Unkarin Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) on antanut tiukimmat ohjeet tekoälyjärjestelmien tietosuojavaatimuksista kaikista Keski-Euroopan tietosuojaviranomaisista. Vuonna 2024 NAIH antoi 38 täytäntöönpano päätöstä ja julkaisi yksityiskohtaiset tekoälyohjeet, jotka vaativat nimenomaista tietosuojan vaikutusten arviointia (DPIA) kaikilta tekoälyjärjestelmiltä, jotka käsittelevät henkilötietoja — laajempi vaatimus kuin GDPR:n perusvaatimus.
NAIH:n tekoälyyn perustuva täytäntöönpano
Kun useimmat EU:n tietosuojaviranomaiset ovat antaneet yleisiä ohjeita tekoälystä ja GDPR:stä, NAIH:n vuoden 2024 ohjeet ovat operatiivisesti tarkkoja:
DPIA pakollinen kaikille tekoälyjärjestelmille, jotka käsittelevät henkilötietoja: NAIH vaatii, että ennen minkään tekoälyjärjestelmän käyttöönottoa, joka käsittelee henkilötietoja, on suoritettava valmis DPIA — riippumatta siitä, olisiko käsittely "korkean riskin" GDPR:n yleisen DPIA-vaatimuksen mukaan. Tämä on vaativampaa kuin GDPR:n artiklan 35 riskiperusteinen lähestymistapa.
DPIA:n laajuusvaatimukset: NAIH:n malli DPIA tekoälyjärjestelmille on sisällettävä:
- Tekninen kuvaus tekoälymallin tietosyötteistä ja -tuotteista
- Todiste siitä, että koulutusdata oli joko aidosti anonymisoitu tai käsitelty tietyn oikeudellisen perusteet mukaan
- Arvio algoritmisesta syrjintäriskistä
- Ihmisen tarkistusmekanismi automatisoiduille päätöksille
- Tietojen säilyttämis- ja poistamisaikataulu tekoälyn käsittelemille tiedoille
Vuosittainen uudelleenarviointi: NAIH vaatii, että DPIA:ta päivitetään vuosittain, kun tekoälyjärjestelmiä koulutetaan uudelleen tai merkittävästi muutetaan.
Unkari käsitteli yli 890 000 GDPR-tietosuoja pyyntöä vuonna 2024 — merkittävä määrä 10 miljoonan asukkaan maassa, mikä osoittaa aktiivista oikeuksien käyttöä ja luo toiminnallisia vaatimuksia vaatimustenmukaisuudelle.
Unkarin NER-tarkkuusongelma
NAIH:n vuoden 2024 tekninen arviointi havaitsi unkarinkielisen NER-mallin tarkkuuden olevan 67 % — merkittävästi alle EU:n keskiarvon 82 %. Tämä ero vaikuttaa käytännön täytäntöönpanoon: organisaatiot, jotka käsittelevät unkarilaisia henkilötietoja englanninkielisillä tai saksankielisillä NLP-työkaluilla, tekevät järjestelmällisiä havaitsemisvirheitä.
Unkari on morfologisesti monimutkainen (agglutinoiva kieli, jossa on laaja suffiksien käyttö), mikä luo erityisiä haasteita NLP-malleille, jotka on koulutettu analyyttisiin kieliin kuten englantiin. Nimet, osoitteet ja tunnisteet, jotka on upotettu unkarinkieliseen proosaan, vaativat malleja, jotka on koulutettu unkarinkielisestä tekstistä, saavuttaakseen riittävän havaitsemistarkkuuden.
Unkarin kansalliset tunnisteet
TAJ-szám (Társadalombiztosítási Azonosító Jel): 9-numeroinen sosiaaliturvatunnus. Käytetään kaikissa terveys-, sosiaalietu- ja eläketiedoissa. Vahvistus käyttää painotettua tarkistusluku algoritmia, joka on määritelty Unkarin sosiaalivakuutusviranomaisen standardeissa.
Adóazonosító jel: 10-numeroinen verotunnus yksityishenkilöille. Muoto: 8-numeroista ydintä + 2 tarkistusnumeroa. Esiintyy työsopimuksissa, verotuksessa, palkkalistoissa ja rahoituspalveludokumenteissa.
Személyi igazolvány number: Unkarin kansallinen henkilökorttinumero. Muoto ja tarkistusnumerorakenne ovat erityisiä Unkarin myöntämiskäytännöille.
Útlevél szám: Unkarin passinumero. Muoto on erityinen Unkarin myöntämiselle, ja siinä on tarkistusnumero.
NAIH:n tekninen arviointi havaitsi, että yleiset NLP-työkalut jättävät TAJ-szám:n huomiotta 61 %:ssa asiakirjoista johtuen muotoeroista ja vahvistettujen tarkistusluku algoritmien puutteesta.
Unkarin hallituksen digitalisaation vaatimustenmukaisuus
Unkarin hallituksen digitalisaatio-ohjelma — julkisten palveluiden yhdistäminen Ügyfélkapu (asiakaspalveluportaalin) alustalle — luo merkittäviä vaatimustenmukaisuusvaatimuksia. Alusta käsittelee henkilötietoja yli 4 miljoonalta rekisteröidyltä unkarilaiselta kansalaiselta verotuksen, sosiaalipalveluiden, terveydenhuollon ja lupien osalta.
Yksityisen sektorin organisaatiot, jotka integroituvat Ügyfélkapu:un (työntekijöiden etujen hallinta, verotuksen palvelut tai henkilöllisyyden vahvistaminen) käsittelevät unkarilaisia kansallisia tunnisteita säännellyissä konteksteissa. NAIH on todennut, että yksityisen sektorin integraattorit käyttävät usein kansainvälisiä PII-työkaluja ilman unkarilaiskohtaisia tunnisteita — luoden järjestelmällisiä vaatimustenmukaisuuden aukkoja.
Tekoälylainsäädännön vaikutukset
Unkari on yksi ensimmäisistä EU:n jäsenvaltioista, jotka käsittelevät EU:n tekoälylainsäädännön täytäntöönpanoa viranomaisohjeissaan. NAIH:n kanta:
Korkean riskin tekoälyjärjestelmät (kuten EU:n tekoälylainsäädännön liitteessä III määritellään — mukaan lukien tekoäly työllistämisessä, luottopisteytyksessä ja välttämättömissä palveluissa) vaativat sekä tekoälylainsäädännön vaatimustenmukaisuuden arvioinnin että NAIH:n parannettua DPIA:ta.
Yleiskäyttöiset tekoälymallit, joita käytetään unkarilaisten henkilötietojen käsittelyyn, vaativat NAIH:n DPIA:n, vaikka niitä ei yksilökohtaisesti luokitella korkean riskin mukaisiksi tekoälylainsäädännön mukaan.
Organisaatioille, jotka käyttävät tekoälyjärjestelmiä Unkarissa, käytännön vaatimustenmukaisuusvaatimus on: NAIH:n DPIA ennen käyttöönottoa, unkarinkielinen NER-tuki henkilötietojen havaitsemiseksi asiakirjoissa, ja TAJ-szám/adóazonosító jel -tunnisteiden havaitseminen tarkistusluku vahvistuksella.
Lähteet: