https://doi.org/10.58528/JAP.2025.17-2.7
The study focuses on the data protection challenges of the application of artificial intelligence (hereinafter: AI) in relation to administrative procedures. In this regard, we highlight some elements that we consider to be important from the perspective of potential data protection problems (for example, the prohibition of discrimination, the issue of human supervision, etc.). Our starting point is the legality of data management. Finally, our work also presents the dilemmas related to the responsibility of AI and examines the liability questions related to damage caused by the administrative authority using AI during the administrative procedure.
Keywords: artificial intelligence, data protection, liability of artificial intelligence
A mesterséges intelligencia (a továbbiakban: MI) - bárhogyan is definiáljuk[2] - értelmezhetetlen adatok nélkül. Az MI adatvédelemmel való szoros összefüggését és ennek a közigazgatás számára való jelentőségét illetően idézzük fel Birher gondolatát, aki szerint "[a]z információ mindig is hatalmas érték volt, napjainkra viszont az információ jól tervezhető és elemezhető módon áll rendelkezésre az élet minden területéről. Ebben az értelemben a közigazgatás lehetőséget kapott a hatékonyságának soha nem látott mértékű fokozására. Lényeges tehát a technikai lehetőségek minél hatékonyabb felhasználása, figyelemmel arra, hogy az így elérhető hatalomkoncentráció komoly veszélyeket is rejt magában. Ezek
- 7/8 -
a veszélyek csak úgy enyhíthetők, ha a modernitásban többé-kevésbé működő haszonelvűség helyett egy új kritériumot vezetünk be az eredményesség mérésére. Ez a kritérium csak az emberközpontúság lehet. Az emberek közössége érdekében kell, hogy az adatok gyűjtése és elemzése történjen."[3] A fentiek alapján rámutattunk, hogy az emberközpontúság elve és az adatvédelmi szabályozás - részben az automatizált döntéshozatalra vonatkozó szabályai révén[4] - meghatározó szerepet tölt be a Ml-t használó rendszerek alkalmazásakor. Jelen tanulmánynak nem célja a mesterséges intelligencia alkalmazása során potenciálisan felmerülő adatvédelmi problémák szisztematikus listázása, de kiemelünk néhány, általunk hangsúlyosnak tartott elemet. Ezt követően pedig az MI felelősségével kapcsolatos egyes kérdésekre fókuszálunk a közigazgatási hatósági eljárások vonatkozásában.
Elöljáróban megjegyzendő, hogy a közigazgatási hatósági eljárások lefolytatása nyilvánvalóan nem az államigazgatás alrendszerébe tartozó szervek privilégiuma. Szembetűnő azonban, hogy a magyar MI Stratégiában csak Államigazgatás alfejezetet találunk, és a helyi önkormányzatokról csak elvétve esik szó, a logisztika szempontjából lényeges adatvagyon kapcsán, továbbá, hogy az államival párhuzamosan az önkormányzati igazgatási tevékenység szabványosítási lehetőségeinek feltárása is meg kell, hogy kezdődjön. Az ügyek nagy száma, egységes végrehajtása miatt az államigazgatás ideális "gyakorlóterep",[5] azonban a magánszektorral szemben a közszektorban a bizalomvesztés nem megengedhető,[6] más oldalról: a bizalmi ökoszisztéma kialakítása elengedhetetlen.[7] A bizalom pedig különösen kényes kérdés egy olyan technológia kapcsán, amelynek bizonyos elemei ab ovo kiszámíthatatlanságot hordoznak magukban. Ezt nevezi Tóth az MI szabályozási paradoxonának.[8]
Az MI-rendszerek vizsgálatát fókuszba helyező kutatásokat elemezve sokféle kérdésfelvetéssel találkozunk, kezdve az olyan szélsőségekkel, miszerint teljes egészében automatizált döntéshozatal esetén akár a (meg nem engedett) hatáskörátruházás kérdése is felmerül, ami maga után vonja a jogalanyiság kér-
- 8/9 -
déskörét is.[9] Jelen tanulmányunkban a potenciális adatvédelmi problémák köre képezi a vizsgálat tárgyát, és e körben a kiindulópontunkat az adatkezelés jogszerűsége jelenti. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (a továbbiakban: GDPR) sokat idézett 6. cikke szerinti, jogszerűséget megalapozó esetkörök közül az érintett hozzájárulása és a közhatalmi jogosítvány gyakorlása érdekében történő adatkezelés kiemelendőek. Az MI-t alkalmazó technológiák elterjesztése, az állampolgári bizalom megszerzése érdekében a jogalkotónak is elsősorban a hozzájárulást kell preferálnia és bíznia abban, hogy a kellően tájékozott állampolgárok azért kezdik el használni az állam által nyújtott digitális szolgáltatásokat, mert az egyszerűbb, átláthatóbb, kényelmesebb ügyintézést biztosít számukra. Ezt láthatjuk a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvény (a továbbiakban: Dáptv.) esetében is, ahol a digitális állampolgárság előnyeinek kihasználása önkéntes döntésen alapul, és bevezetésként két, gyakran előforduló ügycsoport (születési anyakönyvezés, autó átírás) révén igyekszik a jogalkotó az állampolgárok bizalmát és figyelmét elnyerni, később pedig kiterjeszteni a digitális ügyintézés lehetőségét a közszolgáltatások szélesebb körére és a magánszektor egyes elemeire (szerződéskötés, banki ügyintézés, postai szolgáltatások, stb.).[10]
Következő kérdésként a rendszer rendelkezésére bocsátott adatok köre, minősége, megbízhatósága vizsgálható. A kérdés nyilvánvalóan nem a jogszabályon alapuló ügyintézési lehetőségekről tájékoztató chatbotok esetén, hanem a gépi tanuláson alapuló rendszereknél lesz izgalmas. Az Az Európai Parlament és a Tanács (EU) 2024/1689 Rendelete a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról, valamint a 300/2008/EK, a 167/2013/EU, a 168/2013/EU, az (EU) 2018/858, az (EU) 2018/1139 és az (EU) 2019/2144 rendelet, továbbá a 2014/90/EU, az (EU) 2016/797 és az (EU) 2020/1828 irányelv módosításáról (a mesterséges intelligenciáról szóló rendelet) (a továbbiakban: AI Act) szerint a tanító, validáló és tesztelő adatoknak relevánsnak, reprezentatívnak, hibáktól mentesnek, teljesnek kell lenniük, ezen belül sajátos földrajzi, kontextuális, magatartási vagy funkcionális környezethez kell kapcsolódniuk.[11]
Az új jogszabály, az innovációt támogatandó, kötelezően előírja a tagállamok számára a szabályozói tesztkörnyezet létrehozását a hatályba lépést követő 2 éven belül. A kötelezettség más tagállamokkal közösen is teljesíthető, de elkülönülő tesztkörnyezetek is létrehozhatóak. Az adatok megfelelősége érdekében
- 9/10 -
az Mi-rendszer szolgáltatója és az illetékes hatóság konkrét tervet készítenek az egyedi sajátosságok feltérképezésére. A más célból jogszerűen gyűjtött személyes adatok az Mi-rendszerek tesztkörnyezetben való kifejlesztése, betanítása, tesztelés céljából való használata szigorú feltételekhez kötött, de a közigazgatás és a közszolgáltatások hatékonysága és minősége az egyik jogszabályi lehetőség a jogszerű adatgyűjtésre. Az adatok a tesztkörnyezeten kívül nem kerülhetnek, a hatóságok általi további megosztásra az általános adatvédelmi szabályok vonatkoznak. A valós környezetben való teszteléshez az adatkezelés az érintettek hozzájárulásán kell, hogy alapuljon.[12]
A fentiek alapján tehát az államigazgatási szervek esetén az adott földrajzi területre, eljárástípusra jellemző, a potenciális ügyfelek vonatkozásában korrekt statisztikai jellemzőkkel bíró adatok kell, hogy rendelkezésre álljanak. Hogyan jut az állam a fenti kritériumoknak megfelelő adatokhoz? A kérdésfeltevés Magyarország esetében különösen fontos, hiszen a DESI (Digital Economy and Society Index) mérőszámai jelentős lemaradást mutatnak a digitalizáció terén.[13] A magyar MI Stratégia önkritikusan állapítja meg, hogy "a közigazgatási adatvagyon jelenleg csak korlátozottan hozzáférhető, szigetszerű, és csak részlegesen képes együttműködésre, a sokszorozó hatású adatkészletek még nem tudják kifejteni a gazdaság élénkítő hatásukat".[14] Úgy tűnik, hogy Dáptv.[15] igyekszik megoldást találni erre a problémára, amelynek rendelkezése szerint a "digitális térben keletkező vagy ott megjelenő, egyedi azonosításra alkalmatlan adatokat az állam - meglévő digitális szolgáltatások javítása, valamint új digitális szolgáltatások bevezetése, továbbá a közigazgatás döntéshozatalának megalapozása érdekében - felhasználhatja".[16] Egyelőre még nyitott kérdés, hogy mennyire lesz sikeres ez a megoldás, milyen mértékben és gyorsan terjed el az alkalmazás. A válaszra a jogalkotó is "kíváncsi", hiszen 2024. május 21-től megindult a digitális állampolgárság regisztráció.
További kérdésként merül fel, hogy mennyiben felel meg a fent vázolt jogi megoldás a célhoz kötött adatkezelés és az adattakarékosság elvének.[17] Jelenleg
- 10/11 -
ugyanis a GDPR a célhoz kötöttség kötelezettsége alól a közérdekű archiválás, a tudományos és a történelmi kutatási vagy statisztikai célból történő további adatkezelés esetén enged eltérést. Az érintett jogai és az állam érdeke és akár az össztársadalmi érdek között itt némi összeütközés detektálható. Az egyén érdeke, hogy adatai csak a lehető legszükségesebb körben kerüljenek felhasználásra, az államok adatéhsége ugyanakkor egyre növekszik.
Az Mi-rendszerek rendelkezésére bocsátott adatok megfelelősége kapcsán felhívott jelzők (releváns, reprezentatív, hibáktól mentes, teljes) érvényesülésének kötelezettsége miatt a közigazgatási hatósági eljárások klasszikus problémái: a fair eljárás, diszkriminációtilalom, stb. is új megvilágításba kerülhetnek, ha Ml-t alkalmazunk. Bár a piaci szektorból származik, de említésre érdemes az a példa, amelyben egy startup egy "akcentusfordítási technológiát" fejlesztett, ami beszédfelismerő Mi-technológiát használ a beszélő akcentusának megváltoztatására, a konkrét esetben az indiai akcentus standard amerikaivá alakítására. A céggel kapcsolatban a rasszizmus, a diszkrimináció és a "digital whitening" vádja is felmerült.[18]
A kérdés, hogy a hatósági eljárásban az akcentus vagy más emberre (ügyfélre) jellemző sajátosság (vagy annak esetleges megváltoztatása) a meghozott döntésre hatással lehet-e. A közigazgatási hatósági eljárásokban a hatóságnak a törvény előtti egyenlőség és az egyenlő bánásmód követelményét megtartva, indokolatlan megkülönböztetés és részrehajlás nélkül kell döntenie, mondja az általános közigazgatás rendtartásról szóló 2016. évi CL. törvény (a továbbiakban: Ákr.),[19] így ha a hatóságok korábban valóban így jártak el, és a tanító adatok a korábbi gyakorlaton alapulnak, a probléma elvileg nem merül fel. A(z egyelőre más területekről rendelkezésre álló) gyakorlati példák azonban önreflexióra késztetnek bennünket. Maga az Mi nem diszkriminatív, de számos példa mutatja, hogy ha a rendszerbe a tanító adatok révén egy korábban fennálló, diszkriminatív gyakorlat kerül betáplálásra, akkor a rendszer is ezt fogja tükrözni.[20] Ha a mesterséges intelligencia használatával hozott döntés diszkriminatív, az élesen rámutat: korábban mi magunk voltunk azok.
A GDPR preambulumának (71) bekezdése szerint az automatizált döntéshozatal esetén az érintettet megilleti az erről való tájékoztatás, a döntés magyarázata, a döntés vitatásának joga, valamint, hogy emberi beavatkozást kérjen. A döntés magyarázatának kötelezettsége az MI "black box"-problémáját hívja fel. A jelenség arra utal, hogy az AI egyes döntéshozatali mechanizmusai - különösen a gépi tanuláson alapuló rendszerek esetén - nem magyarázhatók; nem tudjuk, hogy a rendszer hogyan jut az adott döntésre. Az AI Act ugyan az átláthatóság köve-
- 11/12 -
telményét állítja a nagy kockázatú rendszerek elé, tájékoztatási kötelezettséget ír elő, aminek a szolgáltatóra, a műszaki paraméterekre, a tanító, validálási és tesztadatkészletekre vonatkozó releváns információkra, a kimeneti adatok értelmezésére is ki kell terjednie.[21] Eszteri szerint a black box jelleg nem feltétlen a "doboz felnyitásával", azaz az MI-rendszer minden egyes döntési elemének teljes körű magyarázatával oldható csak fel, hanem olyan tesztrendszer rendelkezésre bocsátásával, ami lehetővé teszi a felhasználók számára a rendszer alternatív döntési szituációkban való kipróbálását és így a működése megtapasztalását.[22] A megoldás valóban hatékony lehet a piac számos szegmensében, például hitelbírálat, nyugdíjelőtakarékosság kalkulálása kapcsán, azonban a közigazgatási hatósági eljárásokban az indokolási kötelezettséggel járó vagy mérlegelést, méltányosságot igénylő döntések kritikus pontként detektálhatók. A tesztüzem lehetősége ugyanis a közigazgatási hatósági eljárásokban nem elfogadható. Addig tehát, amíg az MI-rendszerek fejlesztői nem tudnak eleget tenni az átláthatóság fenti követelményrendszerének, ezen döntések nem válhatnak MI-alapúvá.[23]
Az AI Act szintén nagy hangsúlyt fektet az emberi felügyeletre, amelynek természetes személy általi, hatékony felügyeletnek kell lennie, ami az arra való képességet is magában foglalja, hogy a felügyeletet gyakorló a hibát detektálni tudja és beavatkozni képes. Végső megoldásként a rendszer megszakítása vagy leállítása is lehetséges kell, hogy legyen.[24] A kérdés, hogy milyen szakapparátus lesz képes az MI-rendszer működését átlátni. Találkozhatunk olyan véleménnyel, amely szerint az érdemi emberi szupervízió teljességgel illuzórikus az MI-re alapozott folyamatok esetében,[25] egyszerűen a meghozott döntések emberi aggyal fel nem fogható komplexitása okán. A gép által támogatott döntések esetében fel kell hívnunk a figyelmet egy, a szakirodalomban csak automatikus torzításnak [automation bias)[26] nevezett jelenségre is, amikor kutatásokkal igazoltan a döntéshozói pozícióban lévő ember a gép által ajánlott döntést hajlamos jobbnak ítélni, mint a sajátját.[27] Megoldásként egyes szerzőknél felmerül a döntéshozók, közigazgatásban
- 12/13 -
dolgozók informálása, képzése,[28] amelyet láthatóan a magyar állam is prioritásként kezel.[29] A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) adatvédelmi incidensekről szóló tájékoztatója[30] szerint a hackertámadások egy része emberi tényező kihasználásával történik, így a képzetlen munkaerő egyértelműen kiberbiztonsági kockázatot is jelent. A dolog jelentősége a digitális állami közszolgáltatások körének bővülésével egyre inkább növekszik.
A technológia összetettsége miatt az adatvédelemben már alkalmazott beépített adatvédelem (privacy by design) mintájára az AI Act is számos, előzetesen teljesítendő előírást tartalmaz, elsősorban a nagy kockázatú rendszerek vonatkozásában, amelyek közül az adatok megfelelőségét biztosító adatkormányzást, az emberi felügyeletet és a használati útmutatót már fentebb említettük. Garanciális elemként jelenik meg továbbá többek között a kockázatértékelési és kezelési rendszer bevezetése-fenntartása, specifikálva arra a területre, ahol használni kívánják; műszaki dokumentáció, nyilvántartások vezetése (ami a teljes élettartam alatti folyamatos naplózást takar), a CE jelölés megszerzésének kötelezettsége. A jogalkalmazás hatékonyságát biztosító rendelkezés, hogy az ilyen rendszerek harmadik országbeli szolgáltatóinak az uniós piacon való megjelenéshez írásban kell képviselőt megbíznia, akinek érdemi felhatalmazása kell, hogy legyen a hatáskörrel rendelkező uniós szervekkel való kommunikációra és az elvárt nyilatkozatok megtételére. A közjogi szervezeteknek vagy közszolgáltatásokat nyújtó gazdasági magánszereplőknek alapjogi hatásvizsgálatot is kell végezniük, amelynek célja a potenciális kockázatok azonosítása, és azok bekövetkezése esetén azok elhárításához szükséges intézkedések kidolgozása.[31] Látszólagos kitekintésként a hatósági eljárások világából meg kell állapítanunk, hogy a széleskörű biztonsági előírások teljesítése vélhetően nem a magánszemély felhasználók számára jelent majd biztonságot és bizonyosságot a megfelelő működésre, hanem a felügyeletet gyakorló hatóság számára lehetőséget a nagy számú felhasználót érintő hiányosságok felfedésére. Egyszerűen azért, mert azok megismeréséről és elfogadásáról tett nyilatkozat az online térben már gyakorlattá vált általános szerződési feltétel vagy adatkezelési tájékoztató megismeréséről és elfogadásáról tett nyilatkozat formalitásával lesz egyenértékű.
Az állampolgárok (akik részben a hatósági eljárások ügyfelei) informálása, képzése, oktatása és támogatása a sokak számára újdonságot jelentő digitális térben gyümölcsöző az állam számára is. Részben az MI-nek bizalmat szavazó állampolgárok ügyszámai által generált nagyobb tömegű rendelkezésre álló
- 13/14 -
adat, részben a kiberbiztonsági kockázatok csökkenése okán. A társadalmasítást, az MI-vel kapcsolatos információk és tudás széles körben való elterjesztését a magyar MI Stratégia is kiemelten kezeli.
Találkozhatunk azonban olyan véleménnyel, amely szerint az "emberi psziché természetes gyengeségeinek" ellensúlyozására nem elegendő a GDPR és a beépített adatvédelem, felmerül a digitális interakcióinkat támogató virtuális asszisztens és rövid, átlátható figyelmeztető üzenetek formájában megvalósuló "véletlenszerű adatvédelem" megvalósításának szükségessége is.[32] Ezen eszközök bevezetését az MI-eszközöket alkalmazó hatósági eljárásokban is megfontolásra érdemesnek tartjuk, mivel az ügyfél-hatóság interakciók potenciálisan nagy száma alapján az információátadás valószínűsége is nagyobb. Elengedhetetlen az állampolgári tudatosság kialakításának minden eszközzel való támogatása a virtuális térben, különösen azért, mert még mindig nagy számban vannak olyan gyermekkorúak, akiket "digitális bevándorlók" nevelnek, akik maguk is csak felnőtt korukban léptek be a digitális világba.
A jogalkotási folyamat jelenlegi fázisában még nem tudható, hogy a hazai szabályozási környezetben ki lesz a AI Act bejelentő és/vagy piacfelügyeleti hatósága,[33] de az adatvédelmi joghoz való kapcsolódás, a GDPR alkalmazásában szerzett tapasztalat és az évek alatt kiforrott gyakorlat miatt a NAIH valószínűsíthető.[34] Javasoljuk, hogy az adatvédelmi hatóság, a saját, valamint a Gazdasági Versenyhivatal, a Nemzeti Média- és Hírközlési Hatóság, a Nemzeti Élelmiszerlánc-biztonsági Hivatal, a fogyasztóvédelmi hatóság korábbi gyakorlatához hasonlóan, a felhasználói tudatosságot növelő tájékoztatási tevékenységet valósítson meg.
A mesterséges intelligencia felelősségével kapcsolatosan számos dilemma merül fel. A mesterséges intelligencia legfőbb problémája felelősségi szempontból a kiszámíthatatlansága. Fontos kérdés a kártérítési felelősség szempontjából is az, hogy ha a működés bizonytalansága jogsértést eredményez, az mennyire köthető akár a felhasználóhoz, akár az emberhez.[35]
- 14/15 -
Az Alaptörvény XXIV. cikk (2) bekezdése szerint "Mindenkinek joga van törvényben meghatározottak szerint a hatóságok által feladatuk teljesítése során neki jogellenesen okozott kár megtérítésére." A közigazgatási jogkörben okozott kár[36] esetén nem lehet a közszolgálati tisztviselő szakértelmének hiányára hivatkozni, sem a közigazgatási szerv által biztosított lehetőségek, körülmények hiányosságára. Emiatt is, a közigazgatási hatósági eljárás során alkalmazott MI által okozott kár felvet kérdéseket a felelősségi alakzat dogmatikai megítélése és a felróhatóság alapú kimentéssel kapcsolatosan, hiszen adott esetben az öntanuláson alapuló mesterséges intelligencia "magatartása" és a programozó, valamint a felhasználó magatartása között elképzelhető, hogy nincsen összefüggés.[37]
Felmerül azon kérdés is e körben, hogy vajon az MI során a jogalkalmazót terheli-e a felelősség, és ha igen, akkor is, ki a jogalkalmazó. E kérdésre számos elméleti válasz adható (természetesen egyes opciók nem fogadhatóak el). a) Maga a jogalkotó lesz a jogalkalmazó, mert az Ml-t egyszerű hatósági döntések meghozatalakor alkalmazzuk, amely elemeit már a jogszabály tartalmazza. b) A közigazgatási hatóság, hiszen az MI e hatóság nevében hozza meg a döntését. c) Maga az MI, mert emberi beavatkozás nélkül dönt (igaz, az MI nem rendelkezik jogi személyiséggel).[38] d) Az MI-rendszer üzemeltetője, amely felelős az MI biztonságos működéséért. Ha azonban az MI üzemeltetését "kiszervezték", akkor egy, akár a közigazgatási szervezetrendszeren kívüli, akár nem is magyar szerv vagy gazdasági társaság felelősségének megállapítása tovább bonyolítaná e felelősségi rendszerrel kapcsolatos kérdéseket. e) Maga az ügyfél, a felelős kérelemre indult eljárásban MI által hozott döntések esetén, hiszen ő maga, a kérelme determinálta a meghozott döntést. f) Az ügyfél jogi képviselője, ha előírjuk, hogy az MI által hozandó döntések esetén kötelező a jogi képviselet. Ez azonban nem segítené elő a hatékony ügyintézést. g) Nem történik jogalkalmazás (ergo nincs is felelős, mert a jog alkalmazódik egy szoftver (=MI) által).[39]
Egyes álláspontok szerint abban az esetben, hogyha az MI hoz egy közigazgatási hatósági döntést, akkor feltételezhetően a Polgári Törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: Ptk.) szabályai alapján ugyanúgy a közhatalmat gyakorló jogi személy kártérítési felelőssége állapítható majd meg.[40] A Ptk. 6:548. § (2) bekezdés értelmében a "[k]özigazgatási jogkörben okozott kárért a közhatalmat gyakorló jogi személy tartozik felelősséggel. Ha a közhatalmi jogkör gyakorlója nem jogi személy, a kárért az a jogi személyiséggel rendelkező közigazgatási szerv tartozik felelősséggel, amelynek keretében az eljárt közigazgatási szerv működik." A kimentés vonatkozásában e körben kérdés az, hogy vizsgálható-e, és ha igen, miként az MI-rendszer esetén a "nyilvánvalóan
- 15/16 -
és kirívóan súlyos jogalkalmazási, jogértelmezési tévedés, a tények kirívóan okszerűtlen értékelése".[41] Abban az esetben, ha adatvédelmi incidens következik be közigazgatási hatósági eljárás során, akkor a jelenlegi szabályozás tükrében, a GDPR technológiasemlegesség elvére tekintettel is, az adatkezelő felelőssége állapítható meg.[42]
Végül e körben kiemelendő az is, hogy 2022-ben megalkotásra került az EU A mesterséges intelligenciával kapcsolatos felelősségről szóló irányelvének tervezete,[43] melynek célja az, hogy a károsult jogérvényesítését megkönnyítse a károkozóval szemben. Minden bizonnyal ennek elfogadása nagy hatást gyakorolna a közigazgatási jogkörben okozott károk kártérítési jogi megítélésére is. A jogalkotó azonban ezen irányelvet nem fogadta el, az új AI Act-ben pedig "bizalmatlansági elemeket" vélünk felfedezni, amely - a felelősség kérdésére is kihat és - megjelenik abban, hogy az Ml-t alkalmazó rendszerek használata esetén képzett felügyelő személyzet alkalmazása kötelező, aki végső soron "kiiktatja" az Ml-t szükség esetén.
Bár az adat, a digitalizáció és a MI egymástól elhatárolandó fogalmak, ugyanakkor egymásba fonódó, egymást kölcsönösen meghatározó elemekként kell tételeznünk őket. A fentiek alapján számos szabályozásra váró kérdést detektáltunk, az MI, mint új technológia kapcsán szabályozási vákumot nem tapasztaltunk, noha a kiindulási alapként szolgáló adatvédelmi szabályozás valóban több ponton kiegészítendő.[44]
A kutatás lezárásaként javaslatainkat az alábbiak szerint összegezzük:
- A célhoz kötött adatkezelés és a MI-alapú eszközök információéhségének összeegyeztetésére megfontolandó a GDPR pontosítása a személyes adatok kezelésére vonatkozó elvek körében a célhoz kötöttség elve esetén; kivételként fogalmazva meg és a statisztikai célú adatgyűjtéshez kapcsolva az állam által a digitális szolgáltatások javítása és új digitális szolgáltatások bevezetése érdekében történő adatgyűjtést.
- Egyetértve a Deli - Kocsis - Muhari szerzőhármas felvetésével, az ügyfelek digitális interakcióit nyomon követő és számukra perszonalizált se-
- 16/17 -
gítséget nyújtó virtuális asszisztens, valamint a rövid, átlátható figyelmeztető üzenetek formájában megvalósuló "véletlenszerű adatvédelem" megvalósításáról, ezen eszközök alkalmazását - az állampolgári tudatosság növelése érdekében - az állam által nyújtott valamennyi digitális szolgáltatás esetén bevezetésre javasoljuk.
- Javasoljuk az MI - még kijelölés előtt álló - felügyelő hatóságához rendelt, az érintettek irányában megvalósuló tanácsadó tevékenység megvalósítását.
- Az MI-rendszer olyan rendszer, ami a bevetését követően alkalmazkodóképességet tanúsíthat,[45] így a definitíve beépített változékonyság nyomon követésére és a folyamatosan bővülő (MI-t is használó) digitális közszolgáltatások gyakorlatának figyelemmel kísérése érdekében joggyakorlat-elemző csoport felállítását javasoljuk az MI-t alkalmazó hatóságoknál; mindez összhangba hozható az AI Act által is előírt szabályozó tesztkörnyezet létrehozásának kötelezettségével, ami önmagában is önreflexiót ír elő a rendszer működtetői számára.[46]
- Amennyiben az MI vonatkozásában - főleg kezdeti alkalmazására során - jogalkotó és jogalkalmazó - a társadalom tagjainak is kétségeit szem előtt tartva - bizalmatlan[47] lenne - amely, valljuk be, teljes mértékben valós és észszerű is - javasoljuk, hogy a hatósági eljárásokat tartalmazó jogszabályok, így különösen is az Ákr. jelenlegi 42. §-hoz hasonló szabály megalkotását, amely szerint: "[h]a az automatikus döntéshozatali eljárásban és a sommás eljárásban hozott döntéssel szemben fellebbezésnek nincs helye, a döntés közlését követő öt napon belül az ügyfél kérheti, hogy a hatóság a kérelmét ismételten, teljes eljárásban bírálja el." Ergo, ha a hatósági döntést MI hozta, akkor ezen döntés közlését követő öt napon belül az ügyfél kérhesse, hogy a hatóság a kérelmét ismételten, teljes eljárásban - MI alkalmazása nélkül - bírálja el. Igaz, az MI által hozott döntés iránti elfogultság megkérdőjelezi az emberi felülvizsgálat ténylegességét, tekintettel arra, hogy inkább a "géppel" értünk egyet, még akkor is, ha felismerhetnénk annak hibás voltát. Emiatt megkérdőjelezhető az, hogy az emberi beavatkozás valós korrekciós mechanizmusként szolgálhat-e az esetek nagy többségében.[48] Mindazonáltal a fenti szabályozási javaslat megkönnyítené és hatékonyabbá tenné a jogorvoslatot is.
- Az MI alkalmazása előtt mindenképp szükségesnek véljük az MI útján hozott hatósági döntések által okozott lehetséges kár felelősségi rendszerének kidolgozását.
- 17/18 -
• Bicskei Tamás (2023): A mesterséges intelligencia közigazgatásban való felhasználásával okozott kár. In: KözigazgatásTudomány. 2023/1. sz.
DOI: https://doi.org/10.54200/kt.v3i1.51.
• Birher Nándor (2020): A közigazgatás társadalmi megítélésének változása a közigazgatási bírói gyakorlat fényében. Nemzeti Közszolgálati Egyetem Közigazgatási Továbbképzési Intézet, Budapest. (Elérhető: https://nkerepo.uni-nke.hu/xmlui/bitstream/handle/123456789/16051/A%20kozigazgatas%20tarsadalmi%20megitelesenek%20valtozasa.pdf?sequence=1).
• Czékmann Zsolt - Kovács László - Ritó Evelin (2021): Mesterséges intelligencia az államigazgatásban. In: Török Bernát - Ződi Zsolt (szerk.): A mesterséges intelligencia szabályozási kihívásai. Ludovika Egyetemi Kiadó, Budapest.
• Cseh-Zelina Gergely - Czékmann Zsolt - Ritó Evelin (2022): Az automatikus döntéshozatal helye és szerepe a hatósági eljárásban. In. KözigazgatásTudomány. 2022/2. sz.
DOI: https://doi.org/10.54200/kt.v2i2.34.
• Deli Gergely - Kocsis Réka - Muhari Nóra (2021): Akarva-akaratlanul - az adatvédelem és az akaratszabadság problémái. In: Török Bernát - Ződi Zsolt (szerk.): A mesterséges intelligencia szabályozási kihívásai. Ludovika Egyetemi Kiadó, Budapest.
• Eszteri Dániel (2021): A gépek adatalapú tanításának megfeleltetése a GDPR egyes előírásainak. In: Török Bernát - Ződi Zsolt (szerk.): A mesterséges intelligencia szabályozási kihívásai. Ludovika Egyetemi Kiadó, Budapest.
• Fejes Erzsébet - Futó Iván (2021): Mesterséges intelligencia a közigazgatásban - az érdemi ügyintézés támogatása. In: Pénzügyi Szemle. 2021/Különszám.
DOI: https://doi.org/10.35551/psz_2021_k_1_2.
• Fuglinszky Ádám (2015): Kártérítési jog. HVG-ORAC, Budapest.
• Gombos Katalin - Gyuranecz Franciska Zsófia - Krausz Bernadett - Papp Dorottya (2021): A mesterséges intelligencia jogalkalmazási területen való hasznosíthatóságának alapjogi kérdései. In: Török Bernát - Ződi Zsolt (szerk.): A mesterséges intelligencia szabályozási kihívásai. Ludovika Egyetemi Kiadó, Budapest.
• Mezei Kitti (2022): Diszkrimináció az algoritmusok korában. In: Magyar Jog. 2022/6. sz.
• Péterfalvi Attila - Buzás Péter - Révész Balázs (szerk.) (2021): Magyarázat a GDPR-ról. Wolters Kluwer Hungary, Budapest.
• Pók László Gábor (2021): Arcfelismerés és adatvédelem. A cél szentesíti az eszközt? In: Török Bernát - Ződi Zsolt (szerk.): A mesterséges intelligencia szabályozási kihívásai. Ludovika Egyetemi Kiadó, Budapest.
• Rideg Gergely (2023): Mesterséges intelligencia és közigazgatás. Gondolatok a mesterséges intelligencia szabályozás kockázatalapú megközelítéséről a gyakorlatban, kihívások és lehetőségek. In: KözigazgatásTudomány. 2023/2. sz.
DOI: https://doi.org/10.54200/kt.v3i2.65.
- 18/19 -
• Wolswinkel, Johan (2021): Comparative study on administrative law and the use of artificial intelligence and other algorithmic systems in administrative decision-making in the memberstates of the Counsil of Europe. Prepared by Prof. Dr. Johan Wolswinkel Tilburg University, the Netherlands, consultant, under the supervision of the European Committee on Legal Co-operation (CDCJ). Council of Europe Publishing F-67075 Strasbourg Cedex, 2021. (Elérhető: https://coe.int/documents/22298481/0/CDCJ%282022%2931E+-+FINAL+6.pdf/4cb20e4b-3da9-d4d4-2da0-65c11cd16116?t=1670943260563.).
• A digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvény.
• A nemzeti adatvagyon hasznosításának rendszeréről és az egyes szolgáltatásokról szóló 2023. évi CI. törvény.
• A digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvényhez - Indokolások Tára 2024/1.
• Az általános közigazgatás rendtartásról szóló 2016. évi CL. törvény.
• Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről.
• Az Európai Parlament és a Tanács (EU) 2024/1689 Rendelete a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról, valamint a 300/2008/
EK, a 167/2013/EU, a 168/2013/EU, az (EU) 2018/858, az (EU) 2018/1139 és az (EU) 2019/2144 rendelet, továbbá a 2014/90/EU, az (EU) 2016/797 és az (EU) 2020/1828
irányelv módosításáról (a mesterséges intelligenciáról szóló rendelet).
• Az adatkormányzási rendelet (Európai Parlament és a Tanács (EU) 2022/868 rendelete
• A Bizottság közleménye az Európai Parlamentnek, a Tanácsnak, az Európai Gazdasági és Szociális Bizottságának és a Régiók Bizottságának Az emberközpontú mesterséges intelligencia iránti bizalom növelése. Brüsszel, 2019.4.8. COM(2019) 168 final A. (Elérhető: https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:52019DC0168).
• Business Insider: An AI startup is selling tech to let call center agents change their accents. They say it's to protect workers from racism, but critics say it's a form of 'digital whitening.' (Elérhető: https://www.businessinsider.com/ai-startup-sanas-accent-translation-technology-call-center-racism-2022-9).
• Commission Report on safety and liability implications of AI, the Internet of Things and Robotics, Brussels, 19.2.2020 COM(2020)64 final, 15.
• European Commission: 2023 Report on the state of the Digital Decade. (Elérhető: https://digital-strategy.ec.europa.eu/en/library/2023-report-state-digital-decade).
• Javaslat. Az Európai Parlament és a Tanács irányelve a szerződésen kívüli polgári jogi felelősségre vonatkozó szabályoknak a mesterséges intelligenciához való hozzáigazításáról (a mesterséges intelligenciával kapcsolatos felelősségről szóló irányelv). COM/2022/496 final.
(Elérhető: https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX:52022PC0496).
• MI Stratégia. (Elérhető: https://digitalisjoletprogram.hu/hu/kiadvanyaink).
• Nemzeti Adatvédelmi és Információszabadság Hatóság: Tudnivalók az adatvédelmi incidensek kezeléséről. (Elérhető: https://www.naih.hu/tudnivalok-az-adatvedelmi-incidensek-kezeleserol).
- 19/20 -
• Publications Office of the European Union: Public Administrators in the EU Member States - 2022 Overview. (Elérhető: https://op.europa.eu/en/publication-detail/-/publication/2ac606f3-d20e-11ee-b9d9-01aa75ed71a1/language-en). ■
JEGYZETEK
[1] A TKP2021-NKTA-51 számú projekt a Kulturális és Innovációs Minisztérium Nemzeti Kutatási Fejlesztési és Innovációs Alapból nyújtott támogatásával, a TKP2021-NKTA pályázati program finanszírozásában valósult meg.
[2] Ld. Patyi - Pollák - Fekete, 2025, 3-17.
[3] Birher, 2020, 18.
[4] GDPR 2. cikk [1] bekezdés.
[5] Czékmann - Kovács - Ritó, 2021.
[6] Rideg, 2023, 165.
[7] Gombos - Gyuranecz - Krausz - Papp, 2021, 339.
[8] "... a black box hatás miatt szabályozási paradoxonról beszélhetünk abban az értelemben, hogy miként lehet jogi eszközzel egy fogalmilag bizalmatlanságot ébresztő technológia kapcsán a bizalom erősítéséről beszélni.." Ld. Tóth, 2019.
[9] Wolswinkel, 2021, 10.
[10] Végső előterjesztői indokolás a digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló 2023. évi CIII. törvényhez - Indokolások Tára 2024/1.
[11] A nagy kockázatú MI-rendszerek vonatkozásában ezt az AI Act (67) preambulumbekezdése és 10. cikke fogalmazza meg. A 10. cikk (4) bekezdés sajátos földrajzi, kontextuális, magatartási vagy funkcionális környezethez kapcsolódó adatokat említ.
[12] AI Act 59-61. cikkek.
[13] A legutóbb közzétett - az elmúlt egy évtized változásait rögzítő - jelentés szerint Magyarország több területen előrelépést mutat, de a népesség alapvető digitális készségeinek szintje, a vállalkozások és a közszolgáltatások digitalizációja terén jelentős a lemaradásunk az uniós átlaghoz képest. Előrelépés történt például a szélessávú internetkapcsolat és az 5G-lefedettség területén. Ld. European Commission: 2023 Report on the state of the Digital Decade. Az alapvető digitális készségek szintje, a kkv-k digitalizációja és az 5G-lefedettség az EU tagállamok szintjén is kihívásként detektált tényezők. Ld. Publications Office of the European Union: Public Administrators in the EU Member States - 2022 Overview, 44.
[14] MI Stratégia 16.
[15] Összhangban a nemzeti adatvagyon hasznosításának rendszeréről és az egyes szolgáltatásokról szóló 2023. évi CI. törvénnyel (továbbiakban: adatvagyon tv.), amely az adatkormányzási rendelet (Európai Parlament és a Tanács (EU) 2022/868 rendelete (2022. május 30.) az európai adatkormányzásról és az (EU) 2018/1724 rendelet módosításáról) végrehajtását szolgálja.
[16] Dáptv. 5.§ (3) bekezdés.
[17] GDPR 5. cikk (1) bekezdés b) és c) pontok.
[18] Ld. Business Insider: An AI startup is selling tech to let call center agents change their accents. They say it's to protect workers from racism, but critics say it's a form of 'digital whitening'.
[19] Ákr. 2.§ (2) bekezdés b) pont.
[20] Mezei, 2022, 332-338. A szerző számos példával illusztrálja - például az MI-toborzást, angol felvételi rendszert vagy a hírhedtté váló amerikai COMPAS rendszert említve -, hogy a megfelelően kiválasztott tanító adatok kulcsfontosságúak.
[21] AI Act 13. cikk.
[22] Eszteri, 2021, 207-208.
[23] Fejes és Futó az ún. gépi tanulást alkalmazó rendszereket teljesen kizárja az érdemi ügyintézésből. Ld. Fejes - Futó, 2021, 39.
[24] Az ember-gép interakcióban az emberi felügyelet mértékét illetően többféle megközelítés ismert: a "human-in-the-loop" [emberi beavatkozás, HITL] a rendszer minden egyes döntési ciklusában emberi beavatkozást feltételez, a "human-on the-loop" [emberi felügyelet, HOTL] a működés figyelemmel kísérését és a szükség szerinti beavatkozást takarja; a "human-in-command" [emberi vezérlés, HIC] esetén az AI-rendszer minden szegmense emberi felügyelet alá kerül, ideértve a döntések felülvizsgálatát vagy a rendszer lekapcsolását. COM[2019] 168 5.
[26] Wolswinkel, 2021, 10.
[27] Közismert az a városi legenda, hogy a GPS utasításait követő egyszeri sofőr a folyóvízbe hajtott az autójával, mert nem kérdőjelezte meg annak hitelességét egy szabad szemmel könnyen felismerhető döntési szituációban. G. Karácsony olyan kutatásokra hivatkozik, amelyben az említettnél jóval komplexebb helyzetben is ugyanez volt a végkimenet. Vö. G. Karácsony, 2020, 35.
[28] Pl. Czékmann - Kovács - Ritó, 202, 397. és G. Karácsony, 2020.
[29] A magyar Mesterséges Intelligencia Stratégia a PwC 2019-es elemzésére hivatkozva azt prognosztizálja, hogy Magyarországon az MI és az automatizáció a 2030-as évek végéig mintegy 900.000 munkavállalót fog érinteni, amelyben nyilvánvalóan a piaci szektor adatai is benne vannak. A közigazgatásban dolgozók MI alkalmazására való felkészítését a Stratégia az Nemzeti Közszolgálati Egyetemhez rendeli. 10. és 32.
[30] Ld. Nemzeti Adatvédelmi és Információszabadság Hatóság: Tudnivalók az adatvédelmi incidensek kezeléséről.
[32] A szerzők a privacy by randomness, privacy by assistance kifejezéseket használják az adatvédelem védelmi szintjét fokozó eszközökre, és korántsem csak elméleti kategóriaként; adatvédelmi termékdíj bevezetését javasolják a költségek fedezésére. Vö. Deli - Kocsis - Muhari, 2021, 233-245.
[33] A feladatot a tagállami döntéstől függően egy vagy több szerv is elláthatja. Ld. AI Act. 70. cikk.
[34] Az AI Act 70. cikkében szereplő előírás szerint "[a]z illetékes nemzeti hatóságoknak különösen elegendő számú olyan állandó munkatárssal kell rendelkezniük, akiknek a kompetenciája és szakértelme alapos tudást foglal magában az MI-technológiák, az adatok és az adatszámítás, a személyes adatok védelme, a kiberbiztonság, az alapvető jogok, valamint az egészségügyi és biztonsági kockázatok terén, emellett pedig a meglévő szabványok és jogi követelmények alapos ismeretére is kiterjed".
[35] Bicskei, 2023, 99-114.; Tóth, 2020, 3-14.
[36] Lásd: F. Rozsnyai - Istenes, 2017, 559-568.
[37] Bicskei, 2023, 108.
[38] Eszteri, 2015, 47-57.
[39] Vö. Cseh-Zelina - Czékmann - Ritó, 2022, 35-47.
[40] Bicskei, 2023, 108.
[41] Fuglinszky, 2015, 524.
[42] Lásd: Péterfalvi - Buzás - Révész, 2021.
[43] Javaslat. Az Európai Parlament és a Tanács irányelve a szerződésen kívüli polgári jogi felelősségre vonatkozó szabályoknak a mesterséges intelligenciához való hozzáigazításáról (a mesterséges intelligenciával kapcsolatos felelősségről szóló irányelv). COM/2022/496 final. Online: https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=CELEX:52022PC0496.
[44] Pók László Gábor az arcfelismerő rendszereket elemezve fejti ki, hogy az új technológiák kapcsán gyakori, hogy szabályozási vákumba érkeznek, ami megnöveli az etikai szempontok és az (adatkezelési) alapelvek jelentőségét. Vö. Pók, 2021, 221-222.
[45] AI Act 3. cikk 1. pont.
[47] Tekintettel arra, hogy az MI működésének eredményei adott esetben még az őt tervező ember számára sem láthatók előre (black box effect). Ld. Commission Report on safety and liability implications of AI, the Internet of Things and Robotics, Brussels, 19.2.2020 COM(2020)64 final, 15.
[48] G. Karácsony, 2020, 12.
Lábjegyzetek:
[1] A szerző prorektor, a Közigazgatástudományi Doktori Iskola vezetője (Nemzeti Közszolgálati Egyetem, Államtudományi és Nemzetközi Tanulmányok Kar) egyetemi tanár, Széchenyi István Egyetem, Deák Ferenc Állam- és Jogtudományi Kar, Közigazgatási és Pénzügyi Jogi Tanszék alkotmánybíró (Alkotmánybíróság). Állam- és jogtudományi oklevelet a szegedi József Attila Tudományegyetemen (a mai SZTE-n) szerezte 1993-ban, 1996-ban tett jogi szakvizsgát. Jogászként dolgozott az Alkotmánybíróság Hivatalában, jegyző volt Budapest XII. kerület Hegyvidék önkormányzatában, legfelsőbb bírósági bíró, az NKE alapító rektora, majd újra kúriai bíró, tanácselnök, végül a Kúria elnökhelyettese, 2023 óta alkotmánybíró. A kezdeti állam- és jogtörténeti kutatásai után a közigazgatástudomány felé fordult, fő kutatási területe a közigazgatás jogszerűsége. A Pécsi Tudományegyetemen szerzett PhD fokozatot 2002-ben, a győri Széchenyi István Egyetemen habilitált 2011-ben, az NKE tiszteletbeli doktora. patyi.andras@uni-nke.hu
[2] A szerző egyetemi docens, Nemzeti Közszolgálati Egyetem, Államtudományi és Nemzetközi Tanulmányok Kar, Lőrincz Lajos Közigazgatási Jogi Tanszék) főtanácsadó (Kúria). A Szegedi Tudományegyetemen 2012-ben jogász, 2014-ben jogász-közgazdász diplomát szerzett. Ezzel egyidejűleg francia nyelvű Európai Unió joga mester-diplomát kapott a Lyoni Egyetemtől. 2015-től a Nemzeti Közszolgálati Egyetem oktatója, 2019 óta a Kúrián főtanácsadó. Fő kutatási területei: a közigazgatási eljárásjog, az Európai Unió és Franciaország közigazgatási eljárásjoga. Tudományos fokozatát (PhD) 2019-ben szerezte. Számos nemzetközi konferencián adott elő, több kutatói és oktatói ösztöndíjat (Campus Hungary, Concha Győző Doktori Program, ERASMUS+, etc.) is nyert. Pollak.Kitti@uni-nke.hu
[3] A szerző egyetemi adjunktus, Nemzeti Közszolgálati Egyetem, Államtudományi és Nemzetközi Tanulmányok Kar, Lőrincz Lajos Közigazgatási Jogi Tanszék A Szegedi Tudományegyetemen az Európa-jogi szakirányú képzés követelményeit is teljesítve, 2003-ban szerzett jogi diplomát. 2004-2018 között, majd 2022-től a Szegedi Tudományegyetem, 2023-tól a Nemzeti Közszolgálati Egyetem oktatója, 2007 óta egyéni ügyvéd. Fő kutatási területei: fogyasztóvédelmi jog, közigazgatási eljárásjog, alternatív vitarendezés. PhD-fokozatot 2011-ben szerzett. Fekete.Orsolya@uni.nke.hu
Visszaugrás
