NAIH Ungaria: guvernanța AI și regulile DPA
Autoritatea pentru date din Ungaria este NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság. Autoritatea a emis cele mai detaliate orientări privind AI dintre toate APD-urile din Europa Centrală. În 2024, a emis 38 de decizii de aplicare. A publicat și reguli care impun un DPIA pentru fiecare sistem AI care gestionează date personale. Aceste reguli depășesc pragul de bază din GDPR.
Regulile de aplicare AI ale NAIH
Majoritatea APD-urilor din UE publică orientări largi privind AI. APD din Ungaria a mers mai departe. Orientările sale din 2024 sunt specifice din punct de vedere operațional.
DPIA obligatoriu pentru toate sistemele AI: Orice sistem AI care atinge date personale necesită un DPIA în prealabil. Autoritatea impune aceasta înainte de implementare. Aceasta se aplică chiar și atunci când procesarea nu este „cu risc ridicat” conform Articolului 35 din GDPR. Aceasta este mai strictă decât abordarea bazată pe risc a GDPR însuși.
Ce trebuie să includă un DPIA NAIH:
- O descriere tehnică a intrărilor și ieșirilor de date ale modelului AI
- Dovezi că datele de antrenament au fost anonimizate sau au avut un temei juridic valid
- O evaluare a riscului de discriminare algoritmică
- O etapă de revizuire umană pentru deciziile automatizate
- Un calendar de retenție și ștergere pentru datele procesate de AI
Revizuire anuală: Autoritatea impune actualizarea DPIA în fiecare an. Aceasta se aplică atunci când un sistem AI este reantrenant sau modificat semnificativ.
Ungaria a gestionat peste 890.000 de cereri de date GDPR în 2024. Acesta este un volum mare pentru o țară de 10 milioane de locuitori. Semnalează o utilizare activă a drepturilor și o presiune reală asupra echipelor de conformitate.
Lacuna de acuratețe NER
Revizuirea autorității din 2024 a testat modelele NER pe text în maghiară. Acestea au obținut o acuratețe de doar 67%. Media UE este de 82%. Această diferență de 15 puncte are costuri reale de conformitate.
Maghiara este o limbă aglutinantă. Construiește cuvinte prin numeroase sufixe. Numele, adresele și ID-urile în maghiară arată foarte diferit față de datele din engleză sau germană. Instrumentele antrenate pe acele limbi ratează o parte semnificativă a datelor personale din textul maghiar. Consultați ghidul nostru privind detectarea PII multilingv pentru modul în care această lacună afectează conformitatea GDPR în mai multe limbi.
Autoritatea a constatat că instrumentele NLP generice ratează TAJ-szám în 61% din documente. Variația de format și lipsa suportului pentru suma de control sunt cauzele principale.
Identificatori naționali ungari
Echipele care procesează documente în Ungaria trebuie să detecteze cu acuratețe aceste tipuri de ID-uri. Consultați ghidul nostru privind detectarea ID-urilor fiscale naționale din UE pentru contextul acoperirii complete în UE.
TAJ-szám (Társadalombiztosítási Azonosító Jel): Un număr de securitate socială din 9 cifre. Apare în dosarele de sănătate, beneficii și pensii. Validarea utilizează o sumă de control ponderată stabilită de autoritatea de asigurări sociale.
Adóazonosító jel: Un ID fiscal personal din 10 cifre. Formatul este un nucleu de 8 cifre plus 2 cifre de control. Apare în salarizare, declarații fiscale și contracte de muncă.
Numărul személyi igazolvány: Numărul cărții de identitate naționale. Formatul și regulile cifrei de control urmează autoritatea emitentă.
Útlevél szám: Numărul pașaportului. Formatul și cifra de control urmează de asemenea regulile stabilite de autoritatea emitentă.
Contextul Ügyfélkapu
Ungaria derulează majoritatea serviciilor publice prin o singură platformă — Ügyfélkapu (Portalul clienților). Peste 4 milioane de cetățeni o folosesc pentru impozite, beneficii, sănătate și licențiere. Firmele private se conectează la Ügyfélkapu pentru salarizare, beneficii sau verificări de identitate. Acele firme procesează aceiași identificatori într-un context reglementat.
Autoritatea a constatat că aceste firme utilizează adesea instrumente internaționale PII. Majoritatea acelor instrumente nu au suport pentru identificatorii de mai sus. Aceasta duce la date omise și risc direct de conformitate.
Suprapunerea cu Regulamentul UE privind AI
Ungaria a fost printre primele care a integrat regulile Actului AI în orientările APD. Poziția autorității este clară.
Sistemele AI cu risc ridicat sunt enumerate în Anexa III a Actului AI. Acestea acoperă locurile de muncă, scoring-ul de credit și serviciile esențiale. Necesită atât evaluarea conformității conform Actului AI, cât și un DPIA NAIH.
Modelele AI de uz general care procesează date ale persoanelor din Ungaria necesită de asemenea un DPIA NAIH. Aceasta se aplică chiar și atunci când modelul nu este catalogat ca risc ridicat conform Actului AI.
Pentru echipele care implementează AI în Ungaria, lista de verificare de bază are trei elemente. Finalizați un DPIA NAIH înainte de lansare. Verificați că instrumentul NER acoperă entitățile de mai sus în textul maghiar. Confirmați detectarea TAJ-szám și adóazonosító jel cu validarea sumei de control.