NAIH Madarsko: riadenie AI a pravidla DPA
Madarsky organ pre ochranu dat je NAIH -- Nemzeti Adatvedelmi es Informacioszabadsag Hatasag. Organ vydal najpodrobnejsie usmernenie k AI zo vsetkych DPA v strednej Europe. V roku 2024 vydal 38 vymozitelnych rozhodnutí. Zároveň zverejnil pravidlá, ktoré vyzadujú DPIA pre každý systém AI nakladajuci s osobnymi udajmi. Tieto pravidlá idú ďalej ako základna línia GDPR.
Pravidlá vymáhania AI zo strany NAIH
Vacšina DPA v EU vydáva siroke usmernenia k AI. Madarský DPA isiel dalej. Jeho usmernenie z roku 2024 je operacne konkrétne.
DPIA vyzadovane pre všetky systémy AI: Každý systém AI, ktory naklada s osobnymi udajmi, potrebuje najskôr DPIA. Regulator to vyzaduje pred nasadením. Platí to dokonca aj vtedy, ked spracovanie nie je "vysoko rizikové" podla GDPR Clanku 35. To je prísnejšie ako samotný prístup GDPR zalozený na riziku.
Co musi obsahovat DPIA podla NAIH:
- Technický opis datových vstupov a výstupov modelu AI
- Dôkaz, ze trénovacie dáta boli anonymizované alebo mali platný právny základ
- Posúdenie rizika algoritmickej diskriminácie
- Krok ludského preskúmania pri automatizovaných rozhodnutiach
- Plán uchovávania a vymazávania dát spracovaných AI
Rocné preskumanie: Úrad vyzaduje aktualizáciu DPIA každý rok. Platí to pri pretrénovaní alebo významnej zmene systému AI.
Madarsko vybavilo v roku 2024 viac ako 890 000 žiadostí o dáta podla GDPR. To je vysoký objem pre krajinu s 10 miliónmi obyvatelov. Signalizuje to aktívne využívanie práv a skutocný tlak na tímy suladnosti.
Medzera v presnosti NER
Preskúmanie úradu z roku 2024 testovalo modely NER na madarskom texte. Dosiahli len 67 % presnosť. Priemer EU je 82 %. Tento 15-bodový rozdiel má skutocné náklady na suladnosť.
Madarčina je aglutinacný jazyk. Slová stavá prostredníctvom mnohých prípon. Mená, adresy a identifikátory v madarcine vyzerajú vel'mi inak ako dáta v anglictine alebo nemcine. Nástroje trénované na tychto jazykoch prehliadajú velkú cast osobných údajov v madarcine. Pozri nasu príručku o viacjazyčnej detekcii PII o tom, ako táto medzera ovplyvnuje sulad s GDPR v rôznych jazykoch.
Regulator zistil, ze genericke nástroje NLP prehliadajú TAJ-szám v 61 % dokumentov. Hlavnými prícinami sú variácia formátu a chýbajuca podpora kontrolného suctu.
Maďarské národné identifikátory
Tímy spracuvajúce dokumenty v Maďarsku musia presne detegovať tieto typy identifikátorov. Kontext úplného pokrytia EU nájdete v nasej príručke o detekcii národných danových identifikátorov v EU.
TAJ-szám (Tarsadalombiztositasi Azonosito Jel): 9-miestne cislo socialneho poistenia. Objavuje sa v zdravotnych, davkovych a dochodkových zaznamoch. Overovanie pouziva vazeny kontrolný súcet stanovený orgánom socialného poistenia.
Adoazonositó jel: 10-miestny osobný danový identifikátor. Formát je 8-miestny základ plus 2 kontrolné cifry. Objavuje sa v mzdových, danových súboroch a pracovných zmluvách.
Szemelyí igazolvány cislo: Cislo národného obcianskeho preukazu. Formát a pravidlá kontrolných cifric sa riadia vydávajúcim orgánom.
Útlevél szám: Cislo pasu. Formát a kontrolná cifra sa tiez riadia pravidlami vydávajúceho orgánu.
Kontext Ugyfelkapu
Madarsko prevádzkuje väcšinu verejných sluzieb prostredníctvom jednej platformy -- Ugyfelkapu (Klientska brána). Viac ako 4 milióny obcanov ju pouzíva pre dane, dávky, zdravotníctvo a licencie. Súkromné firmy sa pripájajú k Ugyfelkapu pre mzdy, dávky alebo overovanie totoznoti. Tieto firmy spracuvajú rovnaké identifikátory v regulovanom kontexte.
Úrad zistil, ze tieto firmy casto pouzívajú medzinarodné nástroje PII. Väcšina tychto nástrojov nemá podporu pre identifikátory uvedené vyššie. To vedie k prehliadnutým dátam a priamemu riziku nesuladnosti.
Súvis s AI Act EU
Madarsko bolo medzi prvymi, ktoré zaradilo pravidlá AI Act do usmernenia DPA. Postoj regulátora je jasný.
Vysoko rizikové systémy AI sú vymenované v Prílohe III AI Act. Pokryvajú pracovné miesta, kreditné skórovanie a základné sluzby. Vyzadujú posúdenie zhody podla AI Act aj DPIA zo strany NAIH.
Modely AI vseobecného použitia, ktore spracuvajú dáta osôb v Madarsku, taktiez potrebujú DPIA od NAIH. Platí to dokonca aj vtedy, ked model nie je v zozname vysoko rizikových podla AI Act.
Pre tímy nasadzujuce AI v Madarsku má základný kontrolný zoznam tri polozky. Dokoncit DPIA podla NAIH pred spustením. Overit, ze váš nástroj NER pokrýva vyššie uvedené entity v madarskom texte. Potvrdit detekciu TAJ-szám a adóazonosító jel s overovaním kontrolného suctu.