Chatbotot használna? Erre nem árt odafigyelnie!

Napjainkban egyre többen fedezik fel az üzenetküldõ platformok keretében mûködõ chatbotok kommunikációs elõnyeit, melyen keresztül hatékonyan érhetõek el a felhasználók. Az eszköz használatakor azonban biztosítani kell az ügyfelek adatvédelmi jogait és informatikai védelmét is. „Garantálni kell, hogy adataik nem kerülnek rossz kezekbe, és csak arra a célra használják fel ezeket, amelyhez hozzájárultak.” – figyelmeztetett dr. Dudás Gábor, a KLART Legal szakértõje a Chatbotom van, és nem félek használni! avagy hétköznapi robotika az új adatvédelmi rendelet elõszobájában címmel tartott meetupon.

A chatbot egyszerûsége és nagy elérése miatt óriási lehetõséget jelenthet a gazdaság legkülönbözõbb területein, de veszélye is ebben rejlik. Sokan alkalmazhatják óvatlanul: a fejlesztõk nem figyelnek a biztonságra, hogy ne csorbítsák a felhasználói élményt, és az emberek is óvatlanok lehetnek saját adataikkal. Azt a megoldást kell megtalálni fejlesztõnek, megrendelõnek, IT biztonsági szakértõknek és jogászoknak közösen, amely által megmarad az eszköz sokoldalúsága, de már kellõ biztonságot is nyújt.

„A chatbot egy olyan szoftveres eszköz, amely képes kiváltani az applikációkat és sokszor a weboldalakat is.” Business Insider emelte ki Rátz Tibor, a Telenor munkatársa. Szabó Csenger, a BotCool ügyvezetõje szerint olyan üzenetküldõ platform, amelyek képesek elérni és végigvezetni az ügyfeleket egyszerû folyamatokon. Dudás Gábor szerint a chatbot jogilag egy intelligens call center, amelyen automatizált eszközzel történik az adatfeldolgozás, és ez többlet adatvédelmi kötelezettséggel jár.

A chatbot megkerülhetetlen marketing eszköz, mert 2016-ban már több mint 1,4 milliárd ember használt üzenetküldõ alkalmazást havonta, többen, mint ahányan közösségi oldalakat. Az e-mailben küldött üzeneteket 22,8%-ban, a Messengeren küldötteket 84,3%-ban nyitották meg, az e-mailnél az átkattintás 3,2% volt, a Messengernél 28,3. A chatbotok lehetnek például e-commerce botok, amely vásárlási folyamatokat menedzselnek, személyes asszisztensek, amelyek segítik az edzés program megvalósítását, infobotok, melyek feladata lehet pl. egy konferencián tájékoztatás a programokról vagy vásárlásösztönzõ kampányokat folytató chatbotok. A megoldás elõnye, hogy platformfüggetlen, nagyon egyszerû a belépés, a botfejlesztés gyorsabb és olcsóbb, mint egy appé.

A chatbotok azonban számos adatvédelmi kockázatot is hordoznak, figyelmeztetett Németh Antal, a KPMG IT kockázatkezelési tanácsadója. Veszélyt jelenthetnek azok, akik a chatboton magukat másnak kiadva próbálnak megszerezni adatokat. A biztonsághoz vezetõ elsõ lépés, hogy a chatbotok két lépcsõben azonosítsák a felhasználót és a munkamenetét. Nagyon fontos, hogy a munkamenetbõl lehessen kijelentkezni, mely ne csak a felhasználónál, hanem a szolgáltatónál is zárja le a folyamatot. A végpontok között titkosítsák az üzeneteket, a felhasználón és a szolgáltatón kívül senki más ne ismerhesse meg azt. Végül, de nem utolsó sorban az üzenetek semmisítsék meg önmagukat.

Dudás Gábor, a KLART Legal adatvédelmi szakértõje, partnere elõadásában rámutatott, hogy jogi szempontból az egyik problémát az adatkezelõ fogalmának meghatározása okozza. A jelenlegi jogszabályok szerint a szolgáltató és a platformot biztosító közvetítõ egyetemlegesen felelõsek, mert mindkettõ olyan helyzetben van, hogy meghatározhatja, hogyan használja az adatokat. Ellenben a szolgáltató nem tudja, hogy mit csinál a platformot biztosító – sokszor globális – szolgáltató ezekkel. Ennek ellenére egy vitás ügyben könnyebb a kisebb szereplõt utolérni és szankcionálni a jogszerûtlen adatkezelésbõl fakadó károkért. „A szolgáltatók tehát nagy kockázatot vállalnak a közös adatkezeléssel. ” – emelte ki dr. Dudás Gábor.
Mivel a chatboton jogi szempontból automatizált eszközzel történik az adatfeldolgozás, fokozottabb adatvédelmi tájékoztatási kötelezettséggel jár. Az érintetteknek tudniuk kell arról, hogy mi történik az adataival, ki az adatkezelõ, mennyi ideig használják ezeket stb. Az automatizált eszközzel történõ adatfeldolgozás esetében azt is közölni kell, hogy egy automatával állunk szemben, és kérésre egyszerûen, közérthetõen el kell magyarázni a rendszer mûködési elveit is.

Komoly problémába ütközhet az interneten szolgáltatott adatok tekintetében teljes bizonyító erejû magánokirat / írásbeli nyilatkozat beszerzése, ugyanis a bíróság nem feltétlenül fogja elfogadni a felhasználó elektronikusan megadott beleegyezését.

A GDPR alapjában véve nem vezet be új szabályokat a chatbotok területén, de néhány ponton jobban körvonalazza a kötelezettségeget, és persze köztudottan nagyobb bírsággal fenyegeti azokat, akik megszegik a régi-új szabályokat. Jobban oda kell figyelni például arra, hogy a felhasználók profilját csak hozzájárulással lehet megalkotni, vagy akkor, ha a szerzõdés teljesítéséhez ez elengedhetetlenül szükséges. Pedig a chatbotok a fent elmondottak szerint perszonalizáltak, vagyis nem mûködhetnek profilalkotás nélkül, miközben a hozzájárulás meglétét nehéz bizonyítani. A megoldást az jelentheti, ha az általánosabb célokra, például marketing, amelyhez még nem kellenek érzékeny adatok, használjuk a chatbotot, de az érzékeny adatot igénylõ pontokon, már más módon szerezzük be a hozzájárulást. Fontos az adatvédelmi szempontok érvényesítése a folyamat minden pontján (privacy by design). Ennek érdekében a GDPR hatályba lépése után már kötelezõ lesz a hatásvizsgálat. Minden tervezett chatbotot át kell világítani adatvédelmi szempontból már a fejlesztés elõtt.

Az adatvédelmi megfelelés érdekében érdemes minél inkább leválni a közös médiafelületrõl, és egyedüli adatkezelõi szerepre törekedni. Elõre fel kell készülni a mûködés során szükséges tájékoztatási kötelezettségekre, meg kell oldani a hozzájárulások igazolhatóságának kérdését.