Az olasz adatvédelmi hatóság (Garante per la protezione dei dati personali – „Garante”) 2021. június 10-i határozatában megállapította, hogy a milánói székhelyű, ételek és egyéb termékek házhozszállításával foglalkozó Foodinho S.r.l. („Foodinho”) jogszerűtlenül kezelte futárjai személyes adatait.
A Garante 2,6 millió EUR (nagyjából 935 millió forint) összegű bírságot szabott ki a Foodinho-ra, és a társaság 90 napon belül át kell dolgozza az általa használt algoritmust.
Tekintettel arra, hogy
az automatizált döntéshozatal egyre elterjedtebb, és az algoritmusok használata nem csak adatvédelmi kérdéseket vet fel,
a Garante határozatának megállapításai a magyarországi társaságok számára is tanulságosak lehetnek.
I. A Foodinho algoritmusának működése
A Foodinho körülbelül 19.000 futára egy telefonos applikáció segítségével veheti át, illetve kézbesítheti a vásárlók rendeléseit. A telefonos applikációt és a megrendeléseket a futárokhoz rendelő algoritmusokat a Foodinho spanyol anyavállalata, a GlovoApp23 Sl. fejlesztette. A Garante ezért a spanyol adatvédelmi hatósággal (Agencia Española de Protección de Datos – „AEPD”) kezdeményezett közös eljárást – az AEPD eljárásnak eredményéről még nincs információ.
A Foodinho kétféle automatizált döntéshozatallal járó adatkezelést végez:
1. A „kiválósági rendszer” a Foodinho által az általában egy-egy órás szállítási időintervallumok futárok közötti kiosztására használt belső pontrendszer. Az időintervallumok lefoglalásával a futár gyakorlatilag kiválasztja, mikor szeretne dolgozni. A „kiválósági rendszer” ugyanakkor minden egyes futár számára egy bizonyos pontszámot generál, és a legmagasabb pontszámokkal rendelkezőket a rendszer a szállítási időintervallumok kiosztása során előnyben részesíti. A gyakorlatban ez azt jelenti, hogy az alacsonyabb pontszámú futárok kimaradhatnak a beosztásból, ha minden rendelkezésre álló helyet betölt egy magasabb pontszámú jelölt.
A „kiválósági pontszám” automatizált matematikai képlettel kerül kiszámításra, elsősorban a vásárlóktól és az üzleti partnerektől (kereskedőktől vagy éttermektől) érkezett visszajelzések alapján. A vásárlók által a futár szakszerűtlensége vagy az ételek nem megfelelő szállítása, az üzleti partnerek által pedig a futár hátitáskájának hiánya és szakszerűtlensége járulnak hozzá negatívan a pontszámhoz. A negatív visszajelzések sokkal nagyobb súllyal szerepelnek a képletben, mint a pozitív visszajelzések, és a rendszer bünteti is azokat a futárokat, akik nem érnek el bizonyos kiszállítási küszöbértékeket.
2. A „Jarvis” megrendeléskiosztó rendszer a futárok által generált adatokat használja a megrendelések kiosztására. Figyelembe veszi a futárok földrajzi helyzetét (a futárok GPS eszköze alapján), az átvételi és a kiszállítási címet, a rendelések egyedi követelményeit (például a futár tud-e egyéb termékeket is felvenni és kiszállítani a már megrendeltek mellett), és az adott futár által használt járművet. A Jarvis teljes mértékben automatizált módon kezeli a kapott adatokat, és automatikusan hozzárendeli a megrendelést egy futárhoz.
II. A Garante által feltárt jogsértések
1. GDPR 30. (1) cikk – az adatkezelési tevékenységek nyilvántartásával kapcsolatos kötelezettségek megszegése
A Foodinho által vezetett belső adatkezelési nyilvántartások nem tartalmaztak konkrét információkat a személyes adatok köréről, az adattárolás időtartamáról; valamint a GDPR 32. cikk (1) bekezdésében említett technikai és szervezési biztonsági intézkedésekről.
2. GDPR 5. cikk (1) a) – az „átláthatóság” alapelvének megsértése és GDPR 13. cikk (2) – az „előzetes tájékoztatás” követelményének megsértése
A Foodinho nem tájékoztatta a futárokat a velük kapcsolatban gyűjtött személyes adatok pontos köréről (különös tekintettel a chat-en, emailben és telefonon az ügyfélszolgálattal folytatott beszélgetések tárolásáról), a helymeghatározási adataik kezelésének konkrét módjáról, valamint az üzleti partnerek és vásárlók által végzett értékelés menetéről.
3. A GDPR 5. cikk (1) c) – az „adattakarékosság” elvének megsértése, a GDPR 25. cikk cikkben meghatározott kötelezettség (beépített és alapértelmezett adatvédelem) megsértése, valamint a GDPR 32. cikk – az adatkezelés biztonságának megsértése
A Foodinho által használt rendszereket úgy konfigurálták, hogy a megrendelések kezelésével kapcsolatos minden adatot gyűjtsenek és tároljanak, valamint lehetővé tegyék az arra felhatalmazott rendszerüzemeltetők számára az adminisztrációs és az ügyfélrendszerek által gyűjtött adatok egyidejű, közös felhasználását. A chat és az email kezelő rendszer minden rendszerüzemeltető számára alapértelmezetten, közvetlenül elérhetővé tette a futárokkal folytatott beszélgetések tartalmát. A Garante ezeket a hozzáférési jogokat túl széleskörűnek tartotta.
4. GDPR 5. cikk (1) e) – a „korlátozott tárolhatóság” elvének megsértése
A GDPR 5. cikk (1) bekezdés e) pontja alapján „a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé”. A Foodinho adatkezelési tájékoztatója túl általános és pontatlan információkat tartalmazott a személyes adatok tárolásának időtartamáról, az adattárolási időtartam végével a személyes adatok pedig nem kerültek anonimizálásra.
5. GDPR 22. cikk – automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást
A GDPR 22. cikke szerint:
- „Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené”. A Foodinho a kiválósági pontszámot automatizált döntéshozatal segítségével határozta meg, a futárok teljesítményének elemzése, továbbá viselkedésük, földrajzi helyzetük és mozgásadataik előrejelzése segítségével. Ez önmagában nem jogszerűtlen, de a futárok azonban nem kaptak részletes információt az automatizált döntéshozatal folyamatáról, jelentőségéről és következményeiről, pedig a döntés megrendelések elvesztését és bevételkiesést is okozhatott számukra.
- „Az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.” A Foodinho nem tájékoztatta a futárokat jogaik érvényesítésének lehetőségéről és nem is biztosított erre megfelelő csatornákat – például chat, email. A társaság nem ellenőrizte rendszeresen az automatizált döntéshozatal által felhasznált adatok pontosságát, relevanciáját és célnak való megfelelőségüket, valamint a döntéshozatal eredményeit. Ezen túlmenően, a Foodinho nem alkalmazott intézkedéseket, amelyek csökkenthették volna a torz vagy hátrányosan megkülönböztető hatásokat akár a kiválósági rendszer (ahol a vásárlói és üzleti partneri visszajelzések a teljes pontszám 20%-át teszik ki), akár a Jarvis rendeléskiosztó rendszer (ahol a futárok kevesebb munkalehetőségben részesülnek alacsony számú vagy elszórtan teljesített kiszállítások esetén) – tekintetében.
A Garante megállapította, hogy a társaság köteles a működése során igénybe vett applikáció, és az abban futó és döntéseket hozó algoritmus által felhasznált adatok pontosságát és szükségességét felülvizsgálni. Ide tartozik a futárok földrajzi helyzetének 15 másodpercenként frissített nyomonkövetése, az érkezési idők nyilvántartása és a vásárlók és üzleti partnerek visszajelzései is. A nyomonkövetés a hibák elkerülésére, illetve ezek kockázatának csökkentésére szolgál, amelyek következtében eddig számos futár nem is jött számításba bizonyos megrendeléseknél, így valójában maga az applikáció hozta őket hátrányosabb helyzetbe. Folyamatos nyomonkövetés esetén könnyebb biztosítani az egyenlő elbánást minden futár számára.
6. GDPR 35. cikk – az adatvédelmi hatásvizsgálat hiánya
A Foodinho nem végezte el a GDPR-ban előírt kötelező adatvédelmi hatásvizsgálatot. A társaság által végzett adatkezelés jelentős számú érintettre vonatkozó, jelentős mennyiségű, különböző jellegű adatot érintett, továbbá egy, a kereslet és a kínálat összehangolását célzó algoritmusokra támaszkodó digitális platformon keresztül végezték. Ez az adatkezelés egyértelműen innovatív jellegű volt, és az adatvédelmi hatásvizsgálat elvégzésére vonatkozó kötelezettség hatálya alá tartozott. Ezen túlmenően, az adatkezelés az érintetteket jelentősen érinti, mivel többféle adatot, többek között földrajzi helymeghatározási adatokat használ, és ennek következtében egyes futárokat kizárhat a munkalehetőségekből.
7. GDPR 13. cikk (1) b) és GDPR 37. cikk (7) – az adatvédelmi tisztviselővel kapcsolatos kötelezettségek megsértése
Az adatvédelmi tisztviselő kapcsolattartási adatai nem voltak elérhetőek a futárok számára, és a Foodinho a Garante számára sem jelentette be azokat. (Az AEPD 2020-ban 25 000 EUR (nagyjából 9 millió forint) értékű bírságot szabott ki a GlovoApp23-ra, a GDPR 37. cikk megsértése miatt, mivel nem nevezett ki adatvédelmi tisztviselőt.) Több adatvédelmi hatóság gyakorlata is arra enged következtetni, hogy az adatvédelmi tisztviselő földrajzilag működhet a vállalatcsoport bármely tagjának székhelyén, de kinevezését az összes illetékes adatvédelmi hatóságnál be kell jelenteni.
III. További tanulságok, figyelemmel az EU Mesterséges Intelligencia rendeletének tervezetére
2021. április 21-én az Európai Bizottság közzétette „A mesterséges intelligenciára vonatkozó harmonizált szabályok (A mesterséges intelligenciáról szóló jogszabály) megállapításáról” szóló rendelet javaslatát („MI Rendelettervezet”). Az MI Rendelettervezet célja, hogy meghatározza a mesterséges intelligencia rendszerek tervezésének és forgalmazásának szabályozási keretét. Ha elfogadják, a rendeletet mind az uniós gyártókra és beszállítókra, mind a termékeiket az EU-ba exportáló vállalatokra egyaránt alkalmazni kell majd.
Az MI Rendelettervezet 6. cikk (2) bekezdés, valamint a III. melléklet 4. pont b) alpontja alapján a Foodinho által alkalmazott rendszer (a futárok által használt applikációban működő algoritmusok) úgynevezett „magas kockázatú MI rendszernek” minősülhet. A kiválósági rendszer, valamint a Jarvis ugyanis „olyan MI-rendszerek, amelyeknek célja a munkával kapcsolatos szerződéses kapcsolatok előmozdítására és megszüntetésére vonatkozó döntések meghozatala, a feladatok kiosztása, valamint az ilyen kapcsolatokban részt vevő személyek teljesítményének és magatartásának nyomon követése és értékelése”.
A magas kockázattal járó MI rendszerek különleges tervezési és végrehajtási kötelezettségek, valamint a forgalomba hozatalhoz szükséges előzetes megfelelőségi igazolás feltételeivel lesznek alkalmazhatók. A jogszabályi követelmények közé tartozik az átláthatóság feltétele is – MI Rendelettervezet 13. cikke szerint
„a nagy kockázatú MI-rendszereket úgy kell megtervezni és fejleszteni, hogy működésük kellően átlátható legyen ahhoz, hogy a felhasználók értelmezhessék a rendszer kimenetét és megfelelően használhassák azt”.
Kötelező továbbá
„tömör, teljes körű, pontos és egyértelmű, a felhasználók számára releváns, hozzáférhető és érthető információkat tartalmazó” használati utasítást mellékelni.
Az MI Rendelettervezet 14. cikke tartalmaz szabályokat az emberi felügyeletre vonatkozóan is, ezt az MI-rendszer teljes élettartama alatt hatékonyan kell végezni.
Ha tehát az MI Rendelettervezet a Garante vizsgálatának idején hatályban van, a Foodinho esetében nemcsak a GDPR és a nemzeti jogszabályok, hanem e rendelet megsértése is felmerülhetett volna. Az MI Rendelettervezet szerint a jogsértések akár 30 000 000 EUR összegű közigazgatási bírsággal, illetve vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 6 %-át kitevő összeggel sújthatók.