Унгарският Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) издаде най-препоръчителните насоки относно изискванията за защита на данните на системите за изкуствен интелект сред всички централноевропейски DPA. През 2024 г. NAIH издаде 38 решения за изпълнение и публикува подробни насоки за AI, изискващи изрични оценки на въздействието върху защитата на данните за всяка AI система, която обработва лични данни — по-широко изискване от базовата линия на GDPR.
NAIH's AI-First Enforcement Approach
Когато повечето DPA на ЕС са издали общи насоки относно AI и GDPR, насоките на NAIH за 2024 г. са специфични за операцията:
**DPIA е задължителен за всички AI системи, обработващи лични данни: ** NAIH изисква попълнен DPIA преди внедряването на която и да е AI система, която обработва лични данни — независимо дали обработката би била „високорискова“ съгласно общото изискване на DPIA на GDPR. Това е по-взискателно от основания на риска подход на GDPR член 35.
Изисквания за обхвата на DPIA: Моделът DPIA на NAIH за AI системи трябва да включва:
- Техническо описание на входните и изходните данни на AI модела
- Доказателство, че данните от обучението са били или наистина анонимизирани, или обработени съгласно конкретно правно основание
- Оценка на риска от алгоритмична дискриминация
- Механизъм за човешки преглед за автоматизирани решения
- График за задържане и изтриване на данни, обработени с AI
Годишна повторна оценка: NAIH изисква DPIAs да се актуализират ежегодно, когато системите за изкуствен интелект се преобучават или значително модифицират.
Унгария е обработила 890 000+ GDPR заявки на субекти на данни през 2024 г. — значителен обем за страна с население от 10 милиона, което показва активно упражняване на права и създава изисквания за оперативно съответствие.
Пропускът в точността на унгарския NER
Техническата оценка на NAIH от 2024 г. установи, че точността на NER модела на унгарски език е 67% — значително под средната стойност за ЕС от 82%. Тази празнина има практически последици за правоприлагането: организациите, обработващи унгарски лични данни с английски или немски инструменти NLP, допускат систематични грешки при откриване.
Унгарският е морфологично сложен (аглутинативен език с екстензивна суфиксация), което създава специфични предизвикателства за моделите NLP, обучени на аналитични езици като английския. Имената, адресите и идентификаторите, вградени в унгарската проза, изискват модели, обучени върху текст на унгарски език, за да се постигне адекватна точност на откриване.
Унгарски национални идентификатори
TAJ-szám (Társadalombiztosítási Azonosító Jel): 9-цифрен социалноосигурителен идентификационен номер. Използва се във всички здравни, социални и пенсионни досиета. Валидирането използва алгоритъм за претеглена контролна сума, определен от стандартите на унгарския орган за социално осигуряване.
Adóazonosító jel: 10-цифрен данъчен идентификационен номер за физически лица. Формат: 8-цифрено ядро + 2 контролни цифри. Появява се в трудови договори, данъчни декларации, ведомости за заплати и документи за финансови услуги.
Személyi igazolvány number: Номер на унгарската национална лична карта. Формат и структура на контролните цифри, специфични за унгарските конвенции за издаване.
Útlevél szám: Номер на унгарски паспорт. Формат, специфичен за унгарското издаване, с контролна цифра.
Техническата оценка на NAIH установи, че общите инструменти на NLP пропускат TAJ-szám в 61% от документите поради вариация на формата и липсата на валидирани алгоритми за контролна сума.
Правителството на Унгария за спазване на изискванията за цифровизация
Правителствената програма за цифровизация на Унгария — консолидиране на обществени услуги в платформата Ügyfélkapu (Клиентски портал) — създава значителни изисквания за съответствие. Платформата обработва лични данни за 4+ милиона регистрирани унгарски граждани в областта на данъците, социалните услуги, здравеопазването и лицензирането.
Организациите от частния сектор, които се интегрират с Ügyfélkapu (за управление на доходите на служителите, услуги за подаване на данъчни документи или проверка на самоличността), обработват унгарски национални идентификатори в регулиран контекст. NAIH установи, че интеграторите от частния сектор често внедряват международни инструменти за PII без поддръжка на специфичен за Унгария идентификатор — създавайки системни пропуски в съответствието.
Последици от AI Act
Унгария е сред първите държави-членки на ЕС, които официално разглеждат прилагането на Закона за ИИ на ЕС в своите насоки за DPA. Позиция на NAIH:
Високорискови системи за изкуствен интелект (както е определено в приложение III към Закона за изкуствен интелект на ЕС — включително изкуствен интелект при наемане на работа, кредитен рейтинг и основни услуги) изискват както оценка на съответствието със Закона за изкуствен интелект, така и подобрения DPIA на NAIH.
Моделите на AI с общо предназначение, използвани за обработка на лични данни на унгарски граждани, изискват NAIH DPIA дори когато не са индивидуално класифицирани като високорискови съгласно Закона за AI.
За организации, внедряващи AI системи в Унгария, практическото изискване за съответствие е: NAIH DPIA преди внедряване, поддръжка на NER на унгарски език за откриване на лични данни в документи и откриване на TAJ-szám/adóazonosító jel с проверка на контролна сума.
Източници: