A Deloitte közleménye szerint az ügyről a NAIH a 2021-es évre vonatkozó beszámolójában számol be részletesen, azt ugyanakkor nem nevesítik, hogy melyik magyarországi bankról van szó. A március végén kiadott beszámolóban a NAIH azt írja, hogy a bank az ügyfélszolgálati hívások rögzített hanganyagát elemezte ki automatikusan mesterséges intelligencián alapuló beszédjel-feldolgozás segítségével, ami kulcsszavak valamint a beszélő érzelmi/hangulati állapota alapján állított fel egy sorrendet. A bank vezető állású munkavállalói ez alapján döntöttek arról, hogy melyik ügyfeleket érdemes visszahívni, emellett a módszer az ügyfélszolgálati munkatársak munkájának a minősítésében is szerepet kapott.
Az adatvédelmi hatóság szerint a pénzintézet a hívások minőségellenőrzésén túlmenően a panasz és ügyfélelvándorlás megelőzésére használta fel a mesterséges intelligenciát, azonban a vizsgálat több problémát is feltárt ezzel a gyakorlattal kapcsolatban. "Először is az ügyben érintett bank nem szerepeltette az adatvédelmi tájékoztatójában, hogy az adatkezelésnek többek közt ügyfélmegtartó szerepe is van, az ügyfelek tájékoztatás hiányában így tiltakozni sem tudtak ellene. Ezenfelül, az érdekmérlegelési tesztben nem vizsgálják az érintettek oldalát, nem részletezik a hangulati állapot elemzését és az adatvédelmi hatásvizsgálatban sem javasolnak érdemi megoldást ennek a nem elhanyagolható kockázatnak a csökkenésére" - magyarázza dr. Barta Gergő, a Deloitte Kockázatkezelési tanácsadás üzletágának szakértője.
A bank "évek óta nem biztosította a megfelelő tájékoztatást, valamint a tiltakozási jogot, mivel úgy döntött, hogy azok biztosítása nem megoldható számára" - írja a NAIH, amely megállapította, hogy a banknak nem volt jogalapja a hangfelvételek ilyen módon történő automatikus elemzésére. "Egy új típusú és fokozott kockázatú technológia alkalmazása esetén a tényleges garanciák megléte, valamint rendszeres és érdemi felülvizsgálat minimumelvárásnak tekinthetőek" - teszi hozzá az adatvédelmi hatóság beszámolója.
A hatóság a fentieket figyelembe véve megállapította, hogy a pénzintézet hangfelvétel-elemzéssel kapcsolatos adatkezelési gyakorlata több ponton ütközik az általános adatvédelmi rendelettel (GDPR), így utasította a bankot az adatkezelési gyakorlatának megváltoztatására. Ennek keretében a pénzintézet a hangelemzés során a jövőben nem elemezheti az érzelmeket, az adatkezeléssel kapcsolatos jogokat pedig megfelelően kell biztosítaniuk, különös tekintettel a megfelelő tájékoztatás és tiltakozás jogára. "A bank munkavállalóival kapcsolatban az adatkezelésnek a szükségesre kell korlátozódnia, és ennek megfelelő tájékoztatást kell nyújtani részükre a kapcsolódó pontos következmények megjelölésével" - teszi hozzá a hatóság.
A NAIH az ügyben 250 millió forintos adatvédelmi bírságot szabott ki a bankra, ami a Deloitte szerint rekordösszegű büntetésnek számít. A tanácsadócég felhívja rá a figyelmet, hogy az EU mesterséges intelligenciáról szóló rendelettervezetének 52. cikke alapján az érzelemfelismerő rendszerek esetében a tervezet szigorú tájékoztatási kötelezettségeket állapít meg, amelyek megszegése esetén magas, akár 30 millió eurós bírsággal kell számolni.