Adatvédelmi Szakmai Egyesület Adatvédelem Mesterséges intelligencia alkalmazásának adatvédelmi kérdései

Mesterséges intelligencia alkalmazásának adatvédelmi kérdései


A tényállásból kiderült, hogy a Budapest Bank („Bank”) 2017. óta használta az ügyfélszolgálati hívások elemzésére a külső fejlesztésű hanganalitikai szoftvert.

  • Érzelmek elemzése: a hatóság kifejezetten megtiltotta a Bank számára a hangelemzés során az érzelmek elemzését, és kiemelte, hogy mind a NAIH, mind pedig az Európai Adatvédelmi Testület álláspontja szerint a mesterséges intelligencia alapú érzelemelemzés adatvédelmi szempontból magas kockázatú és nemkivánatos tevékenység.
  • Mesterséges intelligencia alapú technológia használata: a döntésből kiderül, hogy a Hatóság jogi minősítése és a kiszabott bírság szempontjából is nagy jelentősége volt annak, hogy a szoftver mesterséges intelligencián alapuló technológiát használ az érzelemelemzéshez. Ezt a NAIH a Bank nyilatkozatai és a szoftverfejlesztő marketing- és termékre vonatkozó dokumentumai alapján állapította meg. Az nem derül ki a határozatból, hogy milyen mélységben vizsgálták meg, illetve támasztották alá azt, hogy valóban MI-alapú érzelemelemzés történik. Az eddigi megértés szerint az volt kiolvasható, hogy az MI technológiát nem az érzelemelemzése használja a szoftver, de a döntésből ennek az ellenkezője derül ki.
  • Profilozás: a hatóság az adott esetben megállapította, hogy „a rendszer lényegi funkcionalitásából adódóan” profilozásra kerül sor, mivel mind az ügyfelek, mind a munkavállalók személyes jellemzőinek (így pl. a munkavállalói teljesítmény, ügyfelek érzelmei) megfigyelésére és értékelésére is sor kerül. A profilozással járó adatkezelésekre szigorúbb követelmények alkalmazandók. A hatáság problémásnak látta, hogy a „Szoftver célja nem az egyes konkrét panaszok kezelése, a telefonon jelzett panasz kezelése a Szoftver működésétől függetlenül minden panasz esetében megtörténik valamilyen módon […]. A visszahívás célja nem a konkrét panasz kezelése, hanem az ügyfél konkrét panasz elviekben történő megoldásától függetlenül fennmaradó elégedetlenségének szűrése és kezelése”.
  • Jogalap: a bank jogalapként a jogos érdekre támaszkodott, azonban ezt nem támasztotta alá megfelelő érdekmérlegeléssel. Az nem látszik egyértelműen következni a döntésből, hogy az ilyen jellegű adatkezelést jogos érdek helyett hozzájárulásra kellene alapozni, és a jogos érdekre való támaszkodás eleve kizárt volna. Ugyanakkor az nagyon hangsúlyos a döntésben, hogy az érdekmérlegelésnek nem csak papíron, hanem az érintett érdekeinek valóságos és megfelelő figyelembevételével kel megtörténnie, a szükségességet és arányosságot alaposan vizsgálni kell és megfelelő garanciákkal kell ellensúlyozni az érintettek privátszférájába való beavatkozást. Minél nagyobb jelentőséget kap az adatkezelésben a profilozás (lásd előző pontot) annál nehezebben védhető a jogos érdekre mint jogalapra való támaszkodás.
  • Tiltakozás joga: a döntésben nagy hangsúllyal jelenik meg a tiltakozáshoz való jog. Az adatkezelés jellegére tekintettel különösen is jelentős a megfelelő tájékoztatáson alapuló tiltakozási jog biztosítása, sőt annak gyakorlásának elősegítése. A hatóság általánosságban azt is kijelentette, hogy „az ügyfélmegtartási célú telefonos agitáció az ügyfélszerzéshez hasonlóan marketing célnak minősül”, ezért az erősebb, objektív tiltakozási jog kapcsolódik hozzá, azaz tiltakozás esetén az adatkezelőnek további mérlegelés nélkül azonnal be kel fejeznie a szóban forgó adatkezelést.  
  • Tájékoztatás: a hatóság döntése visszatérően hangsúlyozza a tájékoztatás fontosságát és hogy az érintetteket olyan informáltsági helyzetbe kell hoznunk, hogy az adatkezelés részleteinek ismeretében tudjanak dönteni pl. a tiltakozási joguk gyakorlásáról. A tájékoztatásnak külön ki kell térnie a profilozás, illetve az MI-alapú adatkezelési műveletek és az azokon alapuló döntések és akciók részleteire.  
  • Hatásvizsgálat: erről kevés derült ki a döntésből azon túl, hogy az adott esetben a Bank nem kellő alapossággal végezte el a hatásvizsgálatot, illetve hogy a kockázati megállapításait nem követte megfelelő adatvédelmi intézkedés.

Mesterséges intelligencia alkalmazásának adatvédelmi kérdései