Óvatosan a mesterséges intelligencia alkalmazásával, jelentős bírság járhat érte!

A chatbotok, az adatok kiszivárgását megelőző vagy a biztonsági eseményeket felismerő információbiztonsági szoftverek és más mesterséges intelligenciát alkalmazó eszközök használatával egy cég növelheti hatékonyságát, miközben akár költségeit is csökkentheti. Felhasználásuk során azonban szigorú jogi feltételeknek kell megfelelni, hiszen a mesterséges intelligencia működése megfelelő intézkedések nélkül gyakran átláthatatlan lehet az adatkezeléssel érintettek számára.   
 
„Az MI ma még új technológiának számít, és használata általában magas kockázattal jár a munkavállalók, illetve egyéb érintettek jogaira és szabadságaira nézve. A munkáltatóknak ezért a bevezetésről szóló döntés előkészítésekor célszerű adatvédelmi hatásvizsgálatot lefolytatniuk. Sőt, ez bizonyos esetekben kötelező is, például ha az adatkezelés célja a munkavállalók munkájának megfigyelése, vagy ha az MI a munkavállalót teljesítménye és viselkedése alapján profilozza" – mondta dr. Vári Csaba, a Baker McKenzie ügyvédi iroda IPTech csoportjának vezetője.

A hatásvizsgálat során többek között azt kell kell áttekinteni, hogy a magas kockázat megfelelő intézkedésekkel mérsékelhető-e olyan szintre, amely már megfelel a szükségesség és arányosság elvének.
 
Az új technológiát kiemelt gondossággal kell alkalmazni, mert a mesterséges intelligenciával kapcsolatos nem megfelelő adatkezelés jelentős bírsággal járhat. A NAIH egyik döntésében rekordösszegű, 250 millió forintos adatvédelmi bírságot szabott ki egy bankkal szemben.

 
A mesterséges intelligencia alkalmazása a munkahelyen elsősorban a munkáltató érdeke, de az adatkezelés nem járhat a munkavállalók jogainak, szabadságainak és érdekeinek szükségtelen és aránytalan korlátozásával. Így bár lehet, hogy alapvető üzleti érdek teszi indokolttá a mesterséges intelligencia alkalmazását, a cég mégsem használhatja azt az alkalmazottak totális megfigyelésére – például minden egyes számítógépes műveletük vizsgálatára vagy személyiségük elemzésére e-mailjeik szóhasználata, nyelvezete alapján.

Azt is fontos megvizsgálni, hogy az MI használata egyáltalán szükséges és alkalmas-e a cél eléréséhez. A teljesítményértékelő szoftver például tud-e valós képet adni a munka minőségéről, megalapozhatja-e az előléptetésről szóló döntést, és egyáltalán indokolt-e a bevezetése, vagy ugyanazt az eredményt a technológia használata nélkül is el lehet érni.  

Az MI csak a vállalat jogszerű céljai eléréséhez igazolhatóan szükséges személyes adatokat gyűjthet és kezelhet. Így például a technikai problémák megoldása érdekében működő chatbot nem gyűjthet a munkavállaló hangulatára vonatkozó adatokat. A személyes adatok csak a gyűjtésükre okot adó célokkal összeegyeztethetően kezelhetők – az e-mailek biztonsági célú elemzését például tilos felhasználni az alkalmazottak egymással szembeni viselkedésének megfigyelésére. 
 
A mesterséges intelligencia sok esetben gépi tanulást (machine learning) alkalmaz, ami nagyon leegyszerűsítve azt jelenti, hogy a kezelt adatok alapján saját magát fejleszti. Fontos azonban, hogy a munka törvénykönyve alapján csak olyan személyes adat közlése követelhető a foglalkoztatottól, amely a munkaviszony szempontjából lényeges. Kiemelendő az is, hogy a célhoz kötöttség elve alapján a személyes adatokat nem lehet olyan célból kezelni, amely nem összeegyeztethető a gyűjtést indokló eredeti célokkal. Így – hacsak nem anonimizált személyes adatokról van szó –, a foglalkoztatott személyes adatai legtöbbször nem használhatók fel a mesterséges intelligencia fejlesztéséhez. 
 
A munkavállalók adatvédelmi jogai a GDPR általános szabályaihoz igazodnak. Érdemes kiemelni, hogy ha az adatkezelés jogalapja a munkáltató jogos érdeke – ami a mesterséges intelligencia használata esetén rendkívül gyakori –, a munkavállaló jogosult tiltakozni az adatkezelés ellen, aminek a gyakorlását a munkáltatónak elő kell segítenie és a jogosságát meg kell vizsgálnia.

A foglalkoztatónak tájékoztatnia is kell az alkalmazottakat a személyes adatok kezelésének módjáról. A tájékoztatásnak nem feltétlenül kell tartalmaznia a folyamat konkrét műszaki leírását, azonban a munkáltatónak többek közt azt kell egyértelművé tennie, hogy az adatkezelésnek mi a célja és jogalapja, mely személyes adatokat kezeli, ki más fog azokhoz hozzáférni – például külső szolgáltató –, és továbbítják-e a személyes adatokat az Európai Gazdasági Térségen kívülre. Emellett világossá kell tenni azt is, hogy az adatkezeléssel hozott döntések teljesen mentesek-e az emberi beavatkozástól, és ha igen, azt, hogy milyen logika áll a döntéshozatal mögött, és az ilyen döntéseknek az érintettekre nézve milyen jelentősége van. 
 
Szem előtt tartandó, hogy az EU-ban kidolgozás alatt áll egy olyan rendelet megalkotása, amely megteremti az MI-re vonatkozó harmonizált európai szabályozást, és amely minden tagállamban közvetlenül alkalmazandó lesz. Ha a rendeletet elfogadják, az új szabályok a mesterséges intelligenciára vonatkozó adatvédelmi jogi követelményekre is kihatással lesznek.

Fotó: unsplash.com