Súlyos adatvédelmi jogsértés egy magyar banknál


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH 250 millió forint bírságot szabott ki egy bankra, mert az ügyfélszolgálat nem tájékoztatta megfelelően az érintetteket arról, hogy a hívások során mesterséges intelligencia elemzi a telefonálók érzelmi állapotát.

Az alapügy

Egy eljárás során a NAIH tudomására jutott, hogy az adatkezelő automatizált elemzést végez az ügyfélszolgálati telefonhívásokon. Tekintettel arra, hogy erről az adatkezelésről az érintetteket nem tájékoztatták egyértelműen, ezért a NAIH 2021-ben hivatalból vizsgálatot indított az adatkezelő ellen az adatkezelő automatizált elemzésre vonatkozó általános adatkezelési gyakorlatának felülvizsgálata érdekében.

A NAIH megállapításai

A NAIH feltárta, hogy az adatkezelő minden ügyfélszolgálati telefonhívást rögzít. Minden este egy szoftver automatikusan elemzi az összes új hangfelvételt. A szoftver mesterséges intelligencia segítségével keresi a kulcsszavakat, és vizsgálja, hogy az ügyfél a hívás időpontjában milyen érzelmi állapotban volt. Az elemzés eredményét a telefonhíváshoz kapcsolódóan a szoftver rendszerében 45 napig tárolják a hanghívással együtt. Az elemzés eredménye alapján a szoftver kiválogatja azokat, akik valószínűleg elégedetlenek, vagy dühösek voltak.

GDPR

Az elemzés eredménye alapján a kijelölt munkatársak megjelölik azokat az ügyfeleket, akiket az ügyfélszolgálat felhív, hogy felmérje elégedetlenségük okait. Erről a konkrét adatkezelésről az érintettek tájékoztatást nem kaptak, tiltakozási jog technikailag nem lehetséges, az adatkezelést ennek tudatában tervezték és folytatták. Az adatkezelő hatásvizsgálata is megerősítette, hogy a felülvizsgált adatkezelés mesterséges intelligenciát használ, és magas kockázatot jelent az érintettek alapvető jogaira nézve. Azonban sem a hatásvizsgálat, sem a jogos érdek vizsgálata nem adott tényleges kockázatmérséklést, a csak papíralapú intézkedések (tájékoztatás, kifogásolás) pedig elégtelenek.

A mesterséges intelligenciát természeténél fogva nehéz átlátható és biztonságos módon alkalmazni, további biztosítékokra van ezért szükség. Belső működése miatt a személyes adatok mesterséges intelligencia általi kezelésének eredményeit nehéz megerősíteni, illetve az MI elfogult is lehet.

A fentiekre tekintettel a NAIH a GDPR számos cikkének súlyos megsértését állapította meg, amely huzamosabb időn keresztül fennált, ezért kötelezte az adatkezelőt, hogy hagyjon fel az ügyfelek érzelmi állapotának mint személyes adatnak a kezelésével, csak akkor folytassa az adatkezelést, ha az megfelel a GDPR-nak, valamint 250.000.000,- Ft adatvédelmi bírságot szabott ki az adatkezelőre.

(edpb.europa.eu)




Kapcsolódó cikkek