Az internetjogász az AIToday-nek elmondta: az arcfelismerés magas kockázatú terület, és hamarosan egyszerre szabályozza a GDPR, illetve az AI Act. A cégek gondban lehetnek a megfeleléssel, az állampolgárok viszont jobb védelemre számíthatnak.
Nem járt messze az igazságtól a leendő egészségügyi miniszter, amikor „rendőri típusú irányításra” jellemző metódushoz hasonlította a kórházi beléptetőrendszerekbe két éve beépített arcfelismerést. Hegedűs Zsolt egyik első intézkedése az lesz, hogy július 1-ig leszerelik a dolgozók munkaidejének ellenőrzésére kitalált AI-alapú (biometrikus) ellenőrzést, amelynek dr. Baracsai Katalin szerint már a puszta létezése példátlan az egész unióban, sőt, cégeket meg is bírságoltak hasonló intézkedésért. Az internetjogász az AIToday.hu-nak részletesen beszélt a magyar egészségügy kamerarendszerének ügyéről, valamint arról, hogy a nyáron életbe lépő AI Act hogyan szabályozza a megfigyelést és a biometrikus azonosítást.
Mint kiderült, pontos szabályok vonatkoznak arra, hogy mi számít egyszerű megfigyelésnek, és egy rendszer mikor éri el a biometrikus azonosítás szintjét, amikortól sokkal szigorúbb uniós szabályok vonatkoznak rá.
Baracsi Katalin közölte: az AI-alapú arcfelismerés az egészségügyben különösen magas kockázatú terület, a munkahelyi alkalmazása pedig csak nagyon-nagyon indokolt és kötött feltételekkel képzelhető el. Azt is világossá tette, hogy az AI Act nem váltja fel a GDPR-t, így az intézményeknek és a cégeknek egyszerre kell megfelelniük az adatvédelmi és az új AI-szabályoknak. Az interjúból kiderül továbbá, hogy milyen jogok illetik meg az állampolgárokat és a munkavállalókat a biometrikus adataik kezelése kapcsán.
— A magyar kórházakban bevezetett, majd leszerelt arcfelismerő rendszerek kapcsán felmerül a kérdés: mennyire tipikus vagy kivételes az ilyen rendszerek használata az uniós egészségügyi intézményekben?
— Az Európai Unióban szinte sehol nem próbált meg kormányzat ilyen típusú ellenőrzési rendszert bevezetni és kialakítani. A nyugat-európai országokban az adatvédelmi hatóságok már a kisebb, hasonló célú cégeket is megbírságolták. Tudok egy nagy horderejű hollandiai ügyről, ahol egy vállalat 725 ezer eurós bírságot kapott, mert ujjlenyomattal ellenőrizte a dolgozók munkaidejét. Itt párhuzamot vonhatunk: az ujjlenyomat és az arcfelismerés is olyan, hogy a munkavállalók lényegében nem tudnak szabadon dönteni arról, hogy hozzájárulnak-e. Sőt, a magyar adatvédelmi hatóság, a NAIH, is előzetesen alapjogsértőnek minősítette a tervet, a bevezetés mégis megtörtént. Egyértelmű tehát a tiltás, és az adatvédelmi hatóságok komolyan odafigyelnek, hogy a munkavállalók ne kerüljenek ilyen helyzetbe.
— Talán éppen ezért alakult úgy, hogy végül csak néhány kórházban üzemelték be. Az is lehet, hogy egyfajta tesztüzem volt.
— Attól tartok, nem tudjuk, hogy kísérleteztek-e előzetesen ezzel a technológiával. Az indok, ami a médiakommunikációban megjelent, az volt, hogy szükség van a rendszerre, mert nem lehet követni, hogy az orvosok és más egészségügyi alkalmazottak ténylegesen mennyi időt töltenek munkával.
— Mi a különbség hétköznapi nyelven az egyszerű megfigyelés és a biometrikus azonosítás között az uniós joggyakorlat szerint?
— Maga a GDPR, tehát az adatvédelmi rendelet fogalmazza meg, hogy mi is az a biometrikus adat. Minden olyan, fizikai jellemzőkből – például az arcunkból, ujjunkból, hangunkból – kinyert adat, amely lehetővé teszi egy személy egyedi azonosítását. Van egy egyszerű példám a megfigyelés és az azonosítás megkülönböztetésére. Tételezzük fel, hogy elmegyünk vásárolni egy plázába. A biztonsági kamera felveszi, ahogy besétálunk. Ez még nem minősül biometrikus azonosításnak. De abban az esetben, ha ez a kamera felveszi az arcunkat, leméri, és egy adatbázisban más mintákkal összehasonlítva megállapítja, hogy én Baracsi Katalin vagyok, akkor az már azonosítás. Ez már biometrikus azonosítás. Az azonosítás az, amikor konkrétan, név szerint beazonosítanak minket, ez az, ami nagyon szigorú szabályokba ütközik. Tehát ha csak azt nézik, hogy hány ember megy be a plázába, és ebből nem vonnak le személyre szabott következtetéseket, az egyszerű megfigyelés.
— A GDPR már jó ideje hatályban van, de készülődik az AI Act. Hogyan kategorizálja az AI alapú biometrikus rendszereket az Unió, és mely kategóriák érintik leginkább a hétköznapi embereket?
— Négy kategóriát állapít meg az AI Act, és a különlegesség az, hogy idén nyártól ezek teljesen hatályba lépnek, és minden jogszabályi és intézményi keretnek fel kell állnia az EU-ban, amely biztosítja a megfelelő működésüket. Az első kategória a tiltott rendszereké. Ezek olyan technológiák, amiket soha, senkinek nem szabad alkalmazni.
Például egy munkahelyen az alkalmazottak érzelmi állapotát elemző szoftver teljesen kizárt.
A második a magas kockázatú rendszereké. A jelenlegi joggyakorlat szerint ide tartozik az egészségügyi arcfelismerés is. Itt szabad bizonyos rendszereket kiépíteni, de nagyon komoly feltételekkel. Ide tartoznak a különböző biometrikus rendszerek és általában az érzelemfelismerő szoftverek is. Olyan szigorú feltételeknek kell megfelelniük, mint például egy gyógyszerengedélynek: tesztelés, dokumentáció. Újdonság, hogy augusztus elsejétől ezeknél kötelező lesz az emberi felügyelet, és mindenkit tájékoztatni kell arról, hogy a rendszert mesterséges intelligencia működteti, és a döntések már nem emberi, hanem gépi alapon születnek. A harmadik szint a korlátozott kockázatú rendszereké. Például, amikor egy weboldalon chatbottal kommunikálok. Itt a működtetőnek csak annyi a kötelezettsége, hogy feltüntesse, hogy chatbot alapú szolgáltatást használ. Végül vannak a minimális kockázatú esetek, mint egy spam szűrő használata, ahol semmilyen egyéb kötelezettséget nem ír elő a jogszabály.
Hétköznapi szinten olyan fogalmakkal érdemes barátkoznunk, mint a munkahelyi biometrikus kapu vagy az, hogy a bevásárlóközpontban lévő kamera csak a látogatók számát méri, vagy valami mást is csinál.
Ha mást is, az már a tiltott kategória lehet. Magas biztonsági kockázatú helyeken, például egy atomerőműnél vagy egy gyógyszercégnél, indokolt lehet a biometrikus beléptetés. Végül is, az útlevelünkben is van biometrikus azonosító, de ehhez önként, hivatalos eljárás keretében járultunk hozzá. Fontos látni, hogy az AI Act nem váltja fel a GDPR-t, a kettő együtt, egymást kiegészítve fog létezni.
— Ha egy cég vagy intézmény, például egy – ön által is említett – atomerőmű, biometrikus azonosítást akar bevezetni, milyen jogi feltételeknek kell megfelelnie az EU-ban?
— Egy ilyen rendszer kiépítését egy építési engedély beszerzéséhez hasonlítanám. Nem egyetlen papírról van szó, hanem egy összetett folyamatról. Először is, a GDPR alapján előzetes hatásvizsgálatot kell végezni. Ez egyfajta kockázatelemzés, ahol végig kell gondolni, mi sülhet el rosszul, még mielőtt a rendszert elindítanák. Meg kell találni a megfelelő jogalapot. Munkahely esetén ez vagy a munkavállalók szabad beleegyezése, vagy valamilyen törvényi kötelezettség. Egy atomerőműnél a biztonsági kockázat egyértelmű jogalap. A GDPR szerint egyértelmű hozzájárulás kell, ha nincs más jogalap. Ha ez hiányzik, a rendszer nem működhet.
Csak a legszükségesebb adatokat szabad gyűjteni, és nem tárolható több, mint ami a működéshez elengedhetetlen.
Újdonság, hogy 2026-tól az AI Act szerinti regisztráció és dokumentáció kötelező lesz az Európai Unió adatbázisában. Tehát ha egy cég végigment az előző lépéseken, utána az EU felé is jelentenie kell, hogy biometrikus azonosításon alapuló rendszert működtet. Ha bárhol hiba csúszik a folyamatba, a rendszer a magas kockázatú kategóriából könnyen átcsúszhat a tiltottba.
— Mit jelent ez a gyakorlatban a munkavállalók és ügyfelek számára? Milyen jogaik vannak, ha egy szervezet arcfelismerést használ velük szemben?
— A GDPR már eddig is teremtett jogokat. Az első a tájékoztatáshoz való jog: a munkavállalónak tudnia kell, hogy a munkahelyén arcfelismerő rendszer működik, és azt is, hogy milyen célból. Létezik a hozzáférési jog, ami azt jelenti, hogy kikérhetem a rólam tárolt biometrikus adatokat. Van törlési jogom is. Ha az adatkezelés már nem indokolt – például mert a munkavállaló munkahelyet váltott, vagy olyan munkakörbe került, ahol már nincs szükség a rendszerre –, kérheti az adatai törlését. A hozzájárulás bármikor visszavonható, és ha kiderül, hogy az adatkezelés jogellenes volt, szintén törölni kell az adatokat. Megilleti a munkavállalót a tiltakozáshoz való jog is, ha a bevezetés feltételei nem teljesültek.
Végül pedig ott van a megtagadás joga: ha nem egyezek bele a biometrikus adataim kezelésébe, emiatt nem érhet semmilyen szankció.
— Bele lehet írni egy munkaszerződésbe, hogy a munkavállaló automatikusan hozzájárul az AI alapú azonosításhoz?
A teljes egészében az AIToday-en olvasható interjúban Baracsi Katalin arról is beszél, hogy
az AI-alapú azonosítás bevezetése miért igényel hosszabb, többlépcsős engedélyezési folyamatot,
bár szinte senki sem kérheti egy munkavállalótól, vannak üzemek, ahol a biometrikus azonosítás a munkaszerződés része lehet,
az AI Act milyen módon írja elő a kamerás megfigyelés vagy más biometrikus azonosítás jelölését,
az AI Act milyen módon szolgálja a felhasználók védelmét,
mely nemzeti hatóságok segítik az állampolgárok jogérvényesítést.
FOLYTATÁS ITT.
