Az Európai Parlament 2020 júniusban készült kutatási jelentése az általános adatvédelmi rendelet (GDPR) és a mesterséges intelligencia (MI) kapcsolódási pontjait vizsgálta. A dokumentum célja annak bemutatása, hogy milyen kihívásokat rejt az MI a társadalom és az egyén számára, illetve hogy e kihívásokra milyen válaszokat, garanciákat nyújt a GDPR, különös tekintettel az adatkezelési elvekre, a jogalapokra és az érintetti jogokra. A végkövetkeztetés szerint lehetséges az MI-nek olyan alkalmazása, amely megfelel a GDPR-nak, ugyanakkor a rendelet maga – a jelenlegi formájában nem nyújt kellő támpontot e technológia vonatkozásában.

A jelentés kiemeli, hogy a MI az utóbbi évtizedekben jelentős változásokon ment keresztül. Ennek köszönhetően a technológia nagy potenciállal bír a gazdaság, társadalom és kultúra területén is. A fejlődésnek azonban ára is van: az MI és alkalmazásai alapvetően az információk feldolgozásán alapul, amely felöleli a személyes adatok kezelését is. A Big Data és a MI fúziója azonban számos veszélyt rejt mind az egyén, mind pedig a társadalom szintjén.

A GDPR ugyan kifejezetten nem említi az MI-t, de számos olyan előírása van, amely releváns e technológia alkalmazása szempontjából. Az olyan rendelkezések, mint a célhoz kötöttség, az adattakarékosság, vagy a különleges adatok kezelésének és az automatizált adatkezelésen alapuló egyedi döntéshozatal tilalma, jelentős kihívások elé állítják a MI-t tekintettel arra, hogy korlátokat szabnak az adatkezelésnek az egyén védelme érdekében. A jelentés ugyanakkor kiemeli, hogy az említett rendelkezések megfelelő értelmezése révén elképzelhető olyan helyzet, amelynek révén a technológiát GDPR kompatibilis módon lehet alkalmazni:

• a célhoz kötöttség elve az ún. összeférhetőségi vizsgálat esetében lehet „rugalmasan” alkalmazni, amely például lehetővé teszi a személyes adatok további, jogszerű kezelését a MI alkalmazásai keretében;
• az adattakarékosság esetében pedig az olyan eljárások jelenthetnek megoldást, amelyek az adatok „deperszonalizálását” szolgálják, mint az álnevesítés;
• az érintetteket megfelelő módon tájékoztatni kell, figyelembe véve az MI komplexitását;
• az adatkezelés jogalapjaként – automatizált döntéshozatal esetén – kizárólag a GDPR 22. cikkében foglalt esetek jöhetnek szóba;
• a beépített és alapértelmezett adatvédelem elvének érvényesülése fontos garancia az adatalanyok jogaira és szabadságaira nézve;
• törekedni kell a személyes adatok statisztikai célú kezelésére, ami olyan lehetőség, amely nem igényli az érintett magánéletébe történő további beavatkozást.
  

A jelentés kitér arra is, hogy a GDPR előírásai önmagukban tág teret hagynak az értelmezésnek. A MI adatvédelmi rendelkezéseknek megfelelő alkalmazása ezért nagyban függ attól, hogy a felügyeleti hatóságok és más, kompetens szervezetek milyen ajánlásokat fogalmaznak meg e tekintetben. A megfelelő iránymutatások arra ösztönöznék a vállalkozásokat, hogy hatékony és adatvédelmi szempontból megfelelő megoldásokat keressenek.

A dokumentum végkövetkeztetése, hogy az adatkezelőknek figyelembe kell vennie a GDPR előírásait, azoknak megfelelő rendszereket kell létrehozni. Ebben azonban nem szabad őket magukra hagyni, a megfelelő iránymutatások révén ugyanis könnyen és hatékonyan lehet a gyakorlatot orientálni. Az adatkezelők és a felügyeleti hatóságok között ezért ki kell alakítani a párbeszéd és együttműködés fórumait. A veszélyek megelőzése / elkerülése érdekében olyan környezetet kell kialakítani, amelyben az adatvédelmi elvek konzisztens érvényesítése a MI hatékony alkalmazásának képességével társul. Így növelhető egyszerre az e technológiákba vetett bizalom, illetve csökkenthetők a kockázatok.

Forrás: https://www.europarl.europa.eu