GDPR – Előkelő helyen a magyar büntetéskiszabás

A vállalati felügyelettől a külső biztonsággal kapcsolatos jogsértésekig az európai uniós általános adatvédelmi rendelet megsértése sokféle formában jelentkezhet. Az egyik vezető szerverszolgáltató szerint Magyarország az ötödik a legtöbb büntetést kiszabók között Európában.

Molnár Nikolett

2023. 08. 31. 5:50

Climate activists of Extinction Rebellion wearing masks of company CEOs including LVMH's Bernard Arnault (2nd L) Facebook's Mark Zuckerberg (C), Microsoft founder Bill Gates (2ndR) and Virgin Group founder Sir Richard Branson (R) take part in a demonstration in Berlin on April 13, 2023. (Photo by John MACDOUGALL / AFP) Fotó: AFP

A GDPR (General Data Protection Regulation) megalkotásának célja az volt, hogy a személyes adatok védelméhez való jog garantálásán keresztül védje az emberek szabadságát és jogait a digitális világban. A rendelet bizonyos folyamatokat és jogi elvárásokat egyértelművé téve szabályozta az adatvédelem kérdését az Európai Unióban.

Chatbot,Chat,With,Ai,,Artificial,Intelligence.,Man,Using,Technology,Smart
Mesterséges intelligencia, MI — *A GDPR kevés a mesterséges intelligencia szabályzására. Fotó: Shutterstock*

A GDPR Magyarországon

Magyarország a legtöbb GDPR-bírságot kiszabó európai országok listáján az ötödik helyet foglalja el a Proxyrack szerverszolgáltató elmúlt öt évet áttekintő összegzése szerint.

Török Bernát, a Nemzeti Közszolgálati Egyetem Információs Társadalom Kutatóintézetének igazgatója úgy véli a büntetések európai magas számához hozzájárul, hogy Magyarországon 1995 óta jelen van az adatvédelem az állami intézményrendszerben. Ombudsmani típusú jogvédelem után az ombudsman kapott hatósági jogköröket, végül 2012-ben alakult meg a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH).

Magyarországon stabilabb, nagyobb múltra visszatekintő az adatvédelem állami intézményrendszere és az adatvédelmi tudatosság, mint sok más tagállamnál, amelyek csak a GDPR megalkotása után hozták létre az intézményrendszert

– fogalmaz Török Bernát.

Más tagállamokkal ellentétben Magyarországon az adatvédelmi hatóság közszférába tartozó szerveket is bírságolhat, így a bírságok számában benne van az állami szférában tartozó szerveket érintő büntetések is.

Tagállami mérlegelés kérdése, hogy csak a piaci, magánszereplőkre vonatkozik a bírságolási jogkör, vagy pedig kiterjed állami szervekre is.

Európai összesítés

A Proxyrack lista éllovasa toronymagasan Spanyolország a kiszabott büntetések számát illetően, összesen 651 GDPR-bírsággal. Második Olaszország, ahol a kiszabott 265 bírság közül 15 esetben büntették több mint egymillió dollárra az érintett vállalatokat. Az adatvédelmi törvény életbe lépése óta kiszabott 148 GDPR-bírsággal a lista harmadik helyén Németország áll.

A nagy technológiai vállalatok közül a Meta kapta a legnagyobb pénzbírságot, 1,2 milliárd eurót,

mivel a cég 2020 júliusa óta az általános uniós adatvédelmi rendeletben foglaltakat súlyosan megsértve továbbított felhasználói adatokat az Egyesült Államokba. A korábbi rekordot az Amazon tartotta 746 millió euróval, a hirdetési üzletággal kapcsolatos adatvédelmi szabályzás megsértése miatt.

A NAIH kiemelt feladata az elektronikus megfigyelőrendszerek működésének, a webáruház és online-szolgáltatás-nyújtásnak, a hírlevél küldésének és e-mail-adatbázis használatának, illetve a közvetlen üzletszerzési célú adatszerzésnek és a munkavállaló személyes adatainak kezelése. Ennek alapján a leggyakrabban jogalap nélküli adatkezeléssel, az előzetes tájékoztatási kötelezettség megszegésével, illetve a célhoz kötött adatkezelés elvének megsértésével találkozik a hatóság.

2022-es éves beszámolója szerint az adatvédelmi hatósági ügyek száma tavaly növekedett,

folytatva a GDPR hatályba lépése óta érvényesülő tendenciát. Míg 2018-ban csak 67 eljárás indult, addig 2022-ben már 591 eljárás indult kérelem alapján, míg hivatalból további 117.

A vizsgált ügyek nagy része tévesen kiküldött e-mailekhez kapcsolódott, amely technikai szempontból is veszélyes, ezért érdemes figyelni a megelőzésre. A bejelentések 17 százaléka hackelés miatt történt, 9,2 százalékot okoztak a zsarolóvírusok, egytized százalékkal többet pedig az adathalászatból származó incidensek.

Kiemelten magas, 95 millió forintos adatvédelmi bírságot kapott egy élelmiszer-üzletlánc tavaly, mivel az az alkoholtermékek értékesítésénél nem a GDPR szerint ellenőrizte az életkort.

A rögzített születési dátumot nem csak a vásárló életkorának kiszámítására használták fel, a kasszarendszer 180 napig tárolta az adatokat, amelyekhez a cég adatfeldolgozói hozzáférhettek.

A mesterséges intelligencia és a GDPR

A legsúlyosabb bírság egy mesterséges intelligencia (MI) jogszerűtlen felhasználásából származó ügy lett, az első ilyen az országban. A 250 millió forintos büntetést kapó bank az ügyfélszolgálati hangfelvételeket elemezte MI segítségével, meghatározva a telefonálók hangulati állapota alapján, hogy vissza kell-e őket hívni. Erről nem adott tájékoztatást, így az ügyfelek tiltakozni sem tudtak.

A mesterséges intelligencia fokozott kockázatú, nehezen átlátható technológia.

Szabályzása így szükséges és időszerű, már készül az EU mesterségesintelligencia-kódexe, 2024 tavaszán léphet életbe. Kockázatalapú megközelítés fogja jellemezni, kétfelé osztja a MI-rendszereket: tiltott és nagy kockázattal járó típusokra. A fókuszba az emberi jogokra és a társadalomra különösen nagy hatást gyakorló mesterséges intelligenciák kerülnek, például az egyetemi felvételit kezelő rendszer, az egészségügy, az igazságszolgáltatás, a kritikus infrastruktúrák és a biometrikus azonosítás. Az Európai Parlament szerint olyan szabályokra van szükség, amelyek biztosítják, hogy a végső döntést mindig az emberek hozzák meg.

– A mesterséges intelligencia, vagyis az, hogy algoritmusok szabályozzák az életünket, az adatvédelemnél összetettebb kérdésekkel szembesít minket, és más szféráit fenyegeti az emberi méltóságnak vagy a társadalmi működésünknek.

Ezekre nem lehet egy kizárólag adatvédelmi logikára épülő szabályozás alapján megfelelő válaszokat adni.

Nagyon helyes és fontos az erős adatvédelem, de ne gondoljuk azt, hogy az emberi méltóság és a társadalmi működésünk teljességének a védelmét várhatjuk tőle. A technológiai szabályozásoknál az látszik, hogy a tagállamok támogatják, hogy az unió az új technológiák szabályozása terén globális vezető szerepet töltsön be. És ennek újabb, talán egyik legfontosabb eleme lesz a most készülő mesterségesintelligencia-kódex – mondja el Török Bernát.

Borítókép: Tüntetés a nagy amerikai techcégek ellen (Fotó: AFP)