NAIH Węgry: Zarządzanie AI i Zasady Organu Ochrony Danych
Węgierski organ ochrony danych to NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság. Wydał on najbardziej szczegółowe wytyczne dotyczące AI spośród wszystkich organów ochrony danych w Europie Środkowej. W 2024 roku wydał 38 decyzji egzekucyjnych. Opublikował również przepisy wymagające przeprowadzenia DPIA dla każdego systemu AI przetwarzającego dane osobowe. Przepisy te wykraczają poza wymogi bazowe RODO.
Zasady Egzekucji AI przez NAIH
Większość unijnych organów ochrony danych publikuje ogólne wytyczne dotyczące AI. Węgierski organ poszedł dalej. Jego wytyczne z 2024 roku mają operacyjny charakter.
DPIA wymagane dla wszystkich systemów AI: Każdy system AI przetwarzający dane osobowe wymaga uprzedniego przeprowadzenia DPIA. Organ wymaga tego przed wdrożeniem. Obowiązek ten dotyczy nawet przypadków, gdy przetwarzanie nie jest „wysokiego ryzyka” w rozumieniu art. 35 RODO. To podejście jest surowsze niż oparty na ryzyku model samego RODO.
Co musi zawierać DPIA według NAIH:
- Techniczny opis danych wejściowych i wyjściowych modelu AI
- Dowód, że dane treningowe zostały zanonimizowane lub miały ważną podstawę prawną
- Ocenę ryzyka dyskryminacji algorytmicznej
- Etap weryfikacji przez człowieka dla zautomatyzowanych decyzji
- Harmonogram przechowywania i usuwania danych przetworzonych przez AI
Coroczny przegląd: Organ wymaga aktualizacji DPIA każdego roku. Obowiązek ten powstaje w przypadku ponownego trenowania systemu AI lub jego istotnej zmiany.
Węgry obsłużyły ponad 890 000 wniosków wynikających z RODO w 2024 roku. To duża liczba jak na kraj liczący 10 milionów mieszkańców. Świadczy o aktywnym korzystaniu z praw podmiotów danych i realnej presji na zespoły compliance.
Luka w Dokładności NER
Przegląd organu z 2024 roku obejmował testy modeli NER na tekstach w języku węgierskim. Osiągnęły one zaledwie 67% dokładności. Średnia unijna wynosi 82%. Ta 15-punktowa różnica generuje realne koszty compliance.
Język węgierski jest językiem aglutynacyjnym — słowa tworzone są przez nakładanie kolejnych sufiksów. Imiona, adresy i identyfikatory w języku węgierskim wyglądają zupełnie inaczej niż dane w języku angielskim czy niemieckim. Narzędzia trenowane na tych językach pomijają znaczną część danych osobowych w tekstach węgierskich. Zapoznaj się z naszym przewodnikiem po wielojęzycznym wykrywaniu danych osobowych, aby dowiedzieć się, jak ta luka wpływa na zgodność z RODO w różnych językach.
Organ stwierdził, że ogólne narzędzia NLP pomijają numer TAJ-szám w 61% dokumentów. Głównymi przyczynami są zmienność formatu oraz brak obsługi sumy kontrolnej.
Węgierskie Krajowe Identyfikatory
Zespoły przetwarzające dokumenty na Węgrzech muszą precyzyjnie wykrywać następujące typy identyfikatorów. Zapoznaj się z naszym przewodnikiem po wykrywaniu unijnych krajowych numerów podatkowych, aby uzyskać pełen kontekst dla całej UE.
TAJ-szám (Társadalombiztosítási Azonosító Jel): 9-cyfrowy numer ubezpieczenia społecznego. Występuje w dokumentach dotyczących zdrowia, świadczeń i emerytur. Walidacja opiera się na ważonej sumie kontrolnej ustalonej przez organ ubezpieczeń społecznych.
Adóazonosító jel: 10-cyfrowy osobisty numer identyfikacji podatkowej. Format obejmuje 8-cyfrowy rdzeń i 2 cyfry kontrolne. Pojawia się w listach płac, zeznaniach podatkowych i umowach o pracę.
Numer személyi igazolvány: Numer dowodu osobistego. Format i zasady weryfikacji sumy kontrolnej określa organ wydający.
Útlevél szám: Numer paszportu. Format i suma kontrolna również podlegają zasadom organu wydającego.
Kontekst Platformy Ügyfélkapu
Węgry obsługują większość usług publicznych za pośrednictwem jednej platformy — Ügyfélkapu (Brama Klienta). Ponad 4 miliony obywateli korzysta z niej w sprawach podatkowych, świadczeń, opieki zdrowotnej i licencji. Prywatne firmy łączą się z Ügyfélkapu w celu obsługi płac, świadczeń lub weryfikacji tożsamości. Firmy te przetwarzają te same identyfikatory w regulowanym kontekście.
Organ stwierdził, że firmy te często stosują międzynarodowe narzędzia do ochrony danych osobowych. Większość tych narzędzi nie obsługuje wymienionych wyżej identyfikatorów. Prowadzi to do pomijania danych i bezpośredniego ryzyka naruszenia przepisów.
Nakładanie się z Aktem o AI UE
Węgry wcześnie włączyły przepisy Aktu o AI do wytycznych organu ochrony danych. Stanowisko regulatora jest jednoznaczne.
Systemy AI wysokiego ryzyka wymienione są w Załączniku III do Aktu o AI. Obejmują obszary zatrudnienia, oceny zdolności kredytowej i usług podstawowych. Wymagają zarówno oceny zgodności z Aktem o AI, jak i przeprowadzenia DPIA przez NAIH.
Modele AI ogólnego przeznaczenia przetwarzające dane osób przebywających na Węgrzech również wymagają DPIA NAIH. Wymóg ten obowiązuje nawet wtedy, gdy model nie jest klasyfikowany jako wysokiego ryzyka w rozumieniu Aktu o AI.
Dla zespołów wdrażających AI na Węgrzech podstawowa lista kontrolna obejmuje trzy punkty: Przeprowadź DPIA NAIH przed wdrożeniem. Zweryfikuj, czy Twoje narzędzie NER rozpoznaje wymienione wyżej encje w tekstach węgierskich. Potwierdź wykrywanie numerów TAJ-szám i adóazonosító jel z walidacją sumy kontrolnej.