Az utóbbi években a mesterséges intelligencia (MI) fejlődése óriási lépéseket tett, különösen a chatbotok területén. Ezek az MI alapú szoftveralkalmazások az ún. LLM-re (Large Language Models) épülnek, aminek köszönhetően képesek értelmezni a felhasználók kérdéseit, kéréseit és válaszolni azokra. Azonban az MI alapú chatbotok – mivel adatokkal dolgoznak – adatvédelmi kérdéseket vetnek fel, tekintve hogy az interakció során a felhasználók személyes adatokat oszthatnak meg az alkalmazással.

Elsőnek azt szükséges megérteni, hogy milyen adatokkal dolgozik egy MI alapú chatbot.

  • Tanuló adatok: az az adatbázis, amiből az adott chatbotot tanítják. Ilyen lehet például egy weboldal teljes tartalma egy weboldalba integrált ügyfélszolgálati célra használt chatbot esetében.
  • Input adatok: azok az adatok, amiket a felhasználó bevisz a chatbottal való kommunikáció során. Például a feltett kérdése, az interakció pontos ideje, IP cím.
  • Output adatok: Tulajdonképpen a chatbot válasza a felhasználó kérdésére, kérésére, valamint annak pontos ideje.

Természetesen, mint minden adatkezelés esetén, az MI alapú chatbotok szolgálatba állítása előtt is meg kell találnia az Adatkezelőnek a megfelelő célt és jogalapot. A chatbotok felhasználása (pl. MI alapú „munkahelyi kisokos” létrehozása) és így a különböző felhasználásokhoz társított cél és jogalap rendkívül változatos lehet, de mivel jellemzően a többség az ügyfélszolgálati tevékenység során használja, maradjunk most ennél a példánál.

Az ügyfélszolgálat hatékonyabbá tétele lehet egy jogszerű cél, aminek egyik szóba jöhető jogalapja az ügyfél chatbot használatához való önkéntes hozzájárulása, azaz a GDPR 6. cikk (1) bekezdés f) pont. Vagy akár az Adatkezelő ügyfélszolgálat tehermentesítéséhez, ügyintézés gyorsításához fűződő jogos érdeke, azaz a GDPR 6. cikk (1) bekezdés f) pont, nyilván mindkét esetben a megfelelő garanciák (visszavonáshoz/tiltakozáshoz való jog) biztosítása mellett.

A másik kiemelten fontos lépés az adatvédelmi megfeleltetés terén az átláthatóság biztosítása. Ez praktikusan azt jelenti, hogy a chatbotokkal végzett adatkezelésről is tájékoztatni kell a felhasználókat a GDPR 12-14. cikkének megfelelően. Itt a fent már kifejtett célon és jogalapon túl főleg a kezelt adatok körére, megőrzési idejére, adatkezelő, adatfeldolgozó személyére stb. kell gondolni.

A felsoroltakon kívül a chatbotokkal történő adatkezelés specifikuma, hogy a kezelt adatok körénél fontos tisztázni, az Adatkezelő felhasználja-e a felhasználóval folytatott beszélgetést a chatbot további tanítására, mert amennyiben igen, az már egy újabb adatkezelési célnak minősül, ami mellé jogalapot, megőrzési időt és adatkört kell rendelni.

Továbbá, annak ellenére, hogy még nem született meg az Európai Unió mesterséges intelligenciára vonatkozó rendelete, az AI Act – mely újabb tájékoztatási kötelezettséget fog előírni – alapján a mesterséges intelligencia etikus felhasználása érdekében érdemes tájékoztatni a felhasználókat arról, hogy

  • nem emberrel kommunikálnak, illetve milyen módon tudják emberrel felvenni a kapcsolatot, valamint,
  • egy rövid, közérthető leírást, hogy nagyjából hogyan működik a chatbot mögött lévő mesterséges intelligencia.

Az adatkezelésre vonatkozó tájékoztatást pedig az Adatkezelő weboldalán túl érdemes a chatbottal való első interakció során, pl. a chatablak megnyitása után egy a részletes tájékoztatásra mutató linken is megjeleníteni.

Mind a mesterséges intelligencia, mind az adatvédelem dinamikus, folyamatos fejlődésben lévő terület, melyek újabb és újabb kérdéseket, valamint újabb és újabb megoldásokat vetnek fel, már csak ezért is érdemes nyomon követni és napra késznek maradni e témákban.