Rekordösszegű adatvédelmi büntetést kapott egy hazai bank a Nemzeti Adatvédelmi és Információszabadság Hatóságtól (NAIH), miután jogszerűtlenül, mesterséges intelligencia segítségével vizsgálta az ügyfelei érzelmi állapotát.
Az első ilyen eset
A NAIH jelentése szerint az eset tavaly történt, és korábban sosem volt még ilyesmire példa. A hatóság beszámolója nem említi a pénzintézet nevét, azonban az kiderül belőle, hogy egy bank mesterséges intelligencián (MI) alapuló szoftvert használt az ügyfelei érzelmi állapotának elemzésére – írja a 24.hu.
A program az ügyfelek beszédét vizsgálta és elemezte így határozta meg a hangulatukat, valamint tett arra javaslatot, hogy kiket szükséges visszahívni. A bank célja ezzel a panaszok és ügyfélelvándorlás megelőzése volt. A NAIH az érzelmi állapotok elemzésének beszüntetésére kötelezte a pénzintézetet, mert az eljárás több ponton sértette az Általános Adatvédelmi Rendeletet, azaz a GDPR-t.
Egyre terjed az MI használata
Az MI alapú programok alkalmazásának a száma az üzleti életben az előző években jelentősen növekedett. A használatára vonatkozó jogi szabályozások azonban többnyire váratnak magukra. Ezek a fejlesztések alkalmasak lehetnek akár az emberi beszéd értékelésére is, így a hangulatunkat, érzelmeinket is képesek meglehetősen jól elemezni. Ez azonban etikai kérdéseket vet fel, így diszkriminatív is lehet az ügyfelekre nézve.
„Az eset számos problémát felvet; először is az ügyben érintett bank nem szerepeltette az adatvédelmi tájékoztatójában, hogy az adatkezelésnek többek közt ügyfélmegtartó szerepe is van, az ügyfelek tájékoztatás hiányában így tiltakozni sem tudtak ellene. Ezenfelül az érdekmérlegelési tesztben nem vizsgálják az érintettek oldalát, nem részletezik a hangulati állapot elemzését és az adatvédelmi hatásvizsgálatban sem javasolnak érdemi megoldást ennek a nem elhanyagolható kockázatnak a csökkenésére”
– nyilatkozta az ügy kapcsán dr. Barta Gergő, a Deloitte Kockázatkezelési tanácsadás üzletágának szakértője.
Az Unió is szabályozná az ilyen eseteket
Az Európai Uniónak egyébként van egy mesterséges intelligenciáról szóló rendelettervezete. Az alapján az érzelemfelismerő rendszerek használata esetében szigorú tájékoztatási kötelezettség kellene, hogy fennálljon a program használója részéről. Annak hiányában akár 30 millió eurós (durván 11,4 milliárd forint – a szerk.) bírság is kiszabható – írja a cikk.
„A mesterséges intelligenciára egy új típusú és fokozott kockázatú technológiaként kell gondolnunk, amit működési elvéből adódóan igen nehezen lehet átlátni és követni. A GDPR követelményei nem csak adminisztrációs feladatokat rónak az adatkezelőkre, a dokumentumokat nem elegendő csak formailag elkészíteni, a teendőt „kipipálni”. Jogos érdek alkalmazása esetén ez azt jelenti, hogy az érintetteket fenyegető adatvédelmi kockázatokat teljes körűen fel kell tárni, és ezek kezelésére alkalmas szervezeti és technológiai garanciákat kell az adatkezelőnek életbe léptetnie”
– mondta dr. Albert Lili, a tanácsadócég technológiai és adatvédelmi csoportjának jogi szakértője.