NAIH Унгария: AI управление и правила за DPA
Унгарският орган за данни е NAIH — Nemzeti Adatvedelmi es Informacioszabadsag Hatosag. Органът е издал най-подробните насоки за AI от всяка централноевропейска DPA. През 2024 г. той е издал 38 решения за прилагане. Освен това е публикувал правила, изискващи DPIA за всяка AI система, обработваща лични данни. Тези правила надхвърлят базовото ниво на GDPR.
Правилата на NAIH за прилагане на AI
Повечето DPA в ЕС публикуват широки насоки за AI. Унгарската DPA е отишла по-далеч. Нейните насоки от 2024 г. са оперативно конкретни.
DPIAs се изискват за всички AI системи: Всяка AI система, работеща с лични данни, изисква DPIA преди внедряване. Регулаторът изисква това преди разгръщането. Това се прилага дори когато обработката не е "рискова" по смисъла на GDPR член 35. Това е по-строго от собствения рисково-базиран подход на GDPR.
Какво трябва да съдържа DPIA на NAIH:
- Техническо описание на входящите и изходящите данни на AI модела
- Доказателства, че данните за обучение са анонимизирани или са имали валидно правно основание
- Оценка на риска от алгоритмична дискриминация
- Стъпка за човешки преглед при автоматизирани решения
- График за съхранение и изтриване на данни, обработени от AI
Годишен преглед: Органът изисква актуализиране на DPIAs всяка година. Това се прилага, когато AI система се преобучава или претърпява значителна промяна.
Унгария е обработила над 890 000 заявки за данни по GDPR през 2024 г. Това е голям обем за страна с 10 милиона жители. Сигнализира за активно упражняване на права и реален натиск върху екипите за съответствие.
Пропастта в точността на NER
Прегледът на органа от 2024 г. е тествал NER модели върху унгарски текст. Те са показали само 67% точност. Средното за ЕС е 82%. Тази разлика от 15 точки има реални разходи за съответствие.
Унгарският е аглутинативен език. Той образува думи чрез много суфикси. Имена, адреси и идентификатори на унгарски изглеждат много по-различно от данните на английски или немски. Инструментите, обучени на тези езици, пропускат голяма част от личните данни на унгарски. Вижте нашето ръководство за многоезично засичане на PII за информация как тази пропаст влияе на съответствието с GDPR в различните езици.
Регулаторът е установил, че общите NLP инструменти пропускат TAJ-szam в 61% от документите. Вариациите на формата и липсата на поддръжка за контролна сума са основните причини.
Унгарски национални идентификатори
Екипите, обработващи документи в Унгария, трябва точно да засичат тези типове идентификатори. Вижте нашето ръководство за засичане на национални данъчни идентификатори в ЕС за контекст на пълното покритие в ЕС.
TAJ-szam (Tarsadalombiztositasi Azonosito Jel): 9-цифрен номер за социална сигурност. Появява се в здравни, социални и пенсионни досиета. Валидацията използва претеглена контролна сума, определена от органа за социално осигуряване.
Adoazonositо jel: 10-цифрен личен данъчен идентификатор. Форматът е 8-цифрена основа плюс 2 контролни цифри. Появява се в досиета за заплати, данъчни декларации и трудови договори.
Szemelyi igazolvany szam: Номерът на националната лична карта. Форматът и правилата за контролна цифра следват издаващия орган.
Utlevel szam: Номерът на паспорта. Форматът и контролната цифра също следват правилата, определени от издаващия орган.
Контекстът на Ugyfelkapu
Унгария управлява повечето обществени услуги чрез една платформа — Ugyfelkapu (Клиентски портал). Над 4 милиона граждани я използват за данъци, социални помощи, здравеопазване и лицензиране. Частните компании се свързват с Ugyfelkapu за заплати, социални помощи или проверки на самоличност. Те обработват същите идентификатори в регулиран контекст.
Органът е установил, че тези компании често използват международни PII инструменти. Повечето от тях нямат поддръжка за горните идентификатори. Това води до пропуснати данни и пряк риск за съответствието.
Застъпване с Закона за AI на ЕС
Унгария е рано включила правилата на Закона за AI в насоките на DPA. Позицията на регулатора е ясна.
Високорискови AI системи са изброени в Приложение III към Закона за AI. Те обхващат работни места, кредитен скоринг и основни услуги. Те изискват едновременно оценка на съответствието по Закона за AI и DPIA от NAIH.
Модели с общо предназначение, обработващи данни на лица в Унгария, също изискват DPIA от NAIH. Това се прилага дори когато моделът не е посочен като високорисков по Закона за AI.
За екипи, внедряващи AI в Унгария, основният контролен списък има три точки. Завършете DPIA от NAIH преди стартиране. Проверете дали вашият NER инструмент покрива горните субекти в унгарски текст. Потвърдете засичането на TAJ-szam и adoazonosito jel с валидация на контролна сума.