A NAIH egy meg nem nevezett bankra 250 millió forintos bírságot szabott ki telefonos ügyfélszolgálatra beérkező hívások hangelemzése miatt, ami az eddigi legmagasabb összegű adatvédelmi bírság Magyarországon. Magát a határozatot a NAIH e blogbejegyzés megjelenésekor még nem publikálta, az ügyről a hatóság 2021. évi beszámolója tartalmaz információkat.
Háttér
A tényállás szerint a bank az ügyfélszolgálati hívások rögzített hanganyagát automatikusan, mesterséges intelligenciát használva elemzi az ügyfelek elégedettségének mérése érdekében. A bank az elemzés eredményét felhasználva állapítja meg, hogy melyik ügyfelet szükséges visszahívni, az ügyfél-elvándorlás megelőzése érdekében. A bank a munkavállalói értékelése során is felhasználja a felvételeket és az ahhoz kapcsolódó szoftveres megoldást, amely a NAIH megállapítása szerint profilalkotást és az érintettek pontozását (scoring) végzi.
A bank honlapján az ilyen ügyfélszolgálati beszélgetésekkel kapcsolatos adatkezelési tájékoztatóban a minőségbiztosítás és a panaszmegelőzés szerepel adatkezelési célként, a hangelemzésről érdemi információt nem lehet olvasni a NAIH szerint. A bank az ügyfeleinek megtartása, illetve a belső működése hatékonyságának növelésére alapozott jogos érdekét nevezte meg az adatkezelés jogalapjaként.
A NAIH szerint a mesterséges intelligencia felhasználása az adatkezelés során önmagában egy magas kockázatú tevékenység, amelyre a bank adatvédelmi hatásvizsgálatában és érdekmérlegelési tesztjében is kitért.
Adatvédelmi jogi problémák
A NAIN éves beszámolójában közzétett leírás szerint a hatóság alapvetően nem a mesterséges intelligencia felhasználását sérelmezte, sokkal inkább az ezzel kapcsolatos adatkezelés és érintetti jogok kapcsán fogalmazott meg kritikákat, összhangban az automatizált döntéshozatallal és a profilalkotással kapcsolatos WP29 iránymutatással. A NAIH szerint:
„A bank nyilatkozatai is megerősítik, hogy tudatában van annak, hogy a vizsgált hangelemzéssel kapcsolatos adatkezeléssel összefüggésben évek óta nem biztosította a megfelelő tájékoztatást, valamint a tiltakozási jogot, mivel úgy döntött, hogy azok biztosítása nem megoldható számára.”
Az adatkezelés jogalapja tekintetében is megjegyzéseket tett a NAIH kiemelve, hogy a jogos érdek nem lehet egy „kisegítő” jogalap, hanem csak megfelelő garanciák és érdekmérlegelés mellett használható:
„Az általános adatvédelmi rendelet szerint csakis megfelelő alapos ismeretek birtokában, szabadon és aktív cselekvéssel adott hozzájárulás lehetne az adatkezelés alapja, amelynek lehetősége fel sem merült a jelen esetben. […]
A jogos érdek jogalappal összefüggésben fontos hangsúlyozni, hogy az nem arra szolgál, hogy egyéb lehetőség hiányában az adatkezelő bármikor és bármilyen indokkal az egyéb jogalapok alkalmazhatóságának hiányában kezeljen személyes adatokat. A garanciák kell, hogy biztosítsák a gyakorlatban többek között azt, hogy az érintett tisztában lehessen az adatkezeléssel, és azzal szemben tiltakozni tudjon, mivel az adatkezelést követően – különösen egy rövid ideig tartó vagy egyszeri adatkezelésnél – már kiüresedik a tiltakozási joga.”
A NAIH kiemelte, hogy arra utasította a bankot, hogy akként módosítsa adatkezelési gyakorlatát, hogy a hangelemzés során az érzelmeket ne elemezze, és az adatkezeléssel kapcsolatban az érintetti jogokat megfelelően biztosítsa, különösen, de nem kizárólagosan a megfelelő tájékoztatás és tiltakozás jogát mind az ügyfélszolgálatot igénybe vevő fogyasztók, mind az ügyfélszolgálatos munkavállalók tekintetében.
Konklúzió
A döntés, noha részleteiben nem elérhető, fontos tanulságokat fogalmaz meg, amelyeket az adatkezelőknek érdemes szem előtt tartania:
A GDPR nem dokumentációs feladat. A NAIH már korábban is hivatkozott arra, hogy hiába rendelkezik egy adatkezelő vagy adatfeldolgozó megfelelő dokumentációval (például adatvédelmi hatásvizsgálattal vagy érdekmérlegelési teszttel), ha az ezekben foglalt elvek és előírások (például az érintett tiltakozásának a lehetősége) a gyakorlatban nem valósulnak meg, akkor ezek nem segítenek a szankciók elkerülésében. A NAIH ezt a 2020 májusában meghozott, addigi rekord összegű 100 millió forintos bírságot egy telekommunikációs cégre adatvédelmi incidens miatt kiszabó határozatában fejtette ki. A korábbi megállapításait a jelen ügyben is megerősítette a hatóság.
Érintettek jogait gyakorlatban is érvényesíteni kell. Fontos megállapítás, hogy az érintetteket megfelelően, a valós tényekkel összhangban kell tájékoztatni az adatkezelésről. Amennyiben az adatkezelés jogalapja a jogos érdek, akkor fontos kitétel, hogy az érintett valójában tudjon tiltakozni az adatkezelés ellen még annak fennállása alatt vagy előtt, az adatkezelés befejezését követően ugyanis már kiüresedik ezen joga.
A jogos érdek nem mindenre megoldás. A NAIH összefoglalójából markánsan kitűnik, hogy az adatkezelőnek különösen körültekintően kell megállapítania, hogy milyen jogalapot választ az adatkezeléshez. A jelen ügyben a hatóság a hozzájárulás használatát is megfelelőnek tartotta volna, azonban meglátásunk szerint esetről esetre mérlegelve, részletes érdekmérlegelés és adatvédelmi hatásvizsgálat és azok a gyakorlatba történő átültetése esetén elképzelhető a jogos érdek is jogalapként.
A technikai „meg nem oldhatóság” nem mentesít a GDPR betartása alól. Fontos, amelyre a NAIH jelen ügyben is utal, hogy érvényesüljenek a beépített és alapértelmezett adatvédelem alapelvei. Az adatkezelők nem hivatkozhatnak arra, hogy nem tudják technikai okoknál fogva biztosítani a tiltakozás jogát vagy éppen a hozzájárulás kérését telefonos ügyfélszolgálatok esetében. Egy lehetséges megoldást jelenthet az, hogy a telefonbeszélgetés elején az érintett a telefon nyomógombjainak segítségével jelzi, hogy hozzájárul-e a hangelemzéshez. Habár elsőre ez a megoldás üzleti szempontból messze nem ideális, ugyanakkor az elmúlt években számos olyan jelentős változás ment végbe a gyakorlatban, amelyeket korábban elképzelhetetlennek tartottak. Erre a legjobb példa a cookie-k használatához történő hozzájárulás kérése: korábban jobb esetben egy rövid cookie banner jelent csak meg egy elfogadom vagy értem feliratú gombbal, míg manapság a legtöbb honlapon már szofisztikált consent management platformok üzemelnek.
Növekvő bírság-összegek. A nemrég kiszabott 250 millió forintos bírság két és félszerese a korábbi rekordnak, ami 100 millió forint volt. Ebből az látszik, hogy a NAIH elmozdulni látszik a korábbi gyakorlatától, amely szerint néhány millió, esetleg néhány tíz millió forintos bírságokat szabott ki. Ez mindenképpen intő jel elsősorban nagyobb vállalatok számára abban a tekintetben, hogy az adatvédelmi megfelelést vegyék komolyan, és építsék be a folyamataikba a beépített és alapértelmezett adatvédelem elveit is.
Frissítés – 2022. április 28.
A NAIH honlapjára feltöltötte a határozatot, amelynek keltezése 2022. február 8. A 36 oldalas határozat további részleteket tartalmaz a fenti kérdésekről. Maga a határozat innen érhető el.
Szerzők:
| dr. Halász Bálint | dr. Sziládi Péter |
| partner, ügyvéd | ügyvédjelölt |
Categories: Adatvédelem
