Rekordbüntetést szabott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), melyet a március végén megjelent előző évi beszámolójában hozott nyilvánosságra. A Deloitte témában kiadott sajtóközleménye arra hívja fel a figyelmet, hogy a 250 millió forintos bírság nem csupán az eddigi legnagyobb összegű adatvédelmi büntetés, hanem egyben az első olyan eset, amely mesterséges intelligencia jogszerűtlen felhasználásához kapcsolódik.

Nem fértek össze az érzelmek és a GDPR

A NAIH beszámolója szerint egy meg nem nevezett pénzintézeti szereplő mesterséges intelligenciával (MI) vezérelt szoftveres megoldást alkalmazott az ügyfelek érzelmi állapotának automatizált feldolgozására. A beszédjel-felismerő és értékelő rendszer az ügyfelek hangulati állapota alapján határozta meg, mely ügyfeleket szükséges visszahívni. A bank az alkalmazást panasz és ügyfélelvándorlás megelőzése érdekében üzemeltette. A NAIH utasította a bankot az érzelmi állapotok elemzésének abbahagyására, mivel az számos ponton sérti az Általános Adatvédelmi Rendeletet (GDPR).

Az MI-rendszerek képesek többek között nyelvi elemek feldolgozására is, mely alkalmassá teszi az emberi beszéd és hangelemek kiértékelésére, így az érzelmi és hangulati ingadozások viszonylag pontos meghatározására. Az intelligens rendszerek efféle felhasználása ugyanakkor számos kivetnivalót eredményezhet, mivel etikailag is megkérdőjelezhető felhasználásuk, rejtett előítéleteket tartalmazhat, ez pedig egyéb adatok felhasználásával diszkriminatív lehet az ügyfelekre nézve.

A Deloitte szakértője szerint az eset számos problémát felvet. Például az ügyben érintett bank nem szerepeltette adatvédelmi tájékoztatójában, hogy az adatkezelésnek többek közt ügyfélmegtartó szerepe is van, az ügyfelek tájékoztatás hiányában így tiltakozni sem tudtak ellene. Ezenfelül, az érdekmérlegelési tesztben nem vizsgálják az érintettek oldalát, nem részletezik a hangulati állapot elemzését és az adatvédelmi hatásvizsgálatban sem javasolnak érdemi megoldást ennek a nem elhanyagolható kockázatnak a csökkenésére.

A NAIH kötelezése felhívja a figyelmet az adatkezeléssel kapcsolatban az érintetti jogok megfelelő biztosítására, különösen, de nem kizárólagosan a megfelelő tájékoztatásra és a tiltakozáshoz való jognak a biztosítására. Az adatkezelésnek a szükségesre kell korlátozódnia, és ennek megfelelő tájékoztatást kell nyújtani az érintettek részére a kapcsolódó pontos következmények megjelölésével.

Lehet ez majd több is

A jelen eset kapcsán érdemes megemlíteni, hogy az EU-s mesterséges intelligenciáról szóló rendelettervezet 52. cikke alapján az érzelemfelismerő rendszerek esetében a tervezet szigorú tájékoztatási kötelezettségeket állapít meg, amelyek megszegése esetén magas, tiltott gyakorlatok alkalmazása esetén, akár 30 millió eurós bírsággal kell számolni.