Банк получил GDPR штраф за анализ эмоций клиента
ФИО, дата рождения, место жительства, индивидуальный налоговый номер, информация о налоговой резидентности и контакты. Такой перечень персональных данных мы привыкли видеть в политиках конфиденциальности банков. Но Budapest Bank пошел дальше, и внедрил анализ эмоциональных элементов для выявления неудовлетворенности клиентов. Вот только пройти gdpr compliance у компании не вышло. В 2022 году Венгерское управление по защите данных выявило нарушение GDPR и оштрафовало бизнес на 700 000 EUR.
IT-юристы Stalirov&Co проанализировали кейс и рассказали детали.
Какие технологии внедрил Budapest Bank
Программное обеспечение банка использовало искусственный интеллект для обработки речевого сигнала, чтобы определить периоды тишины, голоса, ключевые слова и эмоциональные элементы: скорость, громкость и высота голоса. Это помогало выявить неудовлетворенность клиентов. После того, как ПО автоматически идентифицировало звонки по таким критериями, сотрудник банка прослушивал записи и перезванивал клиентам, чтобы решить их проблемы.
Цель такой обработки — проведение контроля качества звонков, предотвращение жалоб и оттока клиентов, повышение эффективности.
Какие нарушения выявило управление по защите данных
Банк информировал о том, что звонки записываются, но не сообщал о том, что использует искусственный интеллект. Клиенты не знали об анализе голоса, а также о том, как обрабатывались и оценивались их эмоциональные реакции. А это нарушение статей 12(1), 13, 5(1) и 5(2) GDPR.
Также Управление по защите данных обнаружило, что нет информации о праве на возражение, что привело к нарушению статьи 21 GDPR.
Банк не представил доказательств того, что соблюдал адекватный баланс между своим законным интересом в проведении обработки и правами клиентов. Эффективность ПО для анализа эмоций на самом деле низкая, и банку не удалось доказать, что его использование подходит для достижения поставленных целей. Кроме этого, банк не рассматривал альтернативные способы обработки.
Как можно было избежать штрафа
У компаний, которые регулярно и систематически проводят мониторинг большого объема данных, должен быть Data protection officer. Его задача инициировать оценку воздействия данных, актуализировать документы и следить за изменениями в законодательстве.
В кейсе Budapest Bank DPO должен был, как минимум, описать процессинг с использованием искусственного интеллекта в политике конфиденциальности компании. А также акцентировать внимание топ-менеджмента на том, что Европейский совет по защите данных крайне негативно относятся к использованию искусственного интеллекта для анализа эмоций. Орган считает, что такие процессы должны быть запрещены, за исключением конкретных случаев. Например, для целей здравоохранения или научных исследований.
Венгерское управление по защите данных сослалось именно на эту позицию Европейского совета и пришло к выводу, что заявленные банком цели повышения эффективности несоразмерны с формой обработки данных.
Зачем компаниям в Украине следить за актуальной практикой надзорных органов
GDPR — это правила сбора, обработки и хранения данных граждан ЕС. Если украинская компания предоставляет услуги или продает товары гражданам ЕС, она попадает под действие регламента. Поэтому, когда ваш украинский бизнес примет решение внедрять искусственный интеллект в процессы обработки личной информации граждан ЕС, вспомните кейс Budapest Bank, чтобы избежать потенциального штрафа.
Валерий Сталиров, CEO компании IT-юристов Stalirov&Co