I.      Bevezetés. 3

II.         Biometrikus adat 3

2.      Biometrikus azonosítás. 4

2.1.       Biometrikus azonosítás leggyakoribb fajtái 4

III.       Siófoki térfigyelő kamerák (NAIH-963-10/2022.) 6

3.      A Hatósági eljárás. 7

3.1.       A NAIH eljárása. 7

3.2.       A NAIH döntése. 12

IV.       Mesterséges intelligencia. 14

V.         Budapest Bank Zrt. adatkezelése (NAIH-85-3/2022) 16

4.      A Hatósági eljárás. 16

4.1.       Előzményi ügy. 16

4.2.       A NAIH eljárása. 19

4.3.       A NAIH döntése. 20

VI.       Megállapítások. 24

VII.     Felhasznált források. 26

      I.            Bevezetés

Véleményem szerint a minket körülvevő, dinamikusan fejlődő technikai környezetben a biometrikus azonosítás, illetőleg az ahhoz kapcsolódó adatkezelés és ennek szabályozott keretek között tartása megkerülhetetlenné válik épp úgy, mint a mindennapjainkba észrevétlenül beférkőző mesterséges intelligencia. Dolgozatomban – amely a Szegedi Tudományegyetem Állam- és Jogtudományi Kar Digitális Adatvédelmi Szakjogász és Szaktanácsadó képzésre készített dolgozat jelentős továbbépítésével készült – a gyakorlati életben felmerülő problémák közül a nemrégiben a sajtó által felkapott, a köztudatban „Siófoki térfigyelő kamerák” néven elhíresült ügyet, az ügyben született NAIH-963-10/2022. döntést, továbbá a hasonló jelentőségű, azonban jóval kisebb sajtóvisszhangot kiváltó a Budapest Bank Zrt. mesterséges intelligencia alkalmazásával történő adatkezelése tárgyában hozott NAIH-85-3/2022. számú döntést kívánom feldolgozni, melyeken keresztül szeretnék arra rávilágítani, hogy a ezen két területre vonatkozó szabályok mennyire gyerekcipőben járnak még. A releváns jogszabályokat lábjegyzetben helyeztem el a dolgozatom könnyebb megérthetősége érdekében.

  II.            Biometrikus adat

A biometrikus adat fogalmát a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679 (EU) rendelet (a továbbiakban: általános adatvédelmi rendelet) 4. cikk 14. pont az alábbiak szerint határozza meg: „egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat.”[1]

2.     Biometrikus azonosítás

Elöljáróban a biometrikus azonosítás a leggyakoribb fajtáit szeretném áttekinteni. A biometrikus azonosítás lényegében az egyének viselkedésbeli vagy fizikai ismertetőjegyei alapján történő megkülönböztetése, illetőleg azonosítása.

2.1.           Biometrikus azonosítás leggyakoribb fajtái[2]

• Beszéd felismerés
  • Kézgeometriai azonosítás
  • Arc felismerés/arc alapú azonosítás
  • Ujjlenyomat azonosítás
  • DNS azonosítás
  • Retina azonosítás

 

2.1.1         Beszédfelismerés

A nyelvhasználat, a beszédképzés sajátosságai és a hangképzés egyedisége okán a beszéd alkalmas lehet személyfelismerés, hitelesítés, valamint azonosítás elvégzésre.[3]

2.1.2        Kézgeometriai azonosítás

A kézgeometria alapján történő azonosítás során a kéz geometriai sajátosságai ( a tenyér és az ujjak méretaránya, a kézfej szélessége, az ujjak hosszúsága és szélessége stb.) alapján történik a személy azonosítása[4]. Hátránya, hogy a vizsgált tényezők változása okán (pl. műköröm, időközben megcsonkult kéz) nem feltétlen időt álló.

• Arcfelismerés/arcalapú azonosítás

Az arcfelismerés/ arcalapú azonosítás két különböző megközelítés alapján történhet. A geometriai alapú eljárás során az arc részleteinek (orr, szem, ajkak) elhelyezkedését és méretét vizsgálják, míg a mintaalapú (fotometrikus) eljárás során a tárolt mintával az arc vagy annak egyes részleteinek (orr, szem, ajkak) tulajdonságait vetik össze.[5]

2.1.4        Ujjlenyomat azonosítás

Egyének azonosítása az ujjon található bőrredők egyedi sajátosságai alapján. A legrégebben ismert és használt biometrikus azonosítás fajta.

2.1.5        DNS azonosítás

Leginkább a büntetőeljárás során elterjedt azonosítási módszer, melynek során szakértők DNS profilt állítanak fel, amely tartalmazza a „bűncselekmény helyszínén és a bűncselekmény elkövetésének nyomait hordozó személyen vagy tárgyról rögzített anyagmaradványból meghatározott DNS-marker tulajdonságok (allélok) összességét[6]. Polgári ügyszakos bírósági eljárások során az apaság/anyaság megállapítása iránti perekben bírhat jelentőséggel.

2.1.6        Retina azonosítás

Azonosításhoz a szem hátsó falán elhelyezkedő erezetek mintáját veszi alapul. Kiemelkedően biztonságos, azonban szemben például az ujjlenyomat alapján történő azonosítással a mintavételi eljárás az alany számára kellemetlen lehet.

III.            Siófoki térfigyelő kamerák (NAIH-963-10/2022.)[7]

Dolgozatom eredeti ötletét Siófok Város Önkormányzatának alábbi 2020. június 10. napján közzétett közleménye adta:

„A korábban eltervezett bűnmegelőzési stratégia következő lépéseként 2021 nyarára a Dahua cég mesterséges intelligenciával ellátott kamerarendszerét telepítették ki a siófok Petőfi sétányon.

A jogszabályi felhatalmazásnak megfelelően megtervezett, az évekkel ezelőtt elkezdett bűnmegelőzési stratégia eredményeként a bűnesetek száma 90%-kal csökkent a 8-10 évvel ezelőtti adatokhoz képest Siófok nyári időszakban az egyik legnépszerűbb közterületén, a Petőfi sétányon.

Az elért eredmények hatására a korábban telepített térfigyelő kamerarendszer cseréjére a hatályos beszerzési szabályzatunk alapján lefolytatott ajánlattételi eljárást írt ki az önkormányzat, melynek eredményeként 3 cég adott érvényes ajánlatot és mind műszaki tartalmát tekintve, mind árajánlatát tekintve a Video Data Kft. nyerte el a beruházást, mely a Dahua cég termékeit forgalmazza Magyarországon.

A beruházás keretében 39 új, mesterséges intelligenciával ellátott kamera került telepítésre a Petőfi sétány területén. Az új kamerák arcdetektálásra képesek, vagyis az adott emberre jellemző vonásokat rögzítve tudja az adatokat továbbítani a rendszerben lévő egyéb kamerák részére és így a bűncselekményt feltételezetten elkövető személyt nyomon lehet követni. A kamerák képeit a rendőrségen kialakított operatív szobában csak a rendőrség és a városőrség munkatársai láthatják és a felvételek 30 nap múlva törlésre kerülnek a hatályos jogszabályoknak megfelelően, az ezzel kapcsolatos adatvédelmi tájékoztató Siófok város honlapján elérhető (https://www.siofok.hu/hu/adatvedelem). A kamerarendszer zárt, egyéb adatbázissal nincs összekötve, a felvételeken szereplők személyazonossága nem megállapítható.

A cél az, hogy 2022-re a megbízott biztonsági cégre, külön élőerős őrzésre már ne legyen szükség a sétány közterületein, ennek keretében a rendszer üzemeléséhez szükséges optikai hálózat kiépítése lezárul, illetve rendszámfelismerő pilonok lesznek telepítve. A rendszer teljes körű kiépülésével a siófoki rendőrség munkáját is nagymértékben tudjuk támogatni és könnyíteni. A kamerarendszer telepítésének célja, hogy a Petőfi sétányra érkező vendégek felhőtlen pihenésük során teljes biztonságban érezhessék magukat és kizárólag pozitív emlékekkel térjenek haza Siófokról.

A rendőrség a napokban a sétány kamerarendszerének segítségével tudta beazonosítani a Mártírok úti vasúti sorompó letörőjét (képünkön).”[8]

3.     A Hatósági eljárás

Ezen hivatkozott közlemény jelentős sajtóvisszhangot kapott, amely a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: NAIH) is eljutott. A NAIH ezen sajtóértesülések alapján az információs önrendelkezési jogról és az információszabadságról szóló a 2011. évi CXII. törvény (a továbbiakban: Info tv.) 51/A. § (1) bekezdés alapján[9], vizsgálat keretében Siófok Város Önkormányzatától felvilágosítás, valamint több dokumentum megküldését kérte. Ezen eljárás NAIH-5481/2021. számon volt folyamatban.

3.1.           A NAIH eljárása

Siófok Város Önkormányzatának (a továbbiakban: Önkormányzat) nevében a város polgármestere reagálta a NAIH megkeresésére. Válaszában előadta, hogy a közterületfelügyeletről szóló 1999. évi LXIII. törvény (a továbbiakban: Kftv.) 7. § (3) bekezdése[10] alapján 2014. évben kamerarendszer került kiépítésre a város közterületein, amelyet az önkormányzat szervezeti egységeként működő Városőrség üzemeltet. A Siófoki Rendőrkapitányság és a Városőrség között együttműködés jött létre a közbiztonság fenntartása és bűnmegelőzés tárgyában. A kamerarendszer eljárással érintett fejlesztése 2020. évben kezdődött meg. 2021. évben a meghívásos ajánlattételi eljárás eredményeként az Önkormányzat szerződést kötött a Video-Data Kft.-vel a kamerarendszer korszerűsítése érdekében, melynek eredményeként az Önkormányzat illetékességi területén található Petőfi sétányon 2021. május 15. napján megtörtént a korábbi kamerák leszerelése, melyet követően 2021. június 15. napján az újonnan beszerzett kamerákat szerelték fel. Az újonnan felszerelt kamerák tesztüzemére szintén a felszerelés napján került sor, melynek során az „arcdetektáló funkció” alkalmazására nem került sor. Az Önkormányzat válaszában kiemelte, hogy annak ellenére, hogy az általuk beszerzett kamera rendszer rendelkezik „arcdetektáló” funkcióval, ez nem került aktiválásra. Az általuk elvégezett hatásvizsgálat szerint a kamerák mesterséges intelligencia funkciójának alkalmazása magas kockázattal járna az érintett jogaira, ezért az Info tv. 25/H. §[11] alapján előzetes eljárás lefolytatását kívánták kezdeményezni a NAIH-nál. Az Önkormányzat álláspontja szerint a kamerarendszer vonatkozásában mesterséges intelligencia alkalmazása azért indokolt, mert a nyári időszakban, főként hétvégénként, az esti órákban több ezer ember fordul meg a város területén található Petőfi sétányon, amely szükségképpen együtt jár a szabálysértések és a bűncselekmények számának jelentős emelkedésével. A kamerarendszer mesterséges intelligenciájának alkalmazásával ezen cselekmények megelőzése, illetőleg felderítése jelentősen eredményesebb lenne, figyelemmel arra, hogy ismétlődően felmerülő probléma, hogy az elkövető a tömegbe olvadva eltűnik, amely a kamerarendszer hivatkozott funkciójának igénybevételével orvosolható lenne.

A kamerarendszer működését az alábbiak szerint határozta meg:

„A kamera észleli a felvételen megjelenő személyek arcát; a felvételek a zárt informatikai rendszerben telepített rögzítőkön tárolódnak, amelyek legkésőbb 30 naponta felülíródnak. Az arcdetektálás használata során arcokról készülnek külön ún. bélyegképek is, melyek átkerülnek a rendszer video menedzsment szerver gépére (DSS Server) és egy dedikált HDD-n kerülnek letárolásra. Mindez lehetővé teszi az operátor számára, hogy intézkedés esetén a video menedzsment kliens gépről (DSS Client) gyorskeresést hajtson végre a letárolt bélyegképek között. Ezen rendszer nincsen összekötve semmilyen adatbázissal, az adatbázis nem kerül továbbításra, kizárólag a rendszer tárolja azt. Amennyiben az érintett mozgását követnék le, úgy a megjelölt arcképet a rendszer adatbázisában lévő arcképpel hasonlítaná össze. A mesterséges intelligencia alkalmazásának elindításához mindenképpen emberi beavatkozás szükséges. Az adatkezelő által működtetett kamerarendszer nem áll kapcsolatban a Nemzeti Infokommunikációs Szolgáltató Zrt. által végzett adattárolással.”[12]

Az Önkormányzat a NAIH-nak felhívására tett válaszában előadta, hogy az általa készített érdekmérlegelési teszt alapján az elérni kívánt céllal arányosnak találta a mesterséges intelligencia alkalmazását, különös tekintettel arra, hogy csupán meghatározott időszakban a város egy meghatározott részén kerülne az alkalmazásra.

A NAIH az ügyet vizsgálat keretében nem találta tisztázhatónak, melyre tekintettel az Info tv. 55. § (1) bekezdés ab) pontja[13] és 60.§ (1) bekezdése [14] alapján a vizsgálati eljárást lezárta és NAIH-6212/2021. számon hatósági eljárást indított hivatalból.

A hatósági eljárás során az Önkormányzat a NAIH felhívására – egyebek mellett – előadta, hogy az általa készített adatvédelmi hatásvizsgálat alapján arra megállapításra jutott, hogy a biometrikus adatok kezelésére figyelemmel az adatkezelés magas kockázattal járna az érintettek jogaira, ezért úgy döntöttek, hogy nem alkalmazzák a kamerarendszer hivatkozott funkcióját, előzetes konzultációt kívántak kezdeményezni a NAIH-nál. Az alkalmazás beüzemelése vonatkozásában szabályzatban kívánták rögzíteni, hogy csak a nyári időszakban, hétvégenként, kizárólag a Petőfi sétány területén lenne alkalmazható a rendszer hivatkozott funkciója.

Az Önkormányzat a kamerarendszer tekintetében, mind mesterséges intelligencia alkalmazásával, mind anélkül történő adatkezelés vonatkozásában készített adatvédelmi hatásvizsgálatot. A mesterséges intelligencia alkalmazása nélkül történő adatkezelés esetén a hatásvizsgálat eredményeként azt állapította meg, hogy „az adatkezelés célja kellően meghatározott és jogszerű, figyelemmel arra, hogy az adatkezelést a Ktftv. írja elő; az adatkezelés a cél elérésével arányos és a cél hatékony megvalósításához szükséges.”[15]

Míg a mesterséges intelligencia alkalmazásával megvalósuló adatkezelés vonatkozásában az hatásvizsgálat alapján „az adatkezelés jogalapja az Infotv. 5. § (1) bekezdés b) pontja, valamint a Ktftv. 1. §-a és a 7. § (3) bekezdés; az adatvédelmi tisztviselő javasolja a mesterséges intelligencia alkalmazásának mellőzését, figyelemmel arra, hogy biometrikus adat kezelése történik, és véleménye szerint kétséget kizáróan nem állapítható meg az, hogy az adatkezelés alkalmazása arányos az elérni kívánt céllal. Figyelemmel arra, hogy az adatkezelés során biometrikus adat kezelésére is sor kerülne, és az adatkezelés magas kockázattal járna az érintettek jogaira és szabadságaira nézve, az adatkezelő a mesterséges intelligencia alkalmazását megelőzően kezdeményezi a Hatóság előzetes konzultációs eljárását.”[16]

A NAIH által tartott helyszíni szemle során a NAIH informatikai szakértelemmel rendelkező tagja megállapította az elérhető logállományból, hogy 2021. augusztus 26. napján 13:13 és 13:22 között system adminisztrátor jogkörrel szerepkör és felhasználó törlés, módosítás és létrehozás történt. Ezen hatósági eljárás keretében a NAIH megállapította, hogy az Önkormányzat, nem minősül adatfeldolgozónak, közös adatkezelőnek és adatkezelőnek, így a vele szemben NAIH-6212/2021. számon folyt adatvédelmi hatósági eljárást a Hatóság megszüntette. Azonban az arcfelismerési képességgel rendelkező térfigyelőkamera rendszer, valamint az általa megvalósuló adatkezelés hatósági eljárás keretében történő vizsgálatát továbbra is indokoltnak tartotta, ezért NAIH-7432/2021. számon adatvédelmi hatósági eljárást indított a Siófoki Közös Önkormányzati Hivatal, a Siófoki Rendőrkapitányság (a továbbiakban: Rendőrkapitányság) ellen, valamint az eljárásba bevonta a Techno-Tel Távközlési és Informatikai, Kivitelező és Szolgáltató Korlátolt Felelősségű Társaságot (a továbbiakban: Társaság) is.

Ezen eljárás során az Önkormányzata NAIH felhívására akként nyilatkozott, hogy a szerepkörök (2021. augusztus 26. napján történő) módosítására nem adott utasítást, azt a Társaság alkalmazottja önhatalmúlag végezte el, melynek alátámasztására csatolta a Társaság nyilatkozatát arról, hogy az eset kivizsgálásra került, megtették a szükséges intézkedéseket.

A Rendőrkapitányság a NAIH felhívására akként nyilatkozott, hogy a Rendőrkapitányság állományának egy tagja sem végzett szerepkör és felhasználó létrehozást, módosítást és törlést az operátori helyiségben elhelyezett DSS terminálon. Előadta, hogy tekintettel arra, hogy az Önkormányzat minősül adatkezelőnek, a hivatásos állományához tartozó személyek a kamerarendszer adataihoz az Önkormányzat alkalmazásában álló Városőrök jelenlétében férhetnek hozzá. Nyilatkozata alapján az Önkormányzattal közös adatkezelést végeznek, azonban a tárgyi eljárásokban minden esetben hivatalos eljárás keretében lefoglalásra kerül a szükséges adat. Kifejezetten nyilatkozott, hogy a Siófok Város Önkormányzatának fent idézett közleményében meghatározott bűncselekmény, vagyis a Mártírok úti vasúti sorompó letörése vonatkozásában indult eljárás során az elkövető azonosítása érdekében mesterséges intelligencia alkalmazására nem került sor. Nyilatkozata alapján 2022. július 12. és 2021. augusztus 26. napjai között került sor operátori megfigyelésre, amely tekintetében a NAIH megállapította, hogy a rendelkezésre álló „Kimutatás kameraszoba használatáról” elnevezésű dokumentumban ezen időszak tekintetében bejegyzés nem szerepel.

Ez követően a tényállás tisztázása érdekében a NAIH megkereste a kamerarendszert biztosító Dahua Technology Hungary Kft-t (a továbbiakban Dahua Kft.). A Dahua Kft. a NAIH-nak intézett válaszában előadta, hogy kizárólag terméket biztosított, a beszerzésre irányuló szerződésben nem vett részt. Az érintett kamerarendszer fejlesztéshez 2020-21. évben értékesítette a zártláncú megfigyelésre szolgáló terméket a magyarországi forgalmazó részére. A tekintetben is nyilatkozott, hogy bizonyos termékei támogatják az arcfelismerés/arcdetektálás funkciót, amely azonban alapértelmezésként ki van kapcsolva, azt a végfelhasználó által, adminisztrátori jogkörben eljárva, manuálisan kell aktiválni.

3.2.           A NAIH döntése

A NAIH a NAIH-963-10/2022. számú döntésével megállapította, hogy az Önkormányzat és Rendőrkapitányság a közterületi térfigyelő rendszer általi adatkezelése során megsértette az Info tv. 25/B. § (1) bekezdését[17], 25/F. § (1) bekezdésének d) pontját[18], a 25/F. § (4) bekezdését[19] és a 25/I.§ (3) bekezdésének c) és e) pontjárt[20], elrendelte a végreleges határozatának az az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát.

A NAIH döntésében a Társaság vonatkozásában megállapította, hogy a Társaság megsértette az Info tv. 25/D. § (3) bekezdés a) pontját[21], amely miatt 500.000,- forint adatvédelmi birság megfizetésére kötelezte a Társaságot

Döntésének indokolásában a NAIH a közterületi térfigyelő rendszer arcfelismerő funkciója általi adatkezelés vonatkozásában kifejtette, hogy figyelemmel arra, hogy a rendszer arcfelismerésre képes a saját adatbázisában mesterséges intelligencia alkalmazásával, melynek során meghatározott személy arcképe alapján további felvételekről kiválasztja, így ezen funkció értelemszerűen biometrikus adatkezelést valósít meg, amely különleges adatkezelésnek minősül. A NAIH a vizsgálata során nem vizsgálta mélységében azt a kérdést, hogy ha az Önkormányzat, illetőleg a Rendőrkapitányság a rendelkezésükre álló, arcfelismerés funkciót aktíválták volna, akkor a biometrikus adatkezelés milyen körülmények között valósult volna meg figyelemmel arra, hogy a NAIH álláspontja szerint erre akkor terjedhetett volna ki a vizsgálat, ha bizonyítékokkal alátámasztottan és rekonstruálhatóan sort került volna már ilyen adatkezelésre.

A térfigyelő rendszerrel megvalósuló adatkezelés során feltárt hiányosságok kapcsán megállapította a NAIH, hogy az Önkormányzat adatkezelőnek minősül – egyebek mellett – figyelemmel arra, hogy a Városőrség javaslatára az Önkormányzat döntött az adatkezelés megkezdéséről, annak eszközeiről. A Rendőrkapitányság részt vett a beszerzett eszközök kiválasztásában, székhelyén a kamerahelyiségben történő megfigyelés révén részt vett az adatkezelésében, így adatkezelői minősége megállapítható. A vizsgált esetben tehát az Önkormányzat és a Rendőrkapitányság közös adatkezelőnek volt tekinthető, azonban a Info tv. 25/B.§ (1) bekezdése szerint megállapodást nem kötöttek, melyre alapítottan állapította meg a NAIH vonatkozásukban jogsértő hiányosságot.

Az elektronikus napló vezetésére és az adatbiztonsági intézkedésekre vonatkozó rendelkezések sérelme tekintetében megállapításra került, hogy sérti az Info tv. 25/F. § (1) bekezdés d) pontját és egyben az elszámoltathatóság és adatbiztonság követelményét az is, hogy a Önkormányzat alkalmazásában álló városőrök és a Rendőrkapitányság állományába tartozó rendőrök is azonos loginnal lépnek be a rendszerbe, így egyedileg nem rögzül, hogy konkrét időpontban ki lépett be és végzett adatkezelői tevékenységet. Megállapításra került továbbá, hogy a vizsgált esetben az Info tv. 25/F. § (4) bekezdésében meghatározott azon kötelezettség, miszerint az elektronikus naplóban rögzített adatokat a kezelt adat törlésétől számított 10 évig meg kell őrizni, nem teljesült figyelemmel arra, hogy felhasználók tevékenysége 30 napig tekinthető meg.

A Társaság vonatkozásában megállapításra került továbbá, hogy annak munkavállalója megsértette az Info tv. 25/D. § (3) bekezdés a) pontját azzal, hogy az adatkezelő tudta és kifejezett utasítása nélkül végzett szerepkör törlést, módosítás, valamint létrehozást.

Fentiekre tekintettel a NAIH az Önkormányzat és a Rendőrkapitányság vonatkozásában megállapította térfigyelő rendszer keretében végzett adatkezelés módjának jogellenességét. A Társaság vonatkozásában azonban nem tartotta elégségesnek pusztán a jogsértés tényének megállapítását, hanem bírság kiszabását tartotta indokoltnak, melynek során enyhítő körülményként vette figyelembe, hogy a jogsértést a Társaság alkalmazottja önhatalmúlag követte el, a Társaság vonatkozásában korábban személyes adat kezelésével kapcsolatos jogsértés nem került megállapításra, valamint azt, hogy a jogsértés kisebb jelentőségű volt. Ezzel szemben súlyosító körülményként került értékelésre az, hogy a jogsértő cselekményre a NAIH által végzett helyszíni szemlét közvetlenül megelőzően került sor, amikor már tisztában voltak eljárás céljával, továbbá azt, hogy a társaság megsértette azon törvényi kötelezettségét, hogy kizárólag az adatkezelő írásbeli utasítására járhat el, mindezek alapján a maximálisan kiszabható bírsághoz képet jóval enyhébb összegű 500.000,- forint összegű bírságot szabott ki a Társasággal szemben.

IV.            Mesterséges intelligencia

A mesterséges intelligencia fogalmának egységes, jogi meghatározása nem könnyű feladat.  Véleményem szerint érdemes az Európai Parlament és Tanács rendelet javaslatában meghatározott definíciót alkalmazni, mely szerint „mesterségesintelligencia-rendszer (MI-rendszer)”: olyan szoftver, amelyet az I. mellékletben felsorolt technikák és megközelítések közül egy vagy több alkalmazásával fejlesztettek, és amely az ember által meghatározott célkitűzések adott csoportja tekintetében olyan kimeneteket, például tartalmat, előrejelzéseket, ajánlásokat vagy döntéseket képes generálni, amelyek befolyásolják azt a környezetet, amellyel kölcsönhatásba lépnek”[22].

A javaslat I. melléklete szerint a mesterséges intelligenciával kapcsolatos megközelítések és technikák az alábbiak:

„ a) Gépi tanulási megközelítések, ideértve a felügyelt, a felügyelet nélküli és a megerősítő tanulást, a módszerek széles skálájának, többek között a mélytanulásnak az alkalmazásával;

b) Logikai és tudásalapú megközelítések, beleértve a tudás megjelenítését, az induktív (logikai) programozást, a tudásbázisokat, a következtetőmotorokat, a(z) (szimbolikus) érvelést és a szakértői rendszereket;

c) Statisztikai megközelítések, Bayes-féle becslés, keresési és optimalizálási módszerek.”[23]

A hatályos gyakorlatában a NAIH mesterséges intelligencia, valamint az ahhoz szorosan köthető gépi tanulás és a neurális hálózat fogalmát az alábbiak szerint határozza meg:

„A mesterséges intelligencia a számítógépek és robotok olyan irányú fejlesztését jelenti, amely lehetővé teszi, hogy olyan módokon működjenek, amely képes utánozni, illetve meghaladni az emberi képességeket. A mesterséges intelligenciát alkalmazó programok képesek elemezni és szövegkörnyezetbe helyezni az adatokat, hogy információval szolgáljanak, vagy automatikusan kiváltsanak bizonyos eseményeket, emberi beavatkozás nélkül.

A gépi tanulás a mesterséges intelligenciához vezető egyik lehetséges út, tulajdonképpen annak az egyik eszköze. A mesterséges intelligencia ezen részterületén algoritmusokat alkalmaznak olyan módon, hogy azok megtanulják automatikusan felismerni az adatokban jelen lévő mintázatokat és összefüggéseket, majd a tanultakat alkalmazva egyre jobb döntéseket hoznak (illetve egyre jobb döntésekre tesznek javaslatot).

A neurális hálózatok a gépi tanulás területén belül egy lehetséges megközelítési mód, amely az emberi agyműködés leegyszerűsített sémájára építve igyekszik megoldást nyújtani olyan feladatokra, amelyekkel a hétköznapi algoritmusok nem boldogulnak. A neurális hálózat egyszerű egységekből – neuronokból – áll, amelyek mindegyike, a valódi idegsejtek mintájára, bejövő jeleket fogad, majd azokat összegezve kimenő jeleket ad. A bejövő jeleket azonban nem ugyanolyan mértékben veszik figyelembe az egyes neuronok a kimenő érték meghatározásához, hanem – statisztikai fogalommal leírva – súlyozva. Ennek oka egy példán keresztül szemléltethető a legjobban, miszerint, ha a neurális hálózatot adott esetben ingatlanárak becslésére (előrejelzésére) alkalmazzák, akkor nem ugyanakkora a jelentősége annak, hogy egy ingatlan melyik budapesti kerületben helyezkedik el és milyen a komfortfokozata, mint annak, hogy a 3. vagy éppen a 4. emeleten található-e. Fontos megjegyezni, hogy a neuronok bár számításokat végeznek ugyan, de mégsem processzorok. A fő különbség a kettő között az, hogy amíg a processzorokat programozzák, vagyis egymás után végrehajtandó, lényegében kötött, így önmaga által nem módosítható utasítássorozatot adnak meg neki, amelyek mindig előre meghatározható kimeneti értékekkel járnak, addig a neuronokat – a súlyok értékeinek beállításával – tanítják, így azok a felhasznált algoritmustól függően akár az algoritmus alkalmazója által előre nem ismert értéket is adhatnak eredményül.”[24]

Fentiekből is jó látszik, hogy a NAIH által a jelenleges hatályos gyakorlatában alkalmazott fogalom a rendelet javaslatban szabályozott fogalomhoz nagyban illeszkedik. A mesterséges intelligenciával végzet adatkezelés tekintetében jelenleg csekély a vizsgálható gyakorlat, azonban az már most jól látszik, hogy fenti fogalmakhoz (gépi tanulás, neurális hálózat) hasonló, pontos fogalomendszer szükséges a hatékony adatvédelem biztosítása érdekében.

   V.            Budapest Bank Zrt. adatkezelése (NAIH-85-3/2022)

4.     A Hatósági eljárás

4.1.           Előzményi ügy

A NAIH panasz alapján NAIH-5161/2021. ügyszámon vizsgálati eljárást folytatott le a Budapest Bank Zrt. (a továbbiakban: Bank), mint pénzintézeti tevékenységet végző jogi személyiséggel rendelkező gazdasági társaság vonatkozásában, melynek a során a Bank azon adatkezelését vizsgálta, amikor az általa az ügyfélszolgálati hívásokról rögzített hanganyagot automatikus elemzésnek veti alá, valamint azt, hogy ezen adatkezelés vonatkozásában megfelelő tájékoztatást biztosít-e az érintettek számára. A Bank ezen elemzések eredményeinek felhasználásával dönt arról, hogy melyik – elégedetlen – ügyfelet hívja vissza, az elemzés során – egyebek – mellett automatikusan elemzésre kerül az ügyfélszolgálti feladatokat ellátó munkavállaló és a telefonáló értintett személy érzelmi állapota, valamint a beszélgetés egyéb jellemzői. A Bank a NAIH megkeresésére 2021. július 5. napján a NAIH-hoz érkezett válaszában – egyebek mellett – az alábbiakat adta elő:

• A hangelemző alkalmazás (továbbiakban: Szoftver) 2017. május 26. napján került rendszeresítésre a Bank-nál. A fejlesztés célja a mintegy 180 fős telefonos munkatárs eredményeinek javítása, valamint a közel 20 fő hívás visszahallgatást végző alkalmazott híváskiválasztási metodikájának javítása volt. A visszahallgatott hívások kiválasztása a Szoftver mellett is véletlenszerűen történt, azonban a hívásokat a Szoftver az általa megállapított – és Bank által sem ismert – jellemzők alapján rangsorolja. A fejlesztés kiemelt célja volt továbbá az ügyfélelvándorlás és a panaszok megelőzése.
• A kialakított rendszer a Bank álláspontja szerint nem tárol egyedi azonosításra alkalmas információt vagy adatot.
• A Bank álláspontja szerint „Hiányzik a személyes adat fogalmának kötelező eleme, az adat meghatározott természetes személyhez köthető mivolta. A Szoftver a beszélgetést elemzi, ezért visszahallgatás nélkül (mely pedig egy új adatkezelési folyamat) nem állapítható meg a beszélgetés egyetlen jellemzője sem.”[25]
• Az adatkezelés céljaként az udvarias ügyfélkiszolgálás garantálására, a panaszok, valamint azon hibás ügyintézések, melyek tekintetében nem került sor panasz előterjesztésére csökkentése. Az adatkezelés jogalapját a Bank jogos érdekében határozta meg.  Az adatkezelés időtartama a hangfelvételek vonatkozásában 45 nap, míg a Szoftver által előállított statisztikák, illetőleg a sorrendbe rendezett híváslisták vonatkozásában 1 év.
• A szoftver profilozást nem végez. Automatizált adatkezelés során a hívásokat állítja sorrendbe.
• a mesterséges intelligenciával működő beszédjelfeldolgozás során a Szoftver felismeri a csendet/várakoztatást/egymásra történő beszélést, felismeri a kulcsszavakat, felismeri a hangulati/érzelmi elemeket.
• A Szoftver használatával megvalósuló adatkezelés során egyedi ügyekben nem kerül sor automatizált döntéshozatalra így a személyhez kapcsolt profilhoz kapcsolat döntésre sem, melyre tekintettel az általános adatvédelmi rendelet 22. cikk (2) bekezdésében meghatározott feltételek nem alkalmazhatóak.[26]
• a Szoftver alkalmazásának megkezdése óta az alkalmazása tekintetében panasz nem érkezett a Bankhoz
• az érintett személyek tájékoztatását a Bank az Üzletszabályzat 3. fejezet és a telefonos ügyfélszolgálat és panaszkezelés vonatkozásában készül részletes adatkezelési tájékoztató útján biztosította.

A Bank a NAIH megkeresésére a NAIH-hoz 2021. július 5. napján érkezett nyilatkozatában – egyebek mellett – a módszer működését az alábbiak szerint határozta meg:

„(v) Ügyfélmegtartó vagy panasz megelőző hívások menete:

• Behallgató munkatárs a rendszerben beállított szabályok és kulcsszavak alapján szűrést indít el az általa kiválasztott időszakra.

• A Szoftver listázza a találatokat, tehát azon hívásokat, melyek megfelelnek a szűrési feltételeknek.

• A munkatárs szúrópróbaszerűen választ a javasolt hívások közül, és meghallgatja (tipikusan a Szoftver által jelzett hívásszakaszt). Ha ez igazolja a Szoftver által jelzett körülményt, a teljes hívást célszerű meghallgatni.

• A visszahallgatást követően eldönti, hogy az adott eset nyomán lehetséges-e ügyfélmegtartás vagy panasz megelőzés.

• Ha igen, akkor a banki rendszerekből kikeresve az ügyfél adatait felhívja őt.

(vi) Hívás szinten is megjeleníthetők a detektált érzelmek. Ezeket lehet összesíteni csoport és terület szintre, illetve az érzelem erőssége alapján sorba rendezni.”[27] Továbbá nyilatkozott, hogy a hívások kezdetekor nem került sor tájékoztatás nyújtására a tekintetben, hogy a Bank részéről hanganalitikai célú adatkezelés, illetőleg a Szoftver alkalmazása történik.

A NAIH 2021. szeptember 23. napján az előzményi ügyet lezárta és hivatalból 85-2022. számon megindította az eljárást a Bank ügyfélszolgálata által telefonon folytatott beszélgetésekről készül hangelvételekkel összefüggő 2018. május 25. napja és 2021. szeptember 23. napja (az eljárás megindítása) közötti adatkezelési gyakorlat vonatkozásában.

4.2.           A NAIH eljárása

A NAIH előtt 85-2022. számon folyamatban volt eljárás tárgyát a Bank telefonos ügyfélszolgálatra befutó és onnan kimenő hívásokról készített és rögzített hangfelvételek a Bank részéről megvalósuló automatikus elemzése során, és ezen elemzés alapján, az elemzés alapjául szolgáló hangfelvételek részbeni visszahallgatását követően, a visszahallgatásra kiválasztott felvételeken hallható érintettek bizonyos részének visszahívásával kapcsolatos adatkezelés képezte. A NAIH ezen adatkezelés vonatkozásában, mind a Bank alkalmazottai, mind az ügyfélszolgálatra telefonáló harmadik személyek tekintetében vizsgálta az érintettek adatinak kezelését.

Az eljárás során a Bank a 2021. október 29. napján elektronikusan aláírt beadványában – egyebek mellett – az alábbiakról nyilatkozott:

• Az ügyfelet, amennyiben a hívás során az ügyfélhez kapcsolódó információ kiadása történne, a Bank minden esetben azonosítja az ügyfél egyedi telekód azonosítójának elkérésével, illetőleg olyan információkkal, amelyek csak az ügyfél rendelkezésére állnak.
• A Bank fenntartotta az előzményi ügyben tett nyilatkozatát, azzal a pontosítással, hogy a Szoftver használata során lehetőség van a Szoftver által rangsorba állított hívások egyedi visszahallgatására, megtekintésére, melynek során a rangsorba rendezés alapjául szolgáló paraméterek diagrammon jellenek meg, így emberi kontrolltevékenység útján biztosítható, hogy a csupán gépi értékelés ne vezessen téves eredményre.
• A Bank álláspontja szerint a hívott fél a vonal bontásával tudja jelezni, hogy a felvétel készítéséhez nem járul hozzá.
• A rendszer a hívás megkezdésétől rögzíti azt, amelyre a hívás résztvevőinek befolyása nincs.
• A Szoftver általa végzett elemzés eredményei kizárólag emberi beavatkozással hasznosíthatóak. A Szoftver automatizált döntéshozatalt nem végez, mesterséges intelligencia alkalmazására nem kerül sor.
• A Bank 2020-as nettó árbevétele 81.002.000.000,- forint volt.

4.3.           A NAIH döntése

A NAIH NAIH-85-3/2022. számú döntésével hivatalból megállapította, hogy a BANK a vizsgált, a hangfelvételek elemzésével megvalósuló adatkelési gyakorlata megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés a) és b) pontját[28], 6. cikk (1) bekezdését[29], 6. cikk (4) bekezdését[30], 12. cikk (1) bekezdését[31], 13. cikkét[32], 21. cikk (1) és (2) bekezdését[33], 24. cikk (1) bekezdését[34] , 25. cikk (1) és (2) bekezdését[35].

Döntésének indokolásában a NAIH akként foglalt állást, hogy a Bank által a vizsgált adatkezelés során előállított adatok az ügy összes körülményének vizsgálata alapján a „ hangelemzés eredményét képező adatok közül egyedül az érzelem, pszichikai állapot az, amely adott körülmények között biometrikus adatnak vagy egészségügyi adatnak minősülhet. Jelen esetben a feltárt tényállás szerint a hangelemzés során nem az érintettet egyedileg azonosító adat jön létre, így a biometrikus adat ezen feltétele hiányzik. Az egészségügyi adatnál pedig azon feltétel nem áll fenn, hogy az érintett fizikai vagy mentális egészségügyi állapotára érdemi következtetést lehetne levonni a jelen ügy tárgyát képező adatkezelés eredményéből. Ettől függetlenül nem az alkalmazott módszer vagy maga az adat minősége miatt nem állnak fenn a feltételek, így adott esetben más ügyekben azonos körülmények mellett a hasonló adat minősülhet különleges kategóriájú személyes adatnak, ha az egyéb körülmények, további adatokkal összekapcsolás alapján – amely a jelen ügyben nem történt – teljesítik a fenti feltételeket.”[36] (kiemelés tőlem)

A NAIH fenti megállapításából is jól látszik, hogy az adott ügyben, csak az ügy összes körülményének a vizsgálata alapján állapítható meg, hogy az adatkezelés érint-e biometrikus adatot. Jelen ügyben a NAIH azért nem látta megállapíthatónak, hogy biometrikus adatok kezelésére került sor, mivel az érintett személy tekintetében, az adatkezelés során létrejött adat alapján nem volt lehetséges az érintett személy egyedi azonosítása, így az általános adatvédelmi rendelet 4. cikk 14. pontjában meghatározott feltételek maradéktalanul nem teljesültek.

A Szoftverben mesterséges intelligencia alkalmazása tárgyában, a Bank 2021. október 29. napján a NAIH-hoz érkezett válaszában úgy nyilatkozott, hogy a „Szoftver mesterséges intelligenciát nem tartalmaz, automatizált döntést nem hoz. Elemzési eredményei kizárólag emberi közreműködéssel, értelmezéssel hasznosíthatóak”[37]. Mellyel szemben a NAIH azt állapította meg, hogy a Szoftver fejlesztő cég honlapján megtalálható leírás szerint a cég: „mesterséges intelligencia és prediktív analitikai megoldásokkal, szoftverfejlesztéssel és ügyfélszolgálati tevékenységekkel kapcsolatos tanácsadással, üzemeltetéssel, projekt és HR menedzsmenttel foglalkozó társaság”[38].

A NAIH a Szoftvert fejlesztő cég honlapján elérhető tájékoztatások alapján arra a megállapításra jutott, hogy Szoftver alapjául szolgáló Platform nevű alkalmazás kapcsán annak a leírásaiban szóba kerül a gépi tanulás, a mesterséges intelligencia és a neurális hálózatok témaköre is. Mindezek alapján megállításra került, hogy mag a Szoftvert fejlesztő tájékoztatása szerint mesterséges intelligenciát alkalmaz.

Fentiekre tekintettel a NAIH megállapította, hogy a Szoftver vonatkozásában megvalósult adatkezelés tekintetében alkalmazandó az általános adatvédelmi rendelet 21. cikke[39]. Ezen túlmenően megvalósult az általános adatvédelmi rendelet 4. cikk 4. pontja[40] szerinti profilalkotás is az alábbiak okán:

• a Bank, a Szoftver által készített adatokat a telefonos ügyfélszolgálati tevékenységet ellátó alkalmazottainak teljesítményének értékelésére és ellenőrzésére is használta.
• a Szoftver érzelmek és kulcsszavak alapján rangsorolta visszahívás céljából az elégedetlennek mutatkozó ügyfeleket.

A NAIH kiemelte, hogy a téma kapcsán az Európai Adatvédelmi Testület és az Európai Adatvédelmi Biztos az alábbi megállapítást tették: „Az Európai Adatvédelmi Testület és az Európai Adatvédelmi Biztos úgy véli továbbá, hogy az MI természetes személyek érzelmeinek levezetésére való felhasználása rendkívül nemkívánatos, és azt meg kell tiltani bizonyos jól meghatározott felhasználási esetek – nevezetesen az egészségügyi vagy kutatási célú felhasználás (például betegek, akiknek esetében fontos az érzelmek felismerése) – kivételével, minden esetben megfelelő biztosítékok és természetesen az összes többi adatvédelmi feltétel és korlátozás alkalmazása mellett, ideértve a célhoz kötöttséget is.”[41]

VI.            Megállapítások

Fenti két NAIH által nemrégiben meghozott döntésből is jó látszik, hogy az olyan, pár évvel ezelőtt csupán „science fiction”-nek tartott technológiák, mint a biometrikus azonosítás, vagy a mesterséges intelligencia milyen észrevétlenül érkeztek meg a mindennapi életünkbe. Hiszen kivel ne fordult volna elő, hogy bármilyen okból bankja telefonos ügyfélszolgálatának a segítséget kéri és vajon kinek fordult meg közülük a fejében, hogy a hangját mesterséges intelligencia vizsgálja. Úgyszintén a Siófoki Petőfi sétányon sétálva ki gondol arra, hogy éppen „arcdetektálásra képes” kamerák figyelik minden mozzanatát. Már nem lehet csupán alaptalan félelemnek tartani, hogy közterületen sétálva a biometrikus adatainkon mesterséges intelligencia végez azonosítást, illetőleg adatkezelést. Véleményem szerint a robbanásszerű technikai fejlődéssel a társadalom válaszúthoz ért és a jövő társadalmát nagymértékben befolyásolja majd, hogy milyen úton haladunk tovább. Irányadó lesz, hogy mennyire szigorú rendelkezésekkel, milyen mértékben tudja a társadalom szabályozott, élehető keretek között tartani a mesterséges intelligenciák használatát, illetőleg az egyének legszemélyesebb adatinak, a biometrikus adatoknak a kezelését.

A biometrikus adatok kezelése, valamint a mesterséges intelligencia adatkezelés során történő alkalmazása vonatkozásában jelenleg csekély a rendelkezésre álló hatósági gyakorlat. Azért tartottam fontosnak bemutatni a NAIH fenti döntéseit, mert ezen döntések voltak a biometrikus adatok, valamint a mesterséges intelligencia vonatkozásában az elsők, így iránymutatásul szolgálhatnak. Ezen döntések alapján, megítélésem szerint a NAIH igyekszik szigorú korlátok között tartani mind a biometrikus adatkezelést, mind a mesterséges intelligencia alkalmazását, amelyre álláspontom szerint jelentős szükség van kiváltképp, ha esetlegesen a fenti ügyektől eltérően egy adatkezelés során kerülnének alkalmazásra. Ezt támasztja alá az Európai Adatvédelmi Testület és az európai adatvédelmi biztos 5/2021. sz. közös véleménye a mesterséges intelligenciára vonatkozó harmonizált szabályok (a mesterséges intelligenciáról szóló jogszabály) megállapításáról szóló európai parlamenti és tanácsi rendeletre irányuló javaslatról melyben kiemeli, hogy „Az egyének nyilvánosság számára hozzáférhető helyeken történő távoli biometrikus azonosítása az egyének magánéletébe való betolakodás nagy kockázatát hordozza magában, ami súlyos hatással van a lakosságnak a nyilvános helyeken való anonimitással kapcsolatos elvárásaira. Ezen okok miatt az Európai Adatvédelmi Testület és az európai adatvédelmi biztos szorgalmazza, hogy általános jelleggel tiltsák meg az MI-nek az emberi jellemzők – például az arc, a járás, az ujjlenyomat, a DNS, a hang, a billentyűleütések és más biometrikus vagy viselkedési jellemzők – alapján a nyilvánosság számára hozzáférhető helyeken történő automatikus felismerésre bármilyen összefüggésben történő használatát. Szintén javasolt betiltani azokat az MI-rendszereket, amelyek az egyéneket a biometrikus jellemzők alapján etnikai hovatartozásuk, nemük, valamint politikai vagy szexuális irányultságuk vagy a hátrányos megkülönböztetésnek a Charta 21. cikke szerinti egyéb okai szerint kategorizálják. Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos úgy véli továbbá, hogy az MI természetes személyek érzelmeinek levezetésére való felhasználása rendkívül nemkívánatos, és azt meg kell tiltani.”[42]

Végezetül szeretném kiemelni a NAIH fenti két döntése alapján megfogalmazódott tanulságot: attól, hogy lehetséges, nem biztos, hogy szükséges.

VII.            Felhasznált források

1. Jogszabályok:

• Az arcképmás, az ujj- és tenyérnyomat, valamint a DNS-profil meghatározásra alkalmas anyagmaradvány rögzítésének, illetve az ujj- és tenyérnyomat és a szájnyálkahártya-törlet levételének részletes technikai szabályairól; a DNS-profil meghatározásának szakmai-módszertani követelményeiről; továbbá a nyilvántartás technikai vezetésének részletes szabályairól szóló 12/2016. (V. 4.) BM rendelet 1.§ 8. pont
• a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679 (EU) rendelet
• Az információs önrendelkezési jogról és az információszabadságról szóló a 2011. évi CXII. törvény
• A közterületfelügyeletről szóló 1999. évi LXIII. törvény

1. Internetes források

• a mesterséges intelligenciára vonatkozó harmonizált szabályok (a mesterséges intelligenciáról szóló jogszabály) megállapításáról és egyes uniós jogalkotási aktusok módosításáról szóló az Európai Parlament és a Tanács rendelet javaslat https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0016.02/DOC_1&format=PDF  letöltve:2022. 06. 10.
• a mesterséges intelligenciára vonatkozó harmonizált szabályok (a mesterséges intelligenciáról szóló jogszabály) megállapításáról és egyes uniós jogalkotási aktusok módosításáról szóló az Európai Parlament és a Tanács rendelet javaslat I. melléklete https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0016.02/DOC_2&format=PDF letöltve:2022. 06. 10.
• Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos 5/2021. sz. közös véleménye a mesterséges intelligenciára vonatkozó harmonizált szabályok (a mesterséges intelligenciáról szóló jogszabály) megállapításáról szóló európai parlamenti és tanácsi rendeletre irányuló javaslatról https://edpb.europa.eu/system/files/2021-10/edpb-edps_joint_opinion_ai_regulation_hu.pdf letöltve: 2022. 06. 10.
• Hírek: Petőfi sétány: az új kamerarendszer az élőerős őrzést is kiválthatja  https://www.siofok.hu/hu/hir-reszletek/petofi-setany-az-uj-kamerarendszer-az-eloeros-orzest-is-kivalthatja letöltve: 2022. május 27.
• Infojegyzet 2020/27. Biometrikus azonosítás   https://www.parlament.hu/documents/10181/4464848/Infojegyzet_2020_27_biometrikus_azonositas.pdf/46c081f0-1f32-891d-1473-52d97952a958?t=1588237454148 letöltve: 2022. május 25.
• NAIH 85-3-2022. letöltve https://www.naih.hu/hatarozatok-vegzesek?download=517:mesterseges-intelligencia-alkalmazasanak-adatvedelmi-kerdesei  2022. 06. 10.
• NAIH 963-10-2022. https://www.naih.hu/hatarozatok-vegzesek?download=495:biometrikus-adatkezeles-arcfelismero-kamerak-a-siofoki-kozteruleti-terfigyelo-rendszerben letöltve 2022. 04.22.
• SECURINFO (2014) Kéz alapú azonosítás letöltve: https://www.securinfo.hu/termekek/biometria/1152-kez-alapu-azonositas.html (Utolsó letöltés:2022. 04. 20.)

1. Folyóiratok
2. Fejes Attila: Beszéd alapján történő személyazonosítás új kihívásai a kriminalisztikában In: Magyar Rendészet. – 18. évf. 2. sz. (2018.) p.117-126. (a továbbiakban: Fejes 2018)
3. Németh Attila – Tóth Gergely: Arcfelismerő rendszerek alkalmazása In: Belügyi Szemle. – 67. évf. 1. sz. (2019.) 129. p.

---

[1] a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679 (EU) rendelet (a továbbiakban: általános adatvédelmi rendelet)4. cikk 14. pont.

[2] Infojegyzet 2020/27. Biometrikus azonosítás https://www.parlament.hu/documents/10181/4464848/Infojegyzet_2020_27_biometrikus_azonositas.pdf/46c081f0-1f32-891d-1473-52d97952a958?t=1588237454148 letöltve: 2022. május 25.

[3] Fejes Attila: Beszéd alapján történő személyazonosítás új kihívásai a kriminalisztikában In: Magyar Rendészet. – 18. évf. 2. sz. (2018.) p.117-126. (a továbbiakban: Fejes 2018)

[4]SECURINFO (2014) Kéz alapú azonosítás letöltve: https://www.securinfo.hu/termekek/biometria/1152-kez-alapu-azonositas.html (Utolsó letöltés:2022. 04. 20.)

[5] Németh Attila – Tóth Gergely: Arcfelismerő rendszerek alkalmazása In: Belügyi Szemle. – 67. évf. 1. sz. (2019.) 129. p.

[6] Az arcképmás, az ujj- és tenyérnyomat, valamint a DNS-profil meghatározásra alkalmas anyagmaradvány rögzítésének, illetve az ujj- és tenyérnyomat és a szájnyálkahártya-törlet levételének részletes technikai szabályairól; a DNS-profil meghatározásának szakmai-módszertani követelményeiről; továbbá a nyilvántartás technikai vezetésének részletes szabályairól szóló 12/2016. (V. 4.) BM rendelet 1.§ 8. pont

[7] NAIH 963-10-2022. https://www.naih.hu/hatarozatok-vegzesek?download=495:biometrikus-adatkezeles-arcfelismero-kamerak-a-siofoki-kozteruleti-terfigyelo-rendszerben letöltve 2022. 04.22.

[8] Hírek: Petőfi sétány: az új kamerarendszer az élőerős őrzést is kiválthatja  https://www.siofok.hu/hu/hir-reszletek/petofi-setany-az-uj-kamerarendszer-az-eloeros-orzest-is-kivalthatja letöltve: 2022. május 27.

[9] Info tv. 51/A.§ (1) bekezdés: Ha hatósági eljárás megindítása e törvény szerint nem kötelező, a Hatóság hivatalból vizsgálatot indíthat.

[10] Kftv. 7. § (3) bekezdés: A felügyelet közterületen, közbiztonsági, illetve bűnmegelőzési célból, bárki számára nyilvánvalóan észlelhető módon képfelvevőt helyezhet el, és felvételt készíthet. A képfelvevő elhelyezéséről, valamint a képfelvevővel megfigyelt közterület kijelöléséről a felügyelet előterjesztésére a képviselő-testület dönt.

[11] Info tv. 25/H. § (1) bekezdés: ha a tervezett adatkezelés a) vonatkozásában lefolytatott adatvédelmi hatásvizsgálat eredménye alapján megállapítható, hogy a tervezett adatkezelés – az adatkezelő által az adatkezeléssel járó kockázatok mérsékléséhez szükséges intézkedések megtételének hiányában – magas kockázatú lenne, vagy

b) magas kockázatát a 25/G. § (3) bekezdése szerint vélelmezni kell, az adatkezelő vagy tevékenysége keretei között az adatfeldolgozó – a (2) bekezdésben meghatározott kivétellel – az adatkezelés megkezdését megelőzően konzultációt kezdeményez a Hatósággal (a továbbiakban: előzetes konzultáció).

[12] NAIH-963-10-2022. számú határozta indokolás 3. oldal 3. bekezdés

[13] Info tv. 55. § (1) bekezdés a) pont, ab) alpont: A Hatóság a vizsgálat hivatalból történő megindításától vagy a bejelentés érkezését követő naptól számított két hónapon belül megállapítja, hogy az általános adatvédelmi rendeletben és az e törvényben meghatározott jogok gyakorlásával kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye áll fenn, és a vizsgálatot lezárja, és a 60. § szerinti adatvédelmi hatósági eljárást indít.

[14] A személyes adatok védelméhez való jog érvényesülése érdekében a Hatóság az érintett erre irányuló kérelmére adatvédelmi hatósági eljárást indít és hivatalból adatvédelmi hatósági eljárást indíthat.

[15] NAIH-963-10-2022. számú határozta indokolás 5. oldal 4. bekezdés

[16] NAIH-963-10-2022. számú határozta indokolás 5. oldal 5. bekezdés

[17] Info tv. 25/B. § (1) bekezdés: ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa a közös adatkezelők által végzett adatkezeléssel összefüggő kötelezettségek teljesítésével, így különösen az érintett jogainak érvényesítésével, valamint ezen kötelezettségek teljesítésének elmulasztásával kapcsolatos felelősségük megoszlását nem, vagy nem teljeskörűen határozza meg, azt – a rájuk irányadó jogi kötelezettségek által nem szabályozott mértékben – a közös adatkezelők a közöttük írásban létrejött és nyilvánosságra hozott megállapodásban határozzák meg.

[18] Info tv. 25/F. § (1) bekezdés d) pont: a személyes adatokkal elektronikus úton végzett adatkezelési műveletek jogszerűségének ellenőrizhetősége céljából az adatkezelő és az adatfeldolgozó automatizált adatkezelési rendszerben (a továbbiakban: elektronikus napló) rögzíti adatkezelési műveletet végrehajtó személy megjelölését.

[19] Info tv. 25/F. § (4) bekezdés: Az adatkezelői és az adatfeldolgozói nyilvántartásban, valamint az elektronikus naplóban rögzített adatokat a kezelt adat törlését követő tíz évig kell megőrizni.

[20] Info tv. 25/I.§ (3) bekezdésének c) és e) pontjai: Az adatkezelő és tevékenységi körében az adatfeldolgozó az (1) bekezdésben meghatározott intézkedésekkel biztosítja

c) az adatkezelő rendszerbe a személyes adatok jogosulatlan bevitelének, valamint az abban tárolt személyes adatok jogosulatlan megismerésének, módosításának vagy törlésének megakadályozását,

e) azt, hogy az adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá.

[21] Info tv. 25/D.§ (3) bekezdés a) pont az (1) bekezdésben meghatározott jogszabályban vagy szerződésben rendelkezni kell különösen az adatfeldolgozó azon kötelezettségéről, hogy a) tevékenysége során kizárólag az adatkezelő írásbeli utasítása alapján jár el.

[22] a mesterséges intelligenciára vonatkozó harmonizált szabályok (a mesterséges intelligenciáról szóló jogszabály) megállapításáról és egyes uniós jogalkotási aktusok módosításáról szóló az Európai Parlament és a Tanács rendelet javaslat 3. cikk 1. pont https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0016.02/DOC_1&format=PDF (letöltve:2022. 06. 10.)

[23] a mesterséges intelligenciára vonatkozó harmonizált szabályok (a mesterséges intelligenciáról szóló jogszabály) megállapításáról és egyes uniós jogalkotási aktusok módosításáról szóló az Európai Parlament és a Tanács rendelet javaslat I. melléklete https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0016.02/DOC_2&format=PDF (letöltve:2022. 06. 10.)

[24] NAIH-58-3-2022. számú döntés 23. oldal 4-6. bekezdés

[25] NAIH-85-3/2022. számú határozat 3. oldal 5. bekezdés

[26] általános adatvédelmi rendelet 22. cikk: (1)   Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

(2)   Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés:

a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;

b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy

c) az érintett kifejezett hozzájárulásán alapul.

(3) A (2) bekezdés a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

(4) A (2) bekezdésben említett döntések nem alapulhatnak a személyes adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.

[27] NAIH-85-3/2022. számú határozat 8. oldal (v) és (vi) pont

[28] általános adatvédelmi rendelet 5. cikk (1) bekezdés a) és b) pont: a személyes adatok:

 a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);

 b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);

[29] általános adatvédelmi rendelet: 6. cikk (1) bekezdés: A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.

[30] általános adatvédelmi rendelet: 6. cikk (4) bekezdés:   Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

a) a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;

b) a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;

c) a személyes adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van-e szó;

d) azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;

e) megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.

[31] általános adatvédelmi rendelet 12. cikk (1) bekezdés: Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

[32] általános adatvédelmi rendelet 13. cikk:

(1)   Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d) a 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;

e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

f) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

(2)   Az (1) bekezdésben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

c) a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

f) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

(3)   Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.

(4)   Az (1), (2) és (3) bekezdés nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.

[33] általános adatvédelmi rendelet 21. cikk (1) és (2) bekezdés: 1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

(2)   Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.

[34] általános adatvédelmi rendelet 24. cikk (1) bekezdés: Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

[35] általános adatvédelmi rendelet 25. cikk (1) és (2) bekezdés:

(1) Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

(2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

[36] NAIH-85-3-2022. határozat 19. oldal 3. bekezdés

[37] NAIH-85-3-2022. határozat 12. oldal 8. bekezdés

[38] NAIH-85-3-2022. határozat 22. oldal 5. bekezdés

[39] lásd 32. számú lábjegyzet

[40] általános adatvédelmi rendelet 4. cikk 4. pont: „profilalkotás”: személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják;

[41] NAIH-85-3-2022. számú határozat 27. oldal 2. bekezdés

[42] Az Európai Adatvédelmi Testület és az európai adatvédelmi biztos 5/2021. sz. közös véleménye a mesterséges intelligenciára vonatkozó harmonizált szabályok (a mesterséges intelligenciáról szóló jogszabály) megállapításáról szóló európai parlamenti és tanácsi rendeletre irányuló javaslatról 3. oldal 3. bekezdés https://edpb.europa.eu/system/files/2021-10/edpb-edps_joint_opinion_ai_regulation_hu.pdf letöltve: 2022. 06. 10.