chlopiec-pilka-slonce-rodo

Chatboty zgodne z RODO

Krzysztof Grabowski
02.07.2019
chlopiec-pilka-slonce-rodo
Wirtualni asystenci to rozwiązanie coraz powszechniej wykorzystywane w obszarze obsługi klienta. Według raportu Global Market Insights globalny rynek chatbotów rośnie o ponad 30 proc. rocznie i do 2024 roku osiągnie wartość 1,34 mld USD[1]. Firmy korzystające z takiej formy komunikacji z klientami muszą pamiętać o zapewnieniu zgodności przetwarzanych danych osobowych z wytycznymi RODO.

Chatboty są najczęściej wykorzystywane przez banki, ubezpieczycieli, detaliczne sieci sprzedaży, sektor e-commerce, linie lotnicze, hotele, dostawców usług zdrowotnych czy sieci restauracji. Według Gartnera[2] do 2020 r. aż 85 proc. kontaktów klientów z markami będzie się odbywało z udziałem sztucznej inteligencji. Firmy angażujące do obsługi klienta roboty znacząco skracają czas realizacji procesów, dzięki czemu mogą zapewnić szybsze i tańsze wsparcie.

 

Dzień dobry, tu chatbot

Z automatyzacją kontaktu z klientem najłatwiej spotykać się dzwoniąc na infolinię lub wchodząc na strony internetowe firm, gdzie odpowiedzi na ich pytania dotyczące usług, produktów czy procesu reklamacji udzielają wirtualni asystenci. Właściciel chatbota zbiera informacje o każdym użytkowniku, który miał z nim kontakt.

Zgodnie z RODO firmy muszą zidentyfikować dane osobowe, które są pozyskiwane w trakcie rozmowy z robotem. Mogą być to np. informacje identyfikacyjne jak imię, nazwisko, dane kontaktowe, informacje finansowe jak szczegóły płatności czy dane IT - lokalizacja, adres IP oraz pliki cookie.

W praktyce zakres zbieranych danych osobowych może być znacznie szerszy. Będzie on zależny od celu i specyfiki procesu, w ramach którego jest wykorzystywana aplikacja.

Jak dostosować proces do RODO?

Zarówno podmioty tworzące, jak i wykorzystujące technologie oparte na sztucznej inteligencji są zobowiązane do zapewnienia ich pełnej zgodności z RODO.

Administrator aplikacji powinien uwzględnić interesy użytkownika chatbota w taki sposób, aby ingerencja w prywatność nie była nadmierna w kontekście realizowanego celu, zgodnie z zakazem przetwarzania danych na zapas. Należy mieć to na uwadze podczas projektowania aplikacji oraz uzasadniania zakresu zbieranych danych i długości ich przetwarzania.

O celu zbierania danych należy poinformować użytkownika już na początku procesu. Konieczne jest precyzyjne określenie zakresu danych oraz odpowiednich dla niego podstaw legalizacyjnych. Niezbędne jest uwzględnienie przy tym algorytmów, które zapewnią nie tylko poprawny charakter przetwarzania danych, ale także wykluczą przypadki podejmowania zautomatyzowanych decyzji, które z góry mogą mieć charakter dyskryminujący lub w inny sposób niekorzystny dla niektórych grup użytkowników.  

Przejrzysta komunikacja

Użytkownik chatbota powinien otrzymać pełną, przejrzystą i zrozumiałą informację na temat celu, zakresu i kontekstu przetwarzania własnych danych, a także możliwości sprawowania nad nimi kontroli. Administratorzy, wykorzystujący w procesie obsługi klienta modele sztucznej inteligencji, powinni ujawnić osobie, której dane przetwarzają, tak dużo informacji na temat działania algorytmu, jak to możliwe. Każdy użytkownik powinien być świadomy, jaki może być rezultat przetwarzania danych, dlaczego decyzja została podjęta i co może zrobić, aby została zmieniona. Informacje te powinny zapewniać rzeczywistą możliwość skorzystania z przysługujących danej osobie praw[3].

Administrator musi uzyskać aktywnie potwierdzoną przez użytkownika zgodę na przetwarzanie jego danych osobowych.

W przypadku obsługi klienta przez chatboty sprawdzą się checkboxy, potwierdzające nie tylko samo pozyskanie zgody, ale także jej dokładny zakres. Warto stworzyć także regulamin aplikacji, który będzie przedstawiony użytkownikowi w momencie rozpoczęcia rozmowy.

Osoba wyrażająca zgodę na przetwarzanie danych osobowych, powinna mieć możliwość wycofania jej w równie łatwy sposób, w jaki jej udzieliła. Użytkownikowi należy zapewnić prosty dostęp do danych pobranych za pośrednictwem chatbota, możliwość ich przeglądania i pobierania ich kopii (w formie elektronicznej), usunięcia, ograniczenia przetwarzania oraz przenoszenia.

Właściwa ochrona danych

Dynamiczny rozwój sztucznej inteligencji, która jest wykorzystywana przez chatboty, może stwarzać pewne ryzyka w obszarze bezpieczeństwa danych oraz prywatności użytkowników. Kluczowe jest prawidłowe implementowanie przepisów dotyczących podejmowania decyzji opartych na zautomatyzowanym przetwarzaniu danych, w tym profilowaniu, a także procedur dotyczących zbierania informacji. Należy pamiętać, że sztuczna inteligencja nie może być jedynym decydentem, jeśli chodzi o prawne lub podobnie istotne decyzje wpływające na użytkowników. Osoby, których dane są przetwarzane, muszą mieć środki do kwestionowania krzywdzących dla nich decyzji. Jeśli wina za naruszenie praw użytkownika leży po stronie czynnika ludzkiego, udowodnienie tego faktu spoczywa na administratorze.

W każdej organizacji należy przeprowadzić analizę oceny ryzyka, wdrożyć proces monitorowania oraz stworzyć skuteczne procedury reagowania na określonego rodzaju incydenty. Naruszenie, które stanowi zagrożenie dla osób fizycznych należy zgłosić organowi nadzorczemu w ciągu 72 godzin, zaś w przypadku wysokiego ryzyka naruszenia praw i wolności osoby, której dane dotyczą – bez zbędnej zwłoki.

Z pewnością warto wykonywać regularne audyty obszaru działania chatbotów. Ułatwi to bardziej precyzyjne ustalenie zakresu danych potrzebnych do osiągnięcia założonych celów, jak również pozwoli zwiększyć poziom bezpieczeństwa procesu.

 

Autor:

Krzysztof Grabowski

Krzysztof Grabowski
Inspektor Ochrony Danych Osobowych
Crowe Advartis
[email protected]




[1] https://www.gminsights.com/pressrelease/chatbot-market

[2] Gartner Top 10 Strategic Technology Trends for 2018, https://www.gartner.com/smarterwithgartner/gartner-top-10-strategic-technology-trends-for-2018/

[3] Wytyczne Grupy Roboczej art. 29 ds. Ochrony danych dotyczące zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania dla celów rozporządzenia 2016/679 przyjęte w dniu 6.2.2018 r. , Artificial Intelligence and privacy. Report January 2018, The Norwegian Data Protection Authority, s. 22.


Dowiedz się jak możemy ci pomóc w zakresie ochrony danych osobowych.

Ochrona danych osobowych