Megjelent: 2 hónapja

Óvatosan a mesterséges intelligencia alkalmazásával, jelentős bírság járhat érte!

A hazai vállalatoknál is egyre elterjedtebb mesterséges intelligencia (MI) alkalmazásakor érdemes körültekintéssel eljárni, mert a jogszerűtlen adatkezelés jelentős bírsággal járhat – hívja fel a figyelmet a Baker McKenzie ügyvédi iroda. Az adatvédelmi hatóság 250 millió forintos eddigi rekordbírságát is az említett technológia jogsértő alkalmazása miatt szabták ki.

images

A chatbotok, az adatok kiszivárgását megelőző vagy a biztonsági eseményeket felismerő információbiztonsági szoftverek és más mesterséges intelligenciát alkalmazó eszközök használatával egy cég növelheti hatékonyságát, miközben akár költségeit is csökkentheti. Felhasználásuk során azonban szigorú jogi feltételeknek kell megfelelni, hiszen a mesterséges intelligencia működése megfelelő intézkedések nélkül gyakran átláthatatlan lehet az adatkezeléssel érintettek számára.   
 
„Az MI ma még új technológiának számít, és használata általában magas kockázattal jár a munkavállalók, illetve egyéb érintettek jogaira és szabadságaira nézve. A munkáltatóknak ezért a bevezetésről szóló döntés előkészítésekor célszerű adatvédelmi hatásvizsgálatot lefolytatniuk. Sőt, ez bizonyos esetekben kötelező is, például ha az adatkezelés célja a munkavállalók munkájának megfigyelése, vagy ha az MI a munkavállalót teljesítménye és viselkedése alapján profilozza" – mondta dr. Vári Csaba, a Baker McKenzie ügyvédi iroda IPTech csoportjának vezetője.

A hatásvizsgálat során többek között azt kell kell áttekinteni, hogy a magas kockázat megfelelő intézkedésekkel mérsékelhető-e olyan szintre, amely már megfelel a szükségesség és arányosság elvének.
 
Az új technológiát kiemelt gondossággal kell alkalmazni, mert a mesterséges intelligenciával kapcsolatos nem megfelelő adatkezelés jelentős bírsággal járhat. A NAIH egyik döntésében rekordösszegű, 250 millió forintos adatvédelmi bírságot szabott ki egy bankkal szemben.

A bank többek között arra használta az MI-t, hogy elemezze az ügyfélhívásokat fogadó munkavállalóinak érzelmeit, és az alapján értékelje teljesítményüket. Az ügyben a NAIH megállapította, hogy ez és a megfelelő tájékoztatás hiánya súlyosan korlátozza a munkatársak önrendelkezési jogát. A hatóság azt is hangsúlyozta: a munkahelyi adatkezeléseknél a munkáltatónak mindig figyelembe kell vennie, hogy a foglalkoztató és az alkalmazott közötti alá-fölé rendeltségi viszony miatt a munkavállalók kiszolgáltatott helyzetben lehetnek az adatkezelés során.  

 
A mesterséges intelligencia alkalmazása a munkahelyen elsősorban a munkáltató érdeke, de az adatkezelés nem járhat a munkavállalók jogainak, szabadságainak és érdekeinek szükségtelen és aránytalan korlátozásával. Így bár lehet, hogy alapvető üzleti érdek teszi indokolttá a mesterséges intelligencia alkalmazását, a cég mégsem használhatja azt az alkalmazottak totális megfigyelésére – például minden egyes számítógépes műveletük vizsgálatára vagy személyiségük elemzésére e-mailjeik szóhasználata, nyelvezete alapján.

Azt is fontos megvizsgálni, hogy az MI használata egyáltalán szükséges és alkalmas-e a cél eléréséhez. A teljesítményértékelő szoftver például tud-e valós képet adni a munka minőségéről, megalapozhatja-e az előléptetésről szóló döntést, és egyáltalán indokolt-e a bevezetése, vagy ugyanazt az eredményt a technológia használata nélkül is el lehet érni.  

Az MI csak a vállalat jogszerű céljai eléréséhez igazolhatóan szükséges személyes adatokat gyűjthet és kezelhet. Így például a technikai problémák megoldása érdekében működő chatbot nem gyűjthet a munkavállaló hangulatára vonatkozó adatokat. A személyes adatok csak a gyűjtésükre okot adó célokkal összeegyeztethetően kezelhetők – az e-mailek biztonsági célú elemzését például tilos felhasználni az alkalmazottak egymással szembeni viselkedésének megfigyelésére. 
 
A mesterséges intelligencia sok esetben gépi tanulást (machine learning) alkalmaz, ami nagyon leegyszerűsítve azt jelenti, hogy a kezelt adatok alapján saját magát fejleszti. Fontos azonban, hogy a munka törvénykönyve alapján csak olyan személyes adat közlése követelhető a foglalkoztatottól, amely a munkaviszony szempontjából lényeges. Kiemelendő az is, hogy a célhoz kötöttség elve alapján a személyes adatokat nem lehet olyan célból kezelni, amely nem összeegyeztethető a gyűjtést indokló eredeti célokkal. Így – hacsak nem anonimizált személyes adatokról van szó –, a foglalkoztatott személyes adatai legtöbbször nem használhatók fel a mesterséges intelligencia fejlesztéséhez. 
 
A munkavállalók adatvédelmi jogai a GDPR általános szabályaihoz igazodnak. Érdemes kiemelni, hogy ha az adatkezelés jogalapja a munkáltató jogos érdeke – ami a mesterséges intelligencia használata esetén rendkívül gyakori –, a munkavállaló jogosult tiltakozni az adatkezelés ellen, aminek a gyakorlását a munkáltatónak elő kell segítenie és a jogosságát meg kell vizsgálnia.

Lényeges kérdésekben – például munkaviszony megszüntetésével vagy munkabérrel kapcsolatos kérdésekben – nem javasolt, és a szükségesség és arányosság elve miatt legtöbbször nem is lehet kizárólag automatizált módon döntést hozni. 
A foglalkoztatónak tájékoztatnia is kell az alkalmazottakat a személyes adatok kezelésének módjáról. A tájékoztatásnak nem feltétlenül kell tartalmaznia a folyamat konkrét műszaki leírását, azonban a munkáltatónak többek közt azt kell egyértelművé tennie, hogy az adatkezelésnek mi a célja és jogalapja, mely személyes adatokat kezeli, ki más fog azokhoz hozzáférni – például külső szolgáltató –, és továbbítják-e a személyes adatokat az Európai Gazdasági Térségen kívülre. Emellett világossá kell tenni azt is, hogy az adatkezeléssel hozott döntések teljesen mentesek-e az emberi beavatkozástól, és ha igen, azt, hogy milyen logika áll a döntéshozatal mögött, és az ilyen döntéseknek az érintettekre nézve milyen jelentősége van. 
 
Szem előtt tartandó, hogy az EU-ban kidolgozás alatt áll egy olyan rendelet megalkotása, amely megteremti az MI-re vonatkozó harmonizált európai szabályozást, és amely minden tagállamban közvetlenül alkalmazandó lesz. Ha a rendeletet elfogadják, az új szabályok a mesterséges intelligenciára vonatkozó adatvédelmi jogi követelményekre is kihatással lesznek.

Fotó: unsplash.com

 

  • 2023.02.16Lean black belt képzés A képzés során a résztvevő megismerhetik azokat a haladó és új lean módszereket, illetve az Ipar 4.0-hoz kapcsolódó fejlesztéseket, amelyek ráépülnek és kiegészítik a korábbi lean ismereteiket, ezzel szélesebb körben tudják a szervezetüknél folyó lean bevezetést támogatni. Részletek Jegyek
  • 2023.02.16CX-Ray elégedettségfelmérés online workshop A munkahelyi hatékonyság az elégedett kollégákkal kezdődik! Skálázható, szűrhető eredmények - tudd meg, munkatársaid szerint, mik a valóban égető problémák! Részletek Jegyek
  • 2023.02.23CX-Ray teljesítményértékelés online workshop Miért fontos a TÉR? Az egyértelmű egyéni és csapat célok és a folyamatos visszajelzés az elkötelezettséget és motivációt kiemelten meghatározó tényezők. Részletek Jegyek
  • 2023.03.22recruiTECH konferencia A recruiTECH elsősorban HR vezetőknek, toborzóknak, toborzási vezetőknek, employer branding specialistáknak és learning & development szakembereknek szól, akik napi szinten küzdenek a toborzási céljaikért a munkaerőpiacon, akik keresik az új megoldásokat, melyek segítségével hatékonyabbá tehetik vállalatuk tevékenységét. Részletek Jegyek
További cikkek
Egy felmérés szerint minden negyedik vállalatnak kárt okoz a kiberbűnözés

A megkérdezettek több mint fele tervez kiberbiztonsági fejlesztéseket jövőre. Teljes cikk

Dolgozók a kibertérben - Ezek a biztonsági fásultság legfőbb jelei

Egy vállalat alkalmazottai számos olyan hibát követhetnek el, ami miatt zsarolóvírus áldozataivá válhatnak, ám az sem előnyös, ha túl nagy teher... Teljes cikk

Kiberbiztonság: Saját alkalmazottaink jelentik az egyik legnagyobb kockázatot

A kis- és középvállalkozások (kkv) több mint kétharmadát érte adatbiztonsági incidens az elmúlt évben, 70 százalékuk azt is elismerte, hogy nem... Teljes cikk