Az MI-technológiák egyre szélesebb körben történő elterjedése nyomán az Európai Adatvédelmi Testület (EDPB) az ír adatvédelmi hatóság kérelmére 2024. december 18-án kibocsátott egy meghatározó jelentőségű véleményt a személyes adatok általános adatvédelmi rendeletnek megfelelő felhasználásáról az MI-modellek fejlesztése és bevezetés során.
A vélemény kiterjed arra, hogy: mikor és milyen feltételek mellett tekinthető egy MI-modell anonimnek; a jogos érdek jogalap alkalmazható-e, és ha igen, milyen módon, MI-modellek fejlesztéséhez vagy használatához; valamint, hogy mivel jár, ha az MI-modellt jogellenesen kezelt személyes adatok felhasználásával fejlesztették. Emellett kitér az első és harmadik féltől származó adatok felhasználására is.
Az MI életciklusa és az adatvédelmi szempontok
Az EDPB véleménye az MI-rendszerek életciklusát a vélemény vonatkozásában „fejlesztési szakaszra” és a „bevezetési szakaszra” bontja.
A fejlesztési szakasz az MI-modell bevezetését megelőző valamennyi szakaszra, így a létrehozatalra, magára a fejlesztésre, betanítási személyes adatok gyűjtésére, előkezelésére és magára a betanításra, illetve a további finomhangolásra terjed ki. A vélemény vonatkozásában a bevezetési szakasz a használatra és a fejlesztési szakaszt követően végzett műveletekre terjed ki. Az EDPB kiemeli, hogy minden szakaszban sor kerülhet személyes adatok kezelésére, amely GDPR alapú kötelezettséget vonhat maga után.
Az MI-modell anonimitásának feltételei
A vélemény alapján az MI-modellek anonimitásának megítélése a nemzeti adatvédelmi hatóságok részéről eseti alapon történik, és meghatároz olyan módszereket, amelyekkel igazolható az anonimitás fennállása.
A vélemény alapján nem tekinthető anonimnek, amennyiben az MI-modell célja személyes adatok elemzése, vagy olyan válaszok nyújtása, amelyek egy meghatározott személyre vonatkozó személyes adatokat tartalmaznak, valamint az olyan általános célú MI-modell, amely valakinek a hangját utánozza. Nem tekinthető anonimnek továbbá, amennyiben az MI-modellt olyan adatokon tanították be, amelyek személyes adatokat is tartalmaznak.
Ahhoz, hogy egy MI-modell anonimnek minősüljön, nagyon csekély valószínűséggel kell fennállnia annak, hogy egy természetes személy (aki a betanítási adatokban szerepel vagy egy másik személy – pl. egy prompt révén) közvetlenül vagy közvetve azonosítható legyen, valamint, hogy az MI-modellből lekérdezések útján ilyen személyes adatok kinyerhetők legyenek. A vélemény nem kimerítő és nem kötelező érvényű módszerlistát is tartalmaz az anonimitás igazolására.
Az azonosíthatóság kockázatának hiányát akkor lehet megállapítani, ha nem lehet:
- egy természetes személyt egyedileg azonosítani;
- a személyes adatokat egy adott személyhez kapcsolni;
- következtetéseket levonni róla – még más adatokkal, illegális eszközökkel vagy csúcstechnológiával sem.
Ennek biztosításához megfelelő és hatékony védelmi intézkedéseket kell alkalmazni, például támadások elleni technikai védekezést.
A felügyeleti hatóságok által értékelt tényezők az anonimitás megállapítása során
A fent említettekkel összehangban az EDPB az alábbiakban egy nem előíró, példálózó jellegű felsorolást ad azon lehetséges elemekről, amelyeket a felügyeleti hatóságok figyelembe vehetnek az adatkezelő anonimitásra vonatkozó állításának értékelésekor:
1. MI-modell kialakítása
- Adatgyűjtési korlátok: kiválasztási kritériumok, források megválasztása, nem megfelelő források használata;
- Adatok előkészítése a betanításhoz: anonimizálás, titkosítás, adatminimalizálás, adatszűrés az irreleváns információk eltávolítása érdekében;
- Módszertani választások a betanítást illetően: az azonosíthatóság csökkentésére vagy megszüntetésére alkalmazott eljárások.
2. MI-modell elemzése
- Az azonosítás valószínűségének ellenőrzése;
- Hatékony mérnöki szabályozás fennállása.
3. Az MI-modell tesztelése és a támadásokkal szembeni ellenállása
- Adatkezelő által a modellen elvégzett tesztek hatóköre, gyakorisága, mennyisége és minősége;
- Ellenállóképességi tesztelés.
4. Dokumentáció
- Kockázatértékelés, adatvédelmi hatásvizsgálatok (DPIA), adatvédelmi tisztviselő (DPO) véleménye, az azonosíthatóság csökkentését szolgáló intézkedések leírása, a tanító adatok forrása (URL-ek);
- Elszámoltathatóság.
Összegzés
A vélemény– melynek célja, hogy gyakorlati iránymutatást nyújtson az MI-fejlesztők és adatkezelők számára a jogszerű és felelős adatkezelés biztosításához – részletesen bemutatja, hogyan hangolható össze a mesterséges intelligencia technológiák fejlesztése és alkalmazása a GDPR alapelveivel. Az EDPB kiemeli, hogy az MI-modellek fejlesztési és bevezetési szakaszában is sor kerülhet személyes adatok kezelésére, amely GDPR-kompatibilis jogalapot igényel. A vélemény meghatározza az MI-modellek anonimitásának feltételeit, és példálózó jelleggel felsorolja azokat a technikai elemeket, módszereket, amelyekkel az anonimitás igazolható.
Forrás: Jogi Fórum (https://www.jogiforum.hu/blog-adatvedelem-10/2025/08/12/mesterseges-intelligencia-es-adatvedelem-az-innovacio-es-a-gdpr-alapelveinek-osszehangolasa/)