Súlyos adatvédelmi jogsértés egy magyar banknál


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH 250 millió forint bírságot szabott ki egy bankra, mert az ügyfélszolgálat nem tájékoztatta megfelelően az érintetteket arról, hogy a hívások során mesterséges intelligencia elemzi a telefonálók érzelmi állapotát.

Az alapügy

Egy eljárás során a NAIH tudomására jutott, hogy az adatkezelő automatizált elemzést végez az ügyfélszolgálati telefonhívásokon. Tekintettel arra, hogy erről az adatkezelésről az érintetteket nem tájékoztatták egyértelműen, ezért a NAIH 2021-ben hivatalból vizsgálatot indított az adatkezelő ellen az adatkezelő automatizált elemzésre vonatkozó általános adatkezelési gyakorlatának felülvizsgálata érdekében.

A NAIH megállapításai

A NAIH feltárta, hogy az adatkezelő minden ügyfélszolgálati telefonhívást rögzít. Minden este egy szoftver automatikusan elemzi az összes új hangfelvételt. A szoftver mesterséges intelligencia segítségével keresi a kulcsszavakat, és vizsgálja, hogy az ügyfél a hívás időpontjában milyen érzelmi állapotban volt. Az elemzés eredményét a telefonhíváshoz kapcsolódóan a szoftver rendszerében 45 napig tárolják a hanghívással együtt. Az elemzés eredménye alapján a szoftver kiválogatja azokat, akik valószínűleg elégedetlenek, vagy dühösek voltak.

GDPR

Az elemzés eredménye alapján a kijelölt munkatársak megjelölik azokat az ügyfeleket, akiket az ügyfélszolgálat felhív, hogy felmérje elégedetlenségük okait. Erről a konkrét adatkezelésről az érintettek tájékoztatást nem kaptak, tiltakozási jog technikailag nem lehetséges, az adatkezelést ennek tudatában tervezték és folytatták. Az adatkezelő hatásvizsgálata is megerősítette, hogy a felülvizsgált adatkezelés mesterséges intelligenciát használ, és magas kockázatot jelent az érintettek alapvető jogaira nézve. Azonban sem a hatásvizsgálat, sem a jogos érdek vizsgálata nem adott tényleges kockázatmérséklést, a csak papíralapú intézkedések (tájékoztatás, kifogásolás) pedig elégtelenek.

A mesterséges intelligenciát természeténél fogva nehéz átlátható és biztonságos módon alkalmazni, további biztosítékokra van ezért szükség. Belső működése miatt a személyes adatok mesterséges intelligencia általi kezelésének eredményeit nehéz megerősíteni, illetve az MI elfogult is lehet.

A fentiekre tekintettel a NAIH a GDPR számos cikkének súlyos megsértését állapította meg, amely huzamosabb időn keresztül fennált, ezért kötelezte az adatkezelőt, hogy hagyjon fel az ügyfelek érzelmi állapotának mint személyes adatnak a kezelésével, csak akkor folytassa az adatkezelést, ha az megfelel a GDPR-nak, valamint 250.000.000,- Ft adatvédelmi bírságot szabott ki az adatkezelőre.

(edpb.europa.eu)




Kapcsolódó cikkek

2023. szeptember 27.

„A Praetor jóval több, mint egy ügyvédi ügykezelő rendszer”

Biztos voltam abban, hogy meg lehet könnyíteni az ügyvédek mindennapi adminisztrációját és az ügyek egy programban történő kezelését – mondja Martin Kašpar a Praetor Systems társalapítója, aki dolgozott ügyvédként, jelenleg pedig a Wolters Kluwer ČR, a.s. üzletfejlesztési vezetője.