Avagy hétköznapi robotika az új adatvédelmi rendelet előszobájában
Napjainkban egyre többen fedezik fel az üzenetküldő platformok keretében működő chatbotok kommunikációs előnyeit, melyen keresztül hatékonyan érhetőek el a felhasználók. Az eszköz használatakor azonban biztosítani kell az ügyfelek adatvédelmi jogait és informatikai védelmét is. Garantálni kell, hogy adataik nem kerülnek rossz kezekbe, és csak arra a célra használják fel ezeket, amelyhez hozzájárultak.
„A chatbot egy olyan szoftveres eszköz, amely képes kiváltani az applikációkat és sokszor a weboldalakat is.” emelte ki a Business Insider meghatározását Rátz Tibor, a Telenor munkatársa a Klart Legal 2017. június 22-én tartott meetupján. Elmondta, hogy a chatbot ma már megkerülhetetlen marketing eszköz, mert 2016-ban már több mint 1,4 milliárd ember használt üzenetküldő alkalmazást havonta. Tavaly már többen voltak rendszeresen jelen üzenetküldő alkalmazáson, mint közösségi oldalon, vagyis itt érhetőek el a leghatékonyabban a felhasználók. Rátz Tibor ezután bemutatta néhány korábbi tapasztalatukat. Például 2016-ban hozták létre az olimpiai híreket szolgáltató botjukat az ügyfelek lojalitásának megerősítésére, de a belső kommunikációban vagy az újságírókkal történő kommunikációban is számítanak a bot segítségére pl. egy rendezvényen a résztvevők regisztrációja esetén.
Szabó Csenger, a BotCool ügyvezetője szerint a chatbotok olyan üzenetküldő platformok, amelyek képesek elérni és végigvezetni az ügyfeleket egyszerű folyamatokon. Bemutatott néhány chatbot típust: például e-commerce botok, amely vásárlási folyamatokat menedzselnek, személyes asszisztensek, amelyek segítik az edzés program megvalósítását, infobotok, melyek feladata lehet pl. egy konferencián tájékoztatás a programokról vagy vásárlásösztönző kampányokat folytató chatbotok. A megoldás előnye, hogy platformfüggetlen, nagyon egyszerű a belépés, a botfejlesztés gyorsabb és olcsóbb, mint egy appé. A legfontosabb azonban az, hogy jelenleg sokkal hatékonyabb, mint pl. az e-mail kommunikáció. Míg az e-mailben küldött üzeneteket 22,8%-ban, a Messengeren küldötteket 84,3%-ban nyitották meg, az e-mailnél az átkattintás 3,2% volt, a Messengernél 28,3. Ez egyrészt az interaktivitás, másrészt a személyesség miatt alakul így. A jó chatbot perszonalizált, nem minden üzenetet kell elküldeni minden felhasználóknak, csak az őt potenciálisan érdeklőket. Hiszen minél relevánsabb egy tartalom, annál kevésbé idegesítő, és annál kisebb valószínűséggel iratkozik le a felhasználó.
Szabó Csenger egy kérdésre válaszolva hozzátette: „Az adatkezelés és a titkosítás kapcsán a történelem ismétli önmagát. Párhuzamot vonhatunk a Facebook és a 10 évvel ezelőtt megjelent felhőszolgáltatók között, akik szintén adatkezelőként léptek be a folyamatba. Hogy megbízunk-e a Facebookban az adataink tárolását illetően, hasonló kérdés, mint, hogy megbízunk-e a bankunkban a pénzünk tárolását illetően. Ez egy olyan terület, amelynek a jövőben még fejlődnie kell.”
Chatbotok biztonságáról Németh Antal, a KPMG IT kockázatkezelési tanácsadója beszélt. Először bemutatta, hogy a chatbotok bárhol futhatnak, vagyis a felhasználók sokszor nem is tudják, hogy kikkel állnak kapcsoltban a teljes folyamat során. Veszélyt jelenthetnek azok, akik a chatboton magukat másnak kiadva próbálnak megszerezni adatokat vagy szoftverek letöltését elérni. Ezért nagyon fontos, a biztonság. Az ehhez vezető első lépés, hogy a chatbotok azonosítsák a felhasználót és a munkamenetét, vagyis az ügyfél jelentkezzen be. Az azonosítás álljon legalább két lépcsőből, a jelszó mellett legyen szükséges egy másik „adat” pl. ujjlenyomat vagy telefonra érkező aktuális kód, amit meg kell adni a belépéskor. Nagyon fontos, hogy a munkamenetből lehessen kijelentkezni: visszavonni az azonosítóját. Ez ne csak a felhasználónál, hanem a szolgáltatónál is zárja le a munkamenetet. A végpontok között titkosítsák az üzeneteket, vagyis a felhasználón és a szolgáltatón kívül senki más ne ismerhesse meg azt, még a közvetítő platform sem. Végül, de nem utolsó sorban az üzenetek semmisítsék meg önmagukat, ne lehessen visszamenőleg ezeket elolvasni.
Dudás Gábor, a KLART Legal adatvédelmi szakértője, partnere előadásában rámutatott, hogy jogi szempontból az egyik problémát az adatkezelő fogalmának meghatározása okozza. Mivel ezek a határok a chatbotok esetében a szolgáltató és a platformot biztosító között elmosódnak, így felmerül a kérdés, hogy ki a felelős az adatok védelméért. A jelenlegi jogszabályok szerint a szolgáltató és a platformot biztosító közvetítő egyetemlegesen felelősek, mert mindkettő olyan helyzetben van, hogy meghatározhatja, hogyan használja az adatokat. Ellenben a szolgáltató nem tudja, hogy mit csinál a platformot biztosító – sokszor globális – szolgáltató ezekkel. Ennek ellenére egy vitás ügyben könnyebb a kisebb szereplőt utolérni és szankcionálni a jogszerűtlen adatkezelésből fakadó károkért. „A szolgáltatók tehát nagy kockázatot vállalnak a közös adatkezeléssel. ” – emelte ki dr. Dudás Gábor.
Jogilag a chatbot egy intelligens call center – azaz nem szoftveres robot –, amelyen automatizált eszközzel történik az adatfeldolgozás. Ez fokozottabb tájékoztatási kötelezettséget von maga után az ügyfelek felé. Az érintetteknek tudniuk kell arról, hogy mi történik az adataival, ki az adatkezelő, mennyi ideig használják ezeket stb. Az automatizált eszközzel történő adatfeldolgozás esetében azt is közölni kell, hogy egy automatával állunk szemben, és kérésre egyszerűen, közérthetően el kell magyarázni a rendszer működési elveit is.
Komoly problémába ütközhet az interneten szolgáltatott adatok tekintetében teljes bizonyító erejű magánokirat / írásbeli nyilatkozat beszerzése, ugyanis a bíróság nem feltétlenül fogja elfogadni a felhasználó elektronikusan megadott beleegyezését.
A GDPR alapjában véve nem vezet be új szabályokat a chatbotok területén, de néhány ponton jobban körvonalazza a kötelezettségeget, és persze köztudottan nagyobb bírsággal fenyegeti azokat, akik megszegik a régi-új szabályokat. Jobban oda kell figyelni például arra, hogy a felhasználók profilját csak hozzájárulással lehet megalkotni, vagy akkor, ha a szerződés teljesítéséhez ez elengedhetetlenül szükséges. Pedig a chatbotok a fent elmondottak szerint perszonalizáltak, vagyis nem működhetnek profilalkotás nélkül, miközben a hozzájárulás meglétét nehéz bizonyítani. A megoldást az jelentheti, ha az általánosabb célokra, például marketing, amelyhez még nem kellenek érzékeny adatok, használjuk a chatbotot, de az érzékeny adatot igénylő pontokon, már más módon szerezzük be a hozzájárulást. Fontos az adatvédelmi szempontok érvényesítése a folyamat minden pontján (privacy by design). Ennek érdekében a GDPR hatályba lépése után már kötelező lesz a hatásvizsgálat. Minden tervezett chatbotot át kell világítani adatvédelmi szempontból már a fejlesztés előtt.
Az adatvédelmi megfelelés érdekében érdemes minél inkább leválni a közös médiafelületről, és egyedüli adatkezelői szerepre törekedni. Előre fel kell készülni a működés során szükséges tájékoztatási kötelezettségekre, meg kell oldani a hozzájárulások igazolhatóságának kérdését.