I. Bevezetés
A mesterséges intelligenciával (MI-rendszer) támogatott biztonsági kamerarendszerek egyre elterjedtebbek a vállalati, közterületi és otthoni megfigyelésben. Az intelligens analitikai megoldások, mint például az arcfelismerés, mozgáselemzés vagy a rendszámleolvasás hatékonyabbá tehetik a személy- és vagyonvédelmet. Egyrészről amiatt, mert gördülékenyebbé válik egy adott helyzet rekonstruálása a gyors adatfeldolgozás miatt, másrészt amiatt mert egy új technológia alkalmazása magában hordozza azt a lehetőséget, hogy a személyek jobban “tartanak” tőle, emiatt a prevenció esélye is növekedhet.
Nem is lehet kérdés, hogy ha biztonsági kamerákkal rögzített felvételekről beszélünk, akkor ahhoz előbb-utóbb kapcsolódni fognak személyes adatok, ha pedig személyes adatokról van szó, akkor meg kell felelni a GDPR által támasztott követelményeknek. Abban az esetben viszont, ha a kamerákat „felokosítjuk” az MI-rendszerekkel, akkor már az Európai Unió Mesterséges Intelligencia Rendeletével (AI Act) is szemben találjuk magunkat.
Ez viszont azt jelenti, hogy a GDPR-nak, illetve az AI Act-nek való megfelelés nem működhet „vagy-vagy” logika szerint, mindkét jogszabálynak egyszerre kell megfelelniük az ilyen technológiát alkalmazóknak.
2021 nyarán – ugyan még az AI Act nem volt hatályos – a spanyol adatvédelmi hatóság 2.520.000 euró összegű bírságot szabott ki a Mercadona spanyol szupermarket-láncára a nem megfelelő adatkezelési gyakorlata miatt. A Mercadona egy olyan intelligens analitikát alkalmazó biztonsági rendszert vezetett be, amelynek az volt a célja, hogy kiszűrje azokat a személyeket, akiket korábban jogerősen elítéltek. A spanyol adatvédelmi hatóság a vizsgálata során több jogsértést is feltárt: elégtelen jogalapot az adatkezeléshez, valamint a GDPR 9. cikke szerinti különleges személyes adatok jogellenes kezelését.
A cikkben bemutatjuk a kettős megfelelés kihívásait és megoldásait.
II. A kettős megfelelés biztosítása
Az AI Act és a GDPR párhuzamos követelményeinek teljesítése komoly kihívás az MI-rendszerrel támogatott kamerarendszerek alkalmazói számára. Az AI Act alapvetően egy kockázati megközelítést bevezető jogszabály, amely a minimálistól az elfogadhatatlanig, – azaz a tiltott MI gyakorlatig – kategorizálja ezeket a rendszereket, tehát leginkább a termékre koncentrál. Ezzel szemben a GDPR fő célja a jogszerű adatkezelés folyamatának megteremtése.
A nulladik lépés egy ilyen kamerarendszerre vonatkozó jogszabályi megfelelés vonatkozásában annak megállapítása, hogy a vizsgált technológia valóban MI-rendszer vagy sem. Az AI Act szerint az MI-rendszer olyan gépi alapú rendszer, amelyet különböző autonómiaszinteken történő működésre terveztek, és amely a bevezetését követően alkalmazkodóképességet tanúsíthat, és amely a kapott bemenetből – explicit vagy implicit célok érdekében – kikövetkezteti, miként generáljon olyan kimeneteket, mint például előrejelzéseket, tartalmakat, ajánlásokat vagy döntéseket, amelyek befolyásolhatják a fizikai vagy a virtuális környezetet. A definíció elég tág értelmezést biztosít, de egy olyan technológia, amely lehetővé teszi a viselkedések, mozdulatok elemzését, arcfelismerését és az életkor meghatározását, sőt ezek mentén képes adaptálódni és a rendelkezésre álló személyes adatok alapján a jövőben még hatékonyabban működni, álláspontunk szerint MI-rendszernek minősül.
Ha meggyőződtünk arról, hogy a technológia valóban MI-rendszernek minősül, akkor fel kell tárni az összes funkcióját és a megfelelő kockázati kategóriába kell sorolnunk. A tiltott MI gyakorlatok kiszűrése vízválasztó fontosságú, mivel, ha az adott MI-rendszer tartalmaz tiltott funkciót akkor forgalomba hozatala, üzembe helyezése és használata egyaránt tilos. Egy biztonsági kamera kapcsán tiltott MI gyakorlat lehet a valós idejű távoli biometrikus azonosítás. Ez azt jelenti, hogy az MI-rendszer képes a biometrikus adatok rögzítésére, az összehasonlítására és az azonosításra egyaránt jelentős késleltetés nélkül.
Egy MI-rendszer alapú biztonsági kamera bevezetésekor mindkét jogszabály kockázatelemzést ír elő, némileg más szemszögből. Az AI Act az MI-rendszer funkcióinak értékelését és műszaki dokumentációját várja el, a GDPR 35. cikke szerint az adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie, ha a kamerás megfigyelés valószínűsíthetően magas kockázattal jár az érintettek jogaira nézve. A gyakorlatban egy biztonsági kamera, ami például biometrikus azonosítást végez vagy nyilvános területet figyel meg, mindenképp magas kockázatúnak minősül adatvédelmi szempontból, így kötelező az adatvédelmi hatásvizsgálat.
A legjobban akkor tudunk eljárni, ha a két kockázatértékelés kéz a kézben jár, például az adatvédelmi hatásvizsgálatban hivatkozunk az MI-rendszer dokumentációban leírt technikai kockázatcsökkentő intézkedésekre, míg az MI-rendszer dokumentációja kiegészíthető a hatásvizsgálatban feltárt adatvédelmi kockázatokkal.
Fontos, hogy bármennyire is „okos“ az MI-rendszer, biztosítani kell az emberi felügyeletet. Ki kell jelölni azokat a munkatársakat, akik figyelemmel kísérik az MI-rendszer működését, és szükség esetén közbe tudnak avatkozni. A feltárt hibákat – például hamis riasztás, diszkriminatív eredmény -, azok javítását, illetve a fejlesztési terveket nekik kell bemutatni a vállalat vezetésének. Ez egybevág a GDPR által megfogalmazott elszámoltathatóság elvével is, vagyis az adatkezelőnek folyamatosan nyomon kell követnie, hogy a kamerarendszer adatkezelése megfelel-e a jogi kereteknek, és ha problémát talál, intézkednie kell.
III. Összegzés
A kettős megfelelés kulcsa az átfogó és strukturált szemlélet. Tehát nem külön GDPR és külön AI Act projektként érdemes tekinteni rá, hanem a kamerarendszer etikus és jogkövető üzemeltetésének egységes feladataként. Ez a gyakorlatban azt jelenti, hogy már a tervezéskor kizárjuk a tiltott MI gyakorlatokat, elvégezzük a funkciók kockázati besorolását, és – ahol szükséges – a magas kockázatú rendszerekre vonatkozó megfelelőségi csomagot is előkészítjük, mindezt úgy, hogy ezzel párhuzamosan figyelembe vesszük az adatvédelmi elvárásokat.
Források
- Az Európai Parlament és a Tanács 2024. június 13-i (EU) 2024/1689 rendelete a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról, valamint a 300/2008/EK, a 167/2013/EU, a 168/2013/EU, az (EU) 2018/858, az (EU) 2018/1139 és az (EU) 2019/2144 rendelet, továbbá a 2014/90/EU, az (EU) 2016/797 és az (EU) 2020/1828 irányelv módosításáról (a mesterséges intelligenciáról szóló rendelet)
- Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet)
- https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai#:~:text=,of%20robustness%2C%20cybersecurity%20and%20accuracy
- https://dataprivacymanager.net/e25-million-gdpr-fine-to-spanish-supermarket-chain-mercadona/
Cikk eredeti forrása: SmartFill Legal Kft.-Okos jogi megoldások
