250 millió forint összegű adatvédelmi bírság hangfelvételek miatt.

Egy bank az ügyfélszolgálati hívások rögzített hanganyagát mesterséges intelligencián alapuló beszédjel-feldolgozás segítségével automatikusan elemezte, így pl. a beszélő érzelmi-hangulati állapotát is. A bank vezető állású munkavállalói az elemzés eredményét felhasználva állapították meg, hogy melyik elégedetlen ügyfelet szükséges visszahívni, valamint felhasználták azt az ügyfélszolgálati munkatársak munkájának minősítésére is.

A felismert kulcsszavak és érzelmek eredményét az adott híváshoz kapcsolva tárolták, és a hívások még 45 napig visszahallgathatóak voltak.

Az adatkezelés céljaként a hívások minőségellenőrzése, a panasz és ügyfélelvándorlás megelőzése, illetve a hívást bonyolító munkavállalók hatékonyságának növelését jelölték meg.

A bank honlapján az érintetteknek nyújtott, telefonos ügyfélszolgálattal kapcsolatos adatkezelési tájékoztató általánosságban fogalmaz ezen adatkezeléssel kapcsolatban, a hangelemzésről érdemi információt nem tartalmaz. Az adatkezelési tájékoztatóban a minőségbiztosítás és a panaszmegelőzés szerepel csak célként.

A bank a fenti adatkezelést azon jogos érdekeire alapozta, hogy az ügyfeleit megtartsa, illetve a belső működésének hatékonyságát növelje. Ezen érdekekkel kapcsolatos – erősen eltérő – adatkezelések azonban sem a tájékoztatóban, sem az érdekmérlegelés során nem különültek el, összemosódnak.

A bank saját adatvédelmi hatásvizsgálata állapítja meg, hogy az adatkezelés több okból is magas kockázatú, alkalmas profilalkotásra, és az adatkezelés az érintettekre joghatással bírhat, azonban nem ad érdemi megoldásokat ezen kockázatok kezelésére.

A bank nyilatkozatai is megerősítik, hogy tudatában van annak, hogy a vizsgált hangelemzéssel kapcsolatos adatkezeléssel összefüggésben évek óta nem biztosította a megfelelő tájékoztatást, valamint a tiltakozási jogot, mivel úgy döntött, hogy azok biztosítása nem megoldható számára. Ezzel ellentétes a bank adatkezelési tájékoztatója és érdekmérlegelése, amely szerint teljes mértékben biztosítja az érintetti jogokat.

Az általános adatvédelmi rendelet (GDPR) szerint kizárólag megfelelő alapos ismeretek birtokában, szabadon és aktív cselekvéssel adott hozzájárulás lehetne az adatkezelés alapja, amelynek lehetősége fel sem merült jelen esetben. A bank csak azt állapította meg, hogy az általa elérni kívánt érdeke érvényesítéséhez szükséges az adatkezelés az arányosságot, az érintetti oldalt ténylegesen nem vizsgálta, bagatellizálta a jelentős alapjogi kockázatokat.

Az érdekmérlegelés érvénytelensége miatt az Adatvédelmi Hatóság álláspontja szerint a hangfelvételek elemzésével kapcsolatban a bank által megjelölt jogalap nem áll fenn. Egy új típusú és fokozott kockázatú technológia alkalmazása esetén a tényleges garanciák megléte, valamint rendszeres és érdemi felülvizsgálat minimumelvárásnak tekinthetőek. A jogos érdek jogalapként nem szolgálhat arra, hogy egyéb lehetőség hiányában az adatkezelő bármikor és bármilyen indokkal az egyéb jogalapok alkalmazhatóságának hiányában kezeljen személyes adatokat. A garanciáknak kell biztosítania a gyakorlatban többek között azt, hogy az érintett tisztában lehessen az adatkezeléssel, és azzal szemben tiltakozni tudjon, mivel az adatkezelést követően már kiüresedik a tiltakozási joga.

Az Adatvédelmi Hatóság a GDPR rendelet alapján hivatalból utasította a bankot adatkezelési gyakorlatának akként történő módosítását, hogy a hangelemzés során az érzelmeket ne elemezze, és az adatkezeléssel kapcsolatban az érintetti jogokat megfelelően biztosítsa. A bank munkavállalóival kapcsolatban az adatkezelésnek a szükségesre kell korlátozódnia, és ennek megfelelő tájékoztatást kell nyújtani részükre a kapcsolódó pontos következmények megjelölésével.

A Hatóság szankcióként 250 millió Ft adatvédelmi bírságot szabott ki a bankra.

Saldo-tipp

A mesterséges intelligencia működési elvéből adódóan általában nehezen átlátlató és követhető, kiemelt adatvédelmi kockázatok merülnek fel. Keressen minket! gdpr@saldo.hu