelmi szabályozás széttöredezésével fenyegethet, illetve cégcsoport szinten akár az adott országba történő adattovábbítás akadályát is jelentheti pusztán azért, mert az adattovábbító két különböző EU-s tagállamból kezdeményezi az adattovábbítást.

Különleges helyzetekben biztosított eltérések: Az adattovábbítók végső soron a GDPR 49. cikkében foglaltak alapján is továbbíthatnak személyes adatot azzal, hogy ezen eltérések kizárólag ideiglenes jelleggel alkalmazhatóak, és az elszámoltathatóság elve szerint az adatkezelőknek igazolniuk kell, hogy az adattovábbítás vonatkozásában nem áll rendelkezésre sem megfelelőségi határozat, sem más adattovábbítási mechanizmus.

A BREXIT-re is vonatkozik

Az adatvédelmi pajzsról szóló határozat érvénytelensége kihat az Egyesült Királyságból az Egyesült Államokba történő adattovábbításokra is, az ICO közleménye szerint az átmeneti időszakban, tehát 2020. december 31-ig a Bíróság döntései vonatkoznak az Egyesült Királyságra is, a GDPR szabályai pedig megfelelően alkalmazandók.

„A Bíróság döntésére tekintettel az adattovábbítóknak mindenekelőtt javasolt áttekinteni az Egyesült Államokba történő adattovábbításaik garanciáit, felülvizsgálni az adattovábbítások kockázatait, és a kockázatoknak megfelelő új eszközökről gondoskodni az adattovábbítás jogszerűségének biztosítása érdekében. Javasolt továbbá a tagállami adatvédelmi hatóságoknak és az Európai Adatvédelmi Testületnek a kialakult helyzettel kapcsolatos hivatalos közleményeinek, valamint az általános szerződési feltételek várható módosításainak a nyomon követése” – foglalta össze dr. Kádár Ágnes, a Baker McKenzie adatvédelmi szakértője.

A szakember több mint 20 éves szakmai pályafutása során elismert nemzetközi ügyvédi irodákban szerzett széleskörű jogi tapasztalatot. Éveken keresztül egy szellemi tulajdon és információs technológiai csoport vezető ügyvédjeként különös figyelmet fordított az adatvédelmi és a hálózati biztonsági ügyekre.

Dr. Vári Csaba a GDPR életbe lépése során jelentős számú globális és hazai ügyfelet segített az új uniós szabályozás sikeres adaptálásában. Ennek során az ügyfelek adatvédelmi tevékenységének teljes körű átvilágítása mellett jogi támogatást nyújtott a szükséges folyamatok és rendszerek bevezetése és implementálása kapcsán, továbbá képzéseket tartott a személyes adatok kezelését napi szinten végző munkatársak és az ügyfelek vezetői részére. A szakértő az elmúlt években számos szakmai publikáció szerzőjeként is feltűnt.

Új pozíciójában az adatvédelmi csoport vezetőjeként biztosít teljes körű jogi tanácsadást ügyfeleinek az adatvédelem és a kiberbiztonság területén, legyen szó az európai általános adatvédelmi rendeletről és a hazai adatvédelmi jogszabályokról vagy az elektronikus kereskedelmet és a felhőszolgáltatásokat érintő legfrissebb szabályozásokról. Hatékony jogi támogatást nyújt ügyfeleinek adatvédelmi hatásvizsgálatok elvégzése, adatvédelmi incidensek kezelése valamint érintetti jogokkal kapcsolatos megkeresések megválaszolása során, továbbá képviseli ügyfeleit a felügyeleti hatóságok és bíróságok előtt.

„Csaba érkezésével két évtizedes jogi pályája alatt felhalmozott páratlan adatvédelmi tanácsadói szaktudással és tapasztalattal gazdagodik irodánk. Teljeskörű szakmai ismeretének köszönhetően továbbra is kimagasló szolgáltatást tudunk ügyfeleinknek nyújtani az adatvédelem és a kiberbiztonság területén” – hangsúlyozta Hegymegi-Barakonyi Zoltán, a Baker McKenzie budapesti irodájának vezetője.