Jogszabályfigyelő 2024 – 19. hét
Alábbi cikkünkben a 2024/50–53. számú Magyar Közlönyben megjelent szakmai újdonságok közül válogattunk.
Súlyos adatvédelmi jogsértés egy magyar banknál
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A NAIH 250 millió forint bírságot szabott ki egy bankra, mert az ügyfélszolgálat nem tájékoztatta megfelelően az érintetteket arról, hogy a hívások során mesterséges intelligencia elemzi a telefonálók érzelmi állapotát.
Az alapügy
Egy eljárás során a NAIH tudomására jutott, hogy az adatkezelő automatizált elemzést végez az ügyfélszolgálati telefonhívásokon. Tekintettel arra, hogy erről az adatkezelésről az érintetteket nem tájékoztatták egyértelműen, ezért a NAIH 2021-ben hivatalból vizsgálatot indított az adatkezelő ellen az adatkezelő automatizált elemzésre vonatkozó általános adatkezelési gyakorlatának felülvizsgálata érdekében.
A NAIH megállapításai
A NAIH feltárta, hogy az adatkezelő minden ügyfélszolgálati telefonhívást rögzít. Minden este egy szoftver automatikusan elemzi az összes új hangfelvételt. A szoftver mesterséges intelligencia segítségével keresi a kulcsszavakat, és vizsgálja, hogy az ügyfél a hívás időpontjában milyen érzelmi állapotban volt. Az elemzés eredményét a telefonhíváshoz kapcsolódóan a szoftver rendszerében 45 napig tárolják a hanghívással együtt. Az elemzés eredménye alapján a szoftver kiválogatja azokat, akik valószínűleg elégedetlenek, vagy dühösek voltak.
Az elemzés eredménye alapján a kijelölt munkatársak megjelölik azokat az ügyfeleket, akiket az ügyfélszolgálat felhív, hogy felmérje elégedetlenségük okait. Erről a konkrét adatkezelésről az érintettek tájékoztatást nem kaptak, tiltakozási jog technikailag nem lehetséges, az adatkezelést ennek tudatában tervezték és folytatták. Az adatkezelő hatásvizsgálata is megerősítette, hogy a felülvizsgált adatkezelés mesterséges intelligenciát használ, és magas kockázatot jelent az érintettek alapvető jogaira nézve. Azonban sem a hatásvizsgálat, sem a jogos érdek vizsgálata nem adott tényleges kockázatmérséklést, a csak papíralapú intézkedések (tájékoztatás, kifogásolás) pedig elégtelenek.
A mesterséges intelligenciát természeténél fogva nehéz átlátható és biztonságos módon alkalmazni, további biztosítékokra van ezért szükség. Belső működése miatt a személyes adatok mesterséges intelligencia általi kezelésének eredményeit nehéz megerősíteni, illetve az MI elfogult is lehet.
A fentiekre tekintettel a NAIH a GDPR számos cikkének súlyos megsértését állapította meg, amely huzamosabb időn keresztül fennált, ezért kötelezte az adatkezelőt, hogy hagyjon fel az ügyfelek érzelmi állapotának mint személyes adatnak a kezelésével, csak akkor folytassa az adatkezelést, ha az megfelel a GDPR-nak, valamint 250.000.000,- Ft adatvédelmi bírságot szabott ki az adatkezelőre.