U Mađarskoj se dogodio baš takav slučaj.
 
Banka je kažnjena iznosom od 700.000 EUR zbog nepoštivanja GDPR-a, a sama reputacijska šteta je vjerojatno i veća.
 
Banka je koristila umjetnu inteligenciju (AI, Artificial Intelligence) radi analize emocija nezadovoljnih klijenata u snimljenim razgovorima s agentima banke.
 
AI software je analizirao parametre verbalnog izražavanja klijenata, pauze šutnje, prisutnost drugih govora u okolini, ključne riječi i emocionalne parametre govora klijenata, kao npr. brzinu govora, naglaske i jačinu glasa, sve s ciljem ocjenjivanja i procjenjivanja razine nezadovoljstva klijenata.
 
Sve se to vršilo automatiziranim sustavima i temeljem rezultata analize ljutnje i nezadovoljstva su se zaposlenici banke preslušavanjem snimke pripremili za naknadni povratni poziv klijentima.
 
Pri tom je banka davala obavijest na početku razgovora o njegovom snimanju, ali ni riječi nisu spomenuli da se temeljem nad snimkama vrši analiza emocija klijenta upotrebom umjetne inteligencije i automatizirano donošenje odluka te stvaranje profila klijenta.
 
Pri tom je banka bila svjesna da takva obrada osobnih podataka klijenata može uzrokovati visok rizik za prava i slobode pojedinca, pogotovo jer su moguće i pravne posljedice na samog pojedinca.
 
Mađarsko nadzorno tijelo je naglasilo da procesuiranje emocionalnog stanja osobe treba promatrati s aspekta posebnih kategorija osobnih podataka, ali u ovom konkretnom slučaju se članak 9. GDPR-a ne primjenjuje s obzirom da analizom govora nije bila moguća identifikacija konkretne osobe pa se samim time snimka govora ne može okarakterizirati biometrijskim podatkom, kao ni što se iz snimke analizom ipak ne mogu razaznati informacije o mentalnom zdravlju pojedinca.
 
Međutim, provođeno je automatsko donošenje odluka bez utjecaja čovjeka kao i stvaranje profila klijenata temeljem analitike ključnih riječi koje su izgovarali i prisutnih emocija tijekom razgovora.
 
Banka nije vodila brigu o poštivanju fundamentalnih prava pojedinaca niti je sukladno tome analizirala rizike na njihova prava i osigurala mjere sprječavanja takvih rizika.
 
Poseban grijeh banke je prešućivanje informacija klijentima da to rade sa snimkama razgovora i izbjegavanje davanja prava na prigovor klijenta na takve analize po dobivanju informacija prema članku 21. GDPR-a.
 
Tu se nadzorno tijelo pozvalo i na zajedničko stajalište EDPB-a i EDPS-a iz 2021. godine koje naglašava da je korištenje AI u svrhe analize emocija izrazito nepoželjno i treba biti zabranjeno, osim u svrhe zdravstvenih i znanstvenih istraživanja.
 
Dodatni problem predstavlja i činjenica da su na isti način analizirani i sami zaposlenici banke i da takve obrade osobnih podataka nisu razmjerne svrhi i cilju obrade.
 
Zaključno, banka nije imala nikakav pravni temelj iz članka 6. GDPR-a za takvu obradu osobnih podataka, pa ni temeljem privole pojedinca.
 
Više o mađarskom slučaju:
 
https://gdprhub.eu/index.php?title=NAIH_(Hungary)_-_NAIH-85-3/2022&mtc=today
 
 
 
 
Photo by Kampus Production from Pexels