A ChatGPT adatkezelési vizsgálata Magyarországon

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke, Péterfalvi Attila szerint még az idei évben várható döntés a ChatGPT adatkezelésének vizsgálatával kapcsolatban. A mesterséges intelligencia (MI) adatvédelmi szempontjai és a terület szabályozása kiemelt figyelmet kapnak a hatóság tevékenységében.

Mint más tagállamok adatvédelmi hatóságai, a NAIH is vizsgálja a ChatGPT adatkezelését, és a döntést a honlapon teszik majd közzé. A GDPR szerinti jogszerűségi feltételeknek minden adatkezelésnek meg kell felelnie, beleértve a mesterséges intelligencia esetében is, amit az EU új MI rendelete is megerősít.

Az adatkezelők gyakran hibáznak az MI tanításához felhasznált adatok forrásának jogszerűségében, valamint az átláthatóság, tájékoztatás és az érintetti jogok biztosításában. Az olasz adatvédelmi hatóság például ideiglenesen felfüggesztette a ChatGPT szolgáltatást egy adatvédelmi incidens miatt, amely során felhasználók egymás adatait láthatták.

A NAIH elnöke, Dr. Péterfalvi Attila, aki 1957-ben született Budapesten és az ELTE Jogtudományi Karán végzett, az AI in Business rendezvényen is részt vesz, ahol az adatvédelmi szempontokról tart előadást.

A GDPR alapján az adatvédelmi kérdéseket egy független hatóságnak kell vizsgálnia, és az EU-n belüli egységes jogalkalmazás érdekében a többi tagállami adatvédelmi hatósággal kell egyeztetnie. Az AI Act kapcsán tervezett új nemzeti szintű hatóság és tesztkörnyezet létrehozása esetén, ha személyes adatokat is kezelnének, a NAIH aktív szerepet kapna a felügyeletben.

Az adatvédelmi incidensek terén a NAIH tapasztalatai szerint az adatbiztonsági megfelelőség vizsgálata is fontos, hiszen az incidensek gyakran az adatkezelők általános adatbiztonsági gyakorlatának hiányosságaira világítanak rá. Az elmúlt időszakban több jelentős adatvédelmi incidens is történt, például a KRÉTA rendszert fejlesztő Educational Development Informatikai Zrt. esetében, ahol a hatóság 110 millió forint adatvédelmi bírságot szabott ki. Egy távhőszolgáltató esetében pedig a honlapon keresztül elérhetővé váltak személyes adatokat tartalmazó dokumentumok, amiért 16 millió forint bírságot róttak ki. Egy informatikai szolgáltatást biztosító vállalatnál pedig egy elavult rendszer sérülékenységét kihasználva történt adatvédelmi incidens, amelyért 27 millió forint bírságot kellett fizetniük.