Kell tartani a munkavállalóknak a mesterséges intelligenciától?

forrás: Prím Online, 2022. november 28. 15:18

A hazai vállalatoknál is egyre elterjedtebb mesterséges intelligencia (MI) alkalmazásakor érdemes körültekintéssel eljárni, mert a jogszerűtlen adatkezelés jelentős bírsággal járhat – hívja fel a figyelmet a Baker McKenzie ügyvédi iroda. Az adatvédelmi hatóság 250 millió forintos eddigi rekordbírsága is az említett technológia jogsértő alkalmazása miatt került kiszabásra.

A chatbotok, az adatok kiszivárgását megelőző vagy a biztonsági eseményeket felismerő információbiztonsági szoftverek és más mesterséges intelligenciát alkalmazó eszközök használatával egy cég növelheti hatékonyságát, miközben akár költségeit is csökkentheti. Felhasználásuk során azonban szigorú jogi feltételeknek kell megfelelni, hiszen a mesterséges intelligencia működése megfelelő intézkedések nélkül gyakran átláthatatlan lehet az adatkezeléssel érintettek számára.  

 

„Az MI ma még új technológiának számít, és használata általában magas kockázattal jár a munkavállalók, illetve egyéb érintettek jogaira és szabadságaira nézve. A munkáltatóknak ezért a bevezetésről szóló döntés előkészítésekor célszerű adatvédelmi hatásvizsgálatot lefolytatniuk. Sőt, ez bizonyos esetekben kötelező is, például ha az adatkezelés célja a munkavállalók munkájának megfigyelése, vagy ha az MI a munkavállalót teljesítménye és viselkedése alapján profilozza – mondta dr. Vári Csaba, a Baker McKenzie ügyvédi iroda IPTech csoportjának vezetője. „A hatásvizsgálat során többek között azt kell megvizsgálni, hogy a magas kockázat megfelelő intézkedésekkel mérsékelhető-e olyan szintre, amely már megfelel a szükségesség és arányosság elvének” – tette hozzá dr. Gaál András, az IPTech csoport ügyvédjelöltje.

 

Az új technológiát kiemelt gondossággal kell alkalmazni, mert a mesterséges intelligenciával kapcsolatos nem megfelelő adatkezelés jelentős bírsággal járhat. A NAIH egyik döntésében rekordösszegű, 250 millió forintos adatvédelmi bírságot szabott ki egy bankkal szemben. A bank többek között arra használta az MI-t, hogy elemezze az ügyfélhívásokat fogadó munkavállalóinak érzelmeit, és az alapján értékelje teljesítményüket. Az ügyben a NAIH megállapította, hogy ez és a megfelelő tájékoztatás hiánya súlyosan korlátozza a munkatársak önrendelkezési jogát. A hatóság azt is hangsúlyozta: a munkahelyi adatkezeléseknél a munkáltatónak mindig figyelembe kell vennie, hogy a foglalkoztató és az alkalmazott közötti alá-fölé rendeltségi viszony miatt a munkavállalók kiszolgáltatott helyzetben lehetnek az adatkezelés során. 

 

Az MI nem sértheti a munkavállalók jogait

 

A mesterséges intelligencia alkalmazása a munkahelyen elsősorban a munkáltató érdeke, de az adatkezelés nem járhat a munkavállalók jogainak, szabadságainak és érdekeinek szükségtelen és aránytalan korlátozásával. Így bár lehet, hogy alapvető üzleti érdek teszi indokolttá a mesterséges intelligencia alkalmazását, a cég mégsem használhatja azt az alkalmazottak totális megfigyelésére – például minden egyes számítógépes műveletük vizsgálatára vagy személyiségük elemzésére e-mailjeik szóhasználata, nyelvezete alapján. Azt is fontos megvizsgálni, hogy az MI használata egyáltalán szükséges és alkalmas-e a cél eléréséhez. A teljesítményértékelő szoftver például tud-e valós képet adni a munka minőségéről, megalapozhatja-e az előléptetésről szóló döntést, és egyáltalán indokolt-e a bevezetése, vagy ugyanazt az eredményt a technológia használata nélkül is el lehet érni. 

 

 

Az MI csak a vállalat jogszerű céljai eléréséhez igazolhatóan szükséges személyes adatokat gyűjthet és kezelhet. Így például a technikai problémák megoldása érdekében működő chatbot nem gyűjthet a munkavállaló hangulatára vonatkozó adatokat. A személyes adatok csak a gyűjtésükre okot adó célokkal összeegyeztethetően kezelhetők – az e-mailek biztonsági célú elemzését például tilos felhasználni az alkalmazottak egymással szembeni viselkedésének megfigyelésére.

 

A mesterséges intelligencia sok esetben gépi tanulást (machine learning) alkalmaz, ami nagyon leegyszerűsítve azt jelenti, hogy a kezelt adatok alapján saját magát fejleszti. Fontos azonban, hogy a munka törvénykönyve alapján csak olyan személyes adat közlése követelhető a foglalkoztatottól, amely a munkaviszony szempontjából lényeges. Kiemelendő az is, hogy a célhoz kötöttség elve alapján a személyes adatokat nem lehet olyan célból kezelni, amely nem összeegyeztethető a gyűjtést indokló eredeti célokkal. Így – hacsak nem anonimizált személyes adatokról van szó –, a foglalkoztatott személyes adatai legtöbbször nem használhatók fel a mesterséges intelligencia fejlesztéséhez.

 

A munkavállalók adatvédelmi jogai a GDPR általános szabályaihoz igazodnak. Érdemes kiemelni, hogy ha az adatkezelés jogalapja a munkáltató jogos érdeke – ami a mesterséges intelligencia használata esetén rendkívül gyakori –, a munkavállaló jogosult tiltakozni az adatkezelés ellen, aminek a gyakorlását a munkáltatónak elő kell segítenie és a jogosságát meg kell vizsgálnia. Lényeges kérdésekben – például munkaviszony megszüntetésével vagy munkabérrel kapcsolatos kérdésekben – nem javasolt, és a szükségesség és arányosság elve miatt legtöbbször nem is lehet kizárólag automatizált módon döntést hozni.

 

A foglalkoztatónak tájékoztatnia is kell az alkalmazottakat a személyes adatok kezelésének módjáról. A tájékoztatásnak nem feltétlenül kell tartalmaznia a folyamat konkrét műszaki leírását, azonban a munkáltatónak többek közt azt kell egyértelművé tennie, hogy az adatkezelésnek mi a célja és jogalapja, mely személyes adatokat kezeli, ki más fog azokhoz hozzáférni – például külső szolgáltató –, és továbbítják-e a személyes adatokat az Európai Gazdasági Térségen kívülre. Emellett világossá kell tenni azt is, hogy az adatkezeléssel hozott döntések teljesen mentesek-e az emberi beavatkozástól, és ha igen, azt, hogy milyen logika áll a döntéshozatal mögött, és az ilyen döntéseknek az érintettekre nézve milyen jelentősége van.

 

Szem előtt tartandó, hogy az EU-ban kidolgozás alatt áll egy olyan rendelet megalkotása, amely megteremti az MI-re vonatkozó harmonizált európai szabályozást, és amely minden tagállamban közvetlenül alkalmazandó lesz. Ha a rendeletet elfogadják, az új szabályok a mesterséges intelligenciára vonatkozó adatvédelmi jogi követelményekre is kihatással lesznek.