A NAIH 250 millió forintra büntetett egy bankot mesterséges intelligenciával megvalósított jogszerűtlen adatkezelés miatt

A Nemzeti Adatvédelmi és Információszabadág Hatóság (NAIH) határozata szerint egy kereskedelmi bank (Bank) hangelemző szoftvert alkalmazott telefonos ügyfélszolgálatán. A szoftver automatikusan elemezte az ügyfélszolgálaton rögzített telefonbeszélgetések hanganyagát mesterséges intelligencián alapuló hangelemző alkalmazás segítségével.

 

Mitől tekinthető a hangelemző szoftver mesterséges intelligencián alapulónak?

 

A magyar jogban (és a legtöbb jogrendszerben) nincs meghatározva a mesterséges intelligencia fogalma, ezért joggal merülhet fel a kérdés, hogy mikortól tekinthető egy számítógépes program mesterséges intelligenciának.

 

A mesterséges intelligencia a számítástudománynak az a területe, amely emberi intelligenciát igénylő feladatokat megoldó számítógépes programok készítésével foglalkozik. (Oxford számítástechnikai értelmező szótár)

 

Általánosan elfogadott álláspont, hogy mesterséges intelligenciáról akkor beszélhetünk, amikor számítógépes program nemcsak adatokat fogad, hanem fel is dolgozza azokat és reagál is rájuk. Ebbe beletartozik az is, hogy a mesterséges intelligencia – akárcsak az ember – képes tanulni, a környezetét érzékelni, illetve akár önálló döntéseket hozni és tervezni azon feladatok ellátása céljából, amik elvégzésére programozták. A mesterséges intelligenciát jellemzően arra használják, hogy utánozza, vagy lemásolja az emberi viselkedést.

 

Az Európai Parlament és a Tanács mesterséges intelligencia szabályozására vonatkozó rendelettervezete (MI rendelettervezet) szerint a mesterséges intelligencia „olyan szoftver, amelyet az ember által meghatározott célkitűzések adott csoportja tekintetében olyan kimeneteket, például tartalmat, előrejelzéseket, ajánlásokat vagy döntéseket képes generálni, amelyek befolyásolják azt a környezetet, amellyel kölcsönhatásba lépnek”.

 

A mesterséges intelligencia használatának jogi szempontú vizsgálatára tehát jellemzően akkor kerül sor, amikor kapcsolatba kerül az emberrel, és ezáltal valamilyen változást idéz elő az ember helyzetében, környezetében. A konkrét esetben a Bank kérés nélkül felhívta az ügyfeleit, illetve értékelte a munkavállalóit a telefonon folytatott beszélgetésük hangtónusának mesterséges intelligencia általi elemzésének eredménye alapján.

 

A határozat szerint a Bank által használt szoftver azonosította és kiértékelte az ügyfélszolgálati telefonbeszélgetések során elhangzott szavakat, a beszédstílusra alapozott érzelmeket és a hangulati állapotokat (dühös, elégedetlen, csalódott, bizonytalan, semleges vagy elégedett hangulat), az ügyfélkiszolgálás minőségét és a munkavállalók teljesítményét befolyásoló tényezőket (csend, zene, egymásra beszélés), továbbá a kifejezés alapú érzelmi-, és beszédkarakterisztikákat (beszédtempó, beszédminőség hanglejtés, artikuláltság).

 

Mire használta a Bank a szoftvert?

 

A Bank a kiértékelés eredményét arra használta, hogy

 

(i) eldöntse, hogy melyik ügyfelét és milyen sorrendben hívja vissza az elégedetlenség kezelése céljából; illetve

 

(ii) az ügyfélszolgálaton dolgozó munkavállalók teljesítményét monitorozza és értékelje, majd ez alapján a teljesítmény alapú bérezés mértékét megállapítsa (a Bank ügyfelei és munkavállalói együttesen: érintettek).

 

Látható tehát, hogy a Bank a mesterséges intelligencia általi elemzés/kiértékelés eredménye alapján döntött az érintettek körülményeiről, helyzetéről, vagyis a mesterséges intelligencia befolyásolta a környezetét, amellyel kölcsönhatásba lépett.

 

Miért tekintette a NAIH jogellenesnek a Bank adatkezelését?

 

A határozatban a NAIH idézi és elvi éllel fogadja el az Európai Adatvédelmi Testület és az Európai Adatvédelmi Biztos 5/2021. sz. közös véleményét, mely szerint a mesterséges intelligencia természetes személyek érzelmeinek levezetésére való felhasználása rendkívül nemkívánatos, és azt meg kell tiltani bizonyos jól meghatározott felhasználási esetek – nevezetesen az egészségügyi vagy kutatási célú felhasználás (például betegek, akiknek esetében fontos az érzelmek felismerése) – kivételével. Ilyen technológia alkalmazása csak megfelelő biztosítékok, érdemi mérlegelés és természetesen az összes többi adatvédelmi feltétel és korlátozás mellett lehetséges. Ennek figyelembevételével az alábbi hiányosságokat, jogsértéseket állapította meg.

 

1. Nem volt biztosítva az átláthatóság

 

Adatvédelmi jogi szempontból a mesterséges intelligencia használatának nagy kihívása az átláthatóság biztosításának a kérdése, hiszen annak működési elve általában nehezen átlátható és követhető.

 

A NAIH szerint éppen ezért különös figyelmet kell fordítani a GDPR által előírt átláthatósági feltételeknek való megfelelésre. Érdemes megemlíteni, hogy a már említett MI rendelettervezet is szigorú követelményeket fogalmaz meg az átláthatósági intézkedésekkel kapcsolatban.

 

A határozat alapjául szolgáló esteben a Bank által nyújtott tájékoztatás azért nem volt megfelelő, mert az adatkezelési tájékoztatása nem tartalmazta teljeskörűen a GDPR által meghatározott információkat. A szóbeli tájékoztatás egyáltalán nem terjedt ki arra, hogy a szoftver használatával az ügyfelek és a munkavállalók érzelmi reakciói értékelésére, egyfajta profilozásra kerül sor, amihez következmények is kapcsolódnak. A NAIH hiányosságnak tekintette azt is, hogy az adatkezelési tájékoztatóból hiányzott az adatkezelés céljainak teljeskörű és pontos meghatározása, körülírása és az adatkezelés pontos időtartama.

 

2. Korlátozott volt az érintetti jogok gyakorolhatósága

 

Alapelv, hogy az adatkezelő köteles elősegíteni az érintetti jogok gyakorlását. A jogos érdeken alapuló adatkezelések esetében a fokozott tájékoztatási elvárás érvényesül, ugyanis ezáltal lehet biztosítani, hogy az érintett észszerűen számíthasson az adatkezelésre.

 

Jelen esetben a telefonhívás kezdetekor a Bank nem adott tájékoztatást az adatkezelés tartalmáról, céljáról és az érintetteknek a tiltakozáshoz való jogáról sem. Ennek következtében az érintettek nem tudtak élni információs önrendelkezési jogukkal és dönteni arról, hogy az adatkezelést megkezdjék-e ebben a formában vagy tiltakozzanak az adatkezelés ellen.

 

3. Nem volt megfelelő érdekmérlegelés, így nem került alátámasztásra az adatkezelés jogalapja sem

 

A jogos érdek jogalapja akkor alkalmazható, ha az adatkezelő által elkészített érdekmérlegelésből megállítható, hogy érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget az adatkezelő érdekeivel szemben.

 

A NAIH álláspontja szerint a Bank érdekmérlegelése nem volt megfelelő, mert azt nem adatkezelési célonként készítette el és a Bank az arányosságot (vagyis az érintetti oldalt) ténylegesen nem vizsgálta, abból a garanciális érintetti jogok (tiltakozáshoz való jog) hiányoztak, abban további számos jogi kérdést nem azonosított, és ezáltal „az adatkezelés érdekmérlegeléssel nem volt ténylegesen alátámasztva, csak lepapírozva”.

 

A NAIH arra is utalt, hogy az érdekmérlegelés egyébként azért sem lett volna elfogadható, mert a hangelemző szoftver alacsony hatékonysága (az érzelem az esetek 91,96%-ban nem volt felismerhető) miatt nem alkalmas a kitűzött célok (ügyfélelégedetlenség kezelése, munkavállalók teljesítmény alapú bérezésének megállapítása) elérésére. Az adatkezelőknek tehát az adatkezelés megkezdése előtt az általuk használni kívánt technikai megoldás alkalmasságát is megfelelően vizsgálniuk kell.

 

Az adatkezelés csak akkor lehet jogszerű, ha annak megfelelő jogalapja van. A vizsgált ügyben a Bank az adatkezelések jogalapját a jogos érdekére alapította.

 

A NAIH álláspontja szerint a jogos érdek elfogadható jogalap lehetne a szóban forgó adatkezelésekre, ugyanakkor az érdemi érdekmérlegelés hiánya miatt a jogos érdek nem volt alátámasztható, ezért az, mint jogalap a konkrét esetben nem állhatott fenn.

 

Kiemeli a határozat, hogy az érdekmérlegelés elkészítése nem pusztán formális adminisztrációs feladat: ha annak tartalma nem megfelelő, az jogalap nélküli adatkezelést von maga után.

 

Szándékosság


A bírság mértékének meghatározása kapcsán a NAIH arra a figyelemre méltó körülményre is utalt, hogy „a nyilvánvaló tényekkel ellentétes, lepapírozott érdekmérlegelés és a kockázat alapú megközelítés elbagatellizálása a bank belső anyagaiban, szabályzataiban, érdekmérlegelésében, hatásvizsgálatában, a tájékoztatáshoz és a tiltakozáshoz való jog kiüresítése” szándékos jogszabálysértést támaszt alá. A NAIH a Bank szándékosságát súlyosbító körülményként értékelte a bírságkiszabás során.

Vissza a hírekhez