Megjelent a NAIH 2024-es beszámolója – MI fókuszú témavizsgálat a bankszektorban
Március végén a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) közzétette a 2024. évi tevékenységről szóló beszámolóját (elérhető itt: https://www.naih.hu/eves-beszamolok).
Figyelemmel arra, hogy az MI-rendszerek, mint új adatkezelési eszközök villámgyorsan terjednek és a bankszektor rengeteg érintett személyes adatait kezeli, a NAIH, mint az adatvédelmi megfelelőséget ellenőrző hatóság áttekintést kívánt kapni arról, hogy a magyar bankszektorban az MI-rendszerek mely célokból, mely személyes adatokat kezelnek, és ezek adatvédelmi jogi megfelelősége miként valósul meg. A NAIH először a Magyar Nemzeti Bankkal egyeztetett, majd részletes kérdőívet küldött ki több banknak. A cél az volt, hogy felmérjék, hogyan és milyen célból kezelnek személyes adatokat MI-rendszerekkel a bankok, és ennek során hogyan biztosítják az adatvédelmi jogi megfelelőséget. A vizsgálat lezárulta után a Hatóság jelentést fog közzétenni, amely segíthet az érintettek számára jobban megérteni a banki MI-rendszerek működését és kockázatait.
A Hatóság kiemelte, hogy feltárt információk fényében természetesen meg fogja tenni az egyéb esetlegesen szükséges lépéseket is a személyes adatok védelmének elősegítéséhez, ami minden bizonnyal hasznos útmutatást jelenthet a későbbiek során az MI-rendszereket alkalmazó bankszektorbéli adatkezelők számára is.
2025-ben a Hatóság más szektorokban is tervez MI-rendszerekkel összefüggő témavizsgálatokat. Az azok nyomán megjelenő jelentések minden MI alkalmazó adatkezelő számára releváns és hasznos lehet, ezért érdemes lesz figyelemmel kísérni a NAIH honlapját.
Érdekesség, hogy a Hatóság MI-labort is felállított annak érdekében, hogy lehetővé váljon a speciális eszközöket és szakmai ismereteket igénylő MI-modellek hatékonyabb hatósági ellenőrzése.
A NAIH beszámolója alapján világos, az MI-rendszerek átfogó szabályozását jelentő EU-s AI Act-nek való megfelelés önmagában nem elegendő. Az MI technológia bankszektorbéli alkalmazása természetesen feltételezi a nagy mennyiségű és érzékeny személyes adatok kezelését, ennél fogva az adatvédelmi megfelelőség biztosítása is kulcsfontosságú. Az adatvédelmi megfelelőség biztosítása szorosan összefügg a jó működő, megbízható MI-rendszerek fejlesztésével és alkalmazásával, ezért tanácsos, hogy a banki MI stratégia részeként az adatvédelmi megfelelőségre is megfelelő hangsúly kerüljön – ezt várhatóan a NAIH is ellenőrizni fogja.
Várható, hogy az MNB, mint a bankszektor felügyeleti hatósága új ajánlásokat fog közzétenni az MI-rendszerek megfelelő alkalmazásával kapcsolatban. Az új jogszabályi és hatósági elvárások, iránymutatások és gyakorlat, valamint a technológia nagyiramú fejlődése jelentős kihívást jelenthet a bankszektor számára. Emellett érdemes figyelembe venni, hogy az AI Act kiemelkedően magas bírság maximuma (35 000 000 euró vagy az előző pénzügyi év teljes globális éves árbevételének legfeljebb 7 %-át kitevő összeg) mellett, a NAIH a GDPR-nak való megfelelés sérülése vagy hiánya miatt jelentős adatvédelmi bírságot szabhat ki a jogsértő adatkezelőre.
Magyarországon az eddigi legmagasabb, 250 000 000 forint összegű adatvédelmi bírság is egy banki MI-rendszerrel megvalósított, nem megfelelő adatkezelés kapcsán került kiszabásra.
Amennyiben kérdése merülne fel a fentiekkel kapcsolatban, szakértőink örömmel állnak rendelkezésére.
