Mesterséges intelligencia alkalmazása a pénzügyi szektor adatkezelése során – A legnagyobb hazai adatvédelmi bírság nyomában

Adatvédelem , , , , ,

A napokban tette közzé a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: „NAIH”) az általános adatvédelmi rendelet (a továbbiakban: „GDPR”) alkalmazandóvá válása óta kiszabott legnagyobb mértékű (250 millió Ft) bírságról szóló határozatát. [1]

A vizsgált adatkezelés – a mesterséges intelligencia használata az egyik hazai pénzintézet telefonos ügyfélszolgálatán – nem pusztán adatvédelmi szakértői körökben lehet érdekes. A bírság összege és a lehetséges érintettség miatt még a témában kevésbé jártas személyek is felkapták a fejüket. Nézzük, miért is „díjazta” a NAIH a mesterséges intelligencia (a továbbiakban: „MI”) jogellenes módon történő alkalmazását az egyik hazai banknál.

  1. Az adatkezelés jellege

Az adatkezelést végző bank (a továbbiakban: „Bank”) még a GDPR alkalmazandóvá válása előtt vezette be a telefonos ügyfélszolgálatán folytatott és rögzített hívások hangelemzésére alkalmas, MI-n alapuló szoftvert. A szoftver előre rögzített szempontok alapján automatikusan rangsorolta a beszélgetéseket és az elemzés eredményét felhasználva állapította meg, hogy mely panaszos ügyfelek visszahívása szükséges, illetve mely ügyfélszolgálati munkatársak esetén szükséges a teljesítménynövelés segítése. Az így rangsorolt telefonhívásokat magasabban képzett munkatársak ellenőrizték, így a végső döntést nem az MI hozta[2].

Az MI az ügyfelek, valamint az ügyfélszolgálati munkatársak érzelmi állapotát, az érintettek hangját, szóhasználatát, vizsgálta, azonban a Bank erről az érintetteket nem tájékoztatta előre. A Bank adatkezelési tájékoztatója az adatkezelés céljaként a minőségbiztosítást és panaszmegelőzést jelölte meg. Ezzel szemben a NAIH megállapítása az volt, hogy az adatkezelést közvetett profitszerzési és belső költségcsökkentési céllal végezte a Bank, amelyről előzetesen nem tájékoztatta az érintetteket.

  1. Az érintettek köre és a Bank által hivatkozott és megjelölt jogalapok
  • Az ügyben az érintettek két csoportját különíthetjük el: a Bank ügyfeleit (illetve potenciális ügyfeleit), valamint az ügyfélszolgálati munkatársait. Az adatkezelési tájékoztatóban a mindkét érintetti kör esetén alkalmazható jogos érdeket jelölte meg a Bank a hangelemzés jogalapjául. Az eljárás során tett nyilatkozatában a Bank a jogos érdeken túl további jogalapokra is hivatkozott.
  • A munkavállalók esetén a Bank a közte és a megfigyelt munkavállalók között fennálló (munka)szerződés teljesítését is megjelölte, illetve hivatkozott az érintettek hozzájárulására is. Ahogyan azt már korábbi ügyekben többször kifejtette a hatóság, a munkatársak esetén a függelmi viszony miatt a hozzájárulás nem megfelelő jogalap, mert a döntésük nem lehet teljesen befolyásolásmentes.
  • Az ügyfelek esetén a Bank szintén hivatkozott az érintettek hozzájárulására, amelyet a telefonhívás elején elhangzó tájékoztatás alapján (a telefonbeszélgetés folytatásával) adtak meg. Az előzetes tájékoztatás azonban nem terjedt ki az MI használatára, illetve az ezzel járó profilozásra. A hozzájárulás tartalmi eleme (valós, alapos ismeretek birtokában adja az érintett) az információhiány miatt nem valósult meg, illetve a Bank – az eljárásban tett nyilatkozata szerint – technikailag sem tudta volna biztosítani az MI kiiktatását az egyes érintettek hozzájárulást megtagadó döntése esetén.
  • A NAIH szerint a Bank által megjelölt jogos érdek alátámasztására, bár formailag megfelelő érdekmérlegelést végzett a Bank, valójában kizárólag a saját üzleti érdekeit vette figyelembe az adatkezelés bevezetése előtt és alatt is, és egyáltalán nem vizsgálta, hogy az MI alkalmazása valójában milyen kockázattal és hátránnyal jár az érintettek számára, így érdemi hatásvizsgálatot sem készített. Az érdekmérlegelési tesztben viszont maga a Bank is rögzítette, hogy az MI alkalmazása jelentős kockázattal jár az érintettekre nézve, de azt nem vizsgálta, hogy az adatkezelési cél eléréséhez rendelkezésére áll-e más, kisebb kockázattal járó módszer és a hatóság felé sem jelezte az adatkezelés megkezdését[3].
  1. Érintetti jogok kiüresítése, adatkezelői felelősség

Álláspontunk szerint a NAIH határozata példásan pontosan veszi sorra a jogszerű adatkezelés egyes elemeit, amely alapján kirajzolódik, hogy a hatóság mely elemeket milyen súllyal értékelt. A NAIH egyik legfontosabb megállapítása az volt, hogy az MI alkalmazásával folytatott adatkezelés teljesen kiüresítette az érintetti jogokat, mert sem a tájékoztatáshoz, sem a tiltakozáshoz való jogot nem tudták gyakorolni az érintettek, ez pedig egyetlen adatkezelésnek sem lehet célja, hiszen az érintettek védelme és jogai gyakorlásának lehetősége az adatvédelem alapvető célja és feladata.

A NAIH felhívta a figyelmet arra is, hogy az MI új és számos kockázatot rejtő technológia, amelynek szabályozása még nem kiforrott, ezért az adatkezelőknek sokkal nagyobb figyelmet kell fordítaniuk az adatkezelés jogszerűségét biztosító garanciák alkalmazására, amelyet a Bank szándékosan nem tett meg[4].

A NAIH álláspontja szerint az MI alkalmazása nélkül is magasabb elvárásai vannak az érintetteknek a pénzintézetekkel szemben az átlagos adatkezelőkhöz képest, hiszen különleges adatokat kezelnek és már a számlavezetés során olyan személyes adatok jutnak a Bank tudomására, amelyek alkalmasak lehetnek a profilalkotásra. Az MI által kezelt személyes adatok pedig még „mélyebben érintik az érintettek privát szféráját, mint egy technikai vagy kapcsolati adat, kezelésük kiemelt figyelmet igényel”[5].

Szintén súlyosbító körülmény volt az adatkezeléssel érintettek rendkívül nagy száma és a jogsértés hosszabb ideje, az adatkezelés ugyanis 2017 és 2021 között zajlott.

Mindezek ellenére fontos hangsúlyozni, hogy a NAIH nem általánosságban az MI alkalmazását tartotta jogszerűtlennek, hanem a Bank eljárása szerinti adatkezelést. Bár a határozat nem nyújt támaszt arra nézve, hogy a jövőben hogyan lehet jogszerűen alkalmazni az MI-t az adatkezelések során, abban mindenképpen sokat segít, hogy az adatkezelők megismerjék a NAIH szempontrendszerét, illetve az elkerülendő gyakorlatot.

Dr. Szücs Renáta

Photo credit: pexels.com

Jelen cikk kizárólag általános tájékoztatás céljából készült, nem minősül jogi tanácsadásnak, nem használható jogi szakvéleményként vagy állásfoglalásként. Bár mindent megteszünk a pontos, naprakész tájékoztatás érdekében, a cikkben szereplő információk teljessége, pontossága vagy naprakészsége vonatkozásában a jogszabályi környezet és joggyakorlat esetleges változására is tekintettel felelősséget nem vállalunk. Az itt közölt információk nem hoznak létre ügyfél-ügyvéd viszonyt a honlaplátogató-olvasó és a Tivadar Ügyvédi Iroda között. Amennyiben konkrét ügyben szeretné a segítségünket kérni, a lenti elérhetőségeken keresztül állunk szíves rendelkezésére.

 

[1] NAIH-85-3/2022. számú határozat

[2] A NAIH ezt a határozatában végül (enyhítő körülményként) úgy értékelte, hogy a teljesen automatizált döntéshozatal nem valósult meg. Azt azonban már a Bank terhére rótta, hogy a profilalkotásra az MI alapján lehetőség volt, a telefonhívás visszahallgatása során a Bank munkatársai valamennyi érintettet könnyedén azonosíthattak.

[3] Az MI bevezetésekor még nem a GDPR-t kellett alkalmazni, az egyes adatkezeléseket azok megkezdése előtt be kellett jelenteni a NAIH felé.

[4] NAIH-85-3/2022. számú határozat III.8. (108) bekezdés (vi) albekezdés

[5] NAIH-85-3/2022. számú határozat III.8. (108) bekezdés (xi) albekezdés