A munkáltatók életében a mesterséges intelligencia használata már nem a jövő kihívása, hanem elmondható: aki még meg sem kezdte vele az ismerkedést, az lemaradt. Természetesen a munkavállalók mindennapjaiba is bekúszott, akár a munkájuk kapcsán, akár a magáncélú használat miatt. Így munkáltatóként nem tehetünk mást, mint megpróbáljuk szabályok közé szorítani a munkahelyi használatát. De hogyan álljunk neki? Hiszen ez még finoman szólva sem egy kiforrott terület, minimális mintával, fogódzkodóval… – Adatvédelmi szakértői jótanácsok Gyurkovics Szabolcs tollából – 2. rész!
Az előző részben szó esett a shadow IT és a shadow AI kockázatairól. Ezek két problémát is felvetnek:
- 1. olyan AI alkalmazásokat használnak a munkavállalók, amiket a munkáltató nem engedélyezett, így használatát nem is tudja kontrollálni (már ha egyáltalán tud róla), illetve amit a munkáltatónak nem is szabad bevezetnie az AI Act-ben (a mesterséges intelligenciáról szóló rendelet) rögzített kötelezettségeiből adódóan;
- 2. a munkáltató számára védett és/vagy érzékeny adatok kerülhetnek illetéktelen kézbe.
Az 1. ponttal kapcsolatban először is fontos tisztázni, hogy a munkáltatók alapvetően nem az AI használat ellen vannak, hanem azt szeretnék elérni, hogy az általuk beszerzett, tesztelt és engedélyezett AI megoldásokat használják a munkavállalók munkájuk során. Ebből adódik, hogy mindenképpen tájékoztatni kell arról a munkavállalókat, hogy hol érnek el egy olyan listát, katalógust, ahol erről tájékozódni lehet, illetve, akár az is a szabályzatba foglalható, hogy milyen belső eljárás szabályozza az új AI megoldások bevezetését a munkáltatónál, sőt, akár a munkavállalók részére fórumot lehet biztosítani új ötletek „bedobására”.
Melyek azok az AI megoldások, melyeket még a munkáltató sem vezethet be, illetve a munkavállalóknak a használatuk abszolút tilos? Erre jó támpontot ad az AI Act (a mesterséges intelligenciáról szóló rendelet) 5. cikk (1) bekezdése [1]. Ilyenek például a célzottan manipulatív, megtévesztő AI megoldások, amik torzítják vagy gyengítik a célszemély döntéshozatali képességét (hiába van a marketing szakterületnek „jó ötlete” az ügyfelek vásárlásra bírására) vagy a munkavállalók érzelmeiből következtetést levonó AI megoldások (tehát semmiképp sem ez a módja a munkavállalók elkötelezettségének, motiváltságának stb. mérésére), de természetesen az AI Act megemlíti a hírhedt kínai mintára működő vagy legalábbis ahhoz nagyon hasonlító társadalmi scoring rendszereket is – érthető okokból.
A 2. ponttal kapcsolatban pedig azt szükséges meghatározni, melyek azok az adatok, adatkörök, dokumentumok, amelyeket a munkáltató még olyan AI megoldásba sem szereté, ha a munkavállalók feltöltenének vagy akár prompt, tanítóadat formájában bevinnének, aminek a használata egyébként engedélyezett a munkáltatónál. Ebbe a körbe tartoznak például a GDPR 9. cikk (1) bekezdése [2] szerinti különleges személyes adatok. Nem túl szerencsés, ha a munkavállalók politikai, vallási, egyéb világnézeti vagy egészségügyi témában folytatnak beszélgetést egy – munkavégzés céljából rendelkezésre bocsátott – AI-al. Egy munkáltató általi ellenőrzés során elég kellemetlen dolgok derülhetnek ki így az adott munkavállalóról, sőt, a adatvédelmi szempontból a munkáltató kényszerű adatkezelővé válik, ráadásul különleges személyes adatok vonatkozásában.
Szintén nem szerencsés, ha a munkáltató üzleti titok védelméről szóló 2018. évi LIV törvény szerinti üzleti titkai[3] vagy védett ismeretei[4] kerülnek megosztásra a munkavállalók rendelkezésére bocsátott AI-al. Az üzleti titok és a védett ismeret azonban nem lehet túl tág és általános kategória, ezért például, ha a munkáltató alkalmaz valamiféle besorolási vagy adatbiztonsági szintek szerinti kategorizálást, érdemes ezen szintek közül kiválasztani azokat, amelyeknek a védelme ténylegesen indokolt és még nem lehetetleníti el adott AI használatát.
A munkáltatónak érdemes figyelembe venni továbbá bizonyos etikai szempontokat is annak szabályozásánál, hogy a munkavállalók mire ne használják az AI-t. Ilyen lehet például a másokat sértő, megalázó vagy obszcén tartalmak előállítása AI segítségével. Szintén érdemes tiltani a munkáltató jó hírnevét sértő vagy veszélyeztető tartalmak előállítását is, hiszen a jó hírnév is védendő érték, technológiától függetlenül. Az etikátlan, illetve a jó hírnevet sértő tartalmak előállítása és terjesztése sem a munkáltató szervezetén belül, sem pedig kifelé nem veszi ki jól magát.
Végezetül fontos hangsúlyozni, hogy a munkavállalóknak tisztában kell lenniük azzal, hogy az AI használat nem csak lehetőség, hanem felelősséggel is jár – de ezzel részletesen cikksorozatunk III. részében fogunk foglalkozni.
[1] (1) Tilosak a következő MI-gyakorlatok:
a) olyan MI-rendszerek forgalomba hozatala, üzembe helyezése vagy használata, amelyek szubliminális technikákat alkalmaznak az adott személy tudatán kívül, vagy célzottan manipulatív vagy megtévesztő technikákat alkalmaznak azzal a céllal vagy olyan hatás érdekében, hogy lényegesen torzítsák egy személy vagy személyek egy csoportjának magatartását azáltal, hogy jelentősen gyengítik a megalapozott döntéshozatalra való képességüket, azt eredményezve, hogy olyan döntést hozzanak, amelyet egyébként nem hoztak volna meg, és oly módon, amely az említett személynek, egy másik személynek vagy személyek egy csoportjának jelentős károsodást okoz vagy ésszerű valószínűséggel okozhat;
b) olyan MI-rendszerek forgalomba hozatala, üzembe helyezése vagy használata, amelyek egy természetes személynek vagy a személyek egy meghatározott csoportjának az életkor, fogyatékosság, illetve egyedi szociális vagy gazdasági helyzet miatt fennálló valamilyen sebezhetőségét kihasználják azzal a céllal vagy hatással, hogy lényegesen torzítsák az említett személy vagy az említett csoporthoz tartozó valamely személy magatartását oly módon, amely az említett személynek vagy egy másik személynek jelentős kárt okoz vagy észszerű valószínűséggel okozhat;
c) MI-rendszerek forgalomba hozatala, üzembe helyezése vagy használata természetes személyek vagy személyek csoportjai értékelésének vagy osztályozásának céljából egy bizonyos időszakon keresztül, közösségi magatartásuk, illetve ismert, kikövetkeztetett vagy előre jelzett személyes tulajdonságaik vagy személyiségjegyeik alapján, oly módon, hogy a társadalmi pontszám a következő helyzetek egyikéhez vagy mindkettőhöz vezet: i. bizonyos természetes személyekkel vagy személyek csoportjaival szembeni hátrányos vagy kedvezőtlen bánásmód olyan szociális kontextusokban, amelyek nem függenek össze azokkal a kontextusokkal, amelyek között az adatokat eredetileg létrehozták vagy gyűjtötték; ii. bizonyos természetes személyekkel vagy személyek csoportjával szembeni olyan hátrányos vagy kedvezőtlen bánásmód, amely indokolatlan vagy aránytalan közösségi magatartásukhoz vagy annak súlyosságához képest;
d) olyan MI-rendszer forgalomba hozatala, e konkrét célra történő üzembe helyezése vagy használata, amely természetes személyek kockázatértékelését végzi annak érdekében, hogy – kizárólag a természetes személyekre vonatkozó profilalkotás vagy személyiségjegyeik és tulajdonságaik értékelése alapján – felmérje vagy előre jelezze annak kockázatát, hogy egy adott természetes személy bűncselekményt követ el; ez a tilalom nem alkalmazandó azon MI-rendszerekre, amelyek a személyek bűncselekményben való részvételének emberi értékelését támogatják, amely értékelés alapjául már rendelkezésre állnak a bűnözői tevékenységhez közvetlenül kapcsolódó, objektív és ellenőrizhető tények;
e) olyan MI-rendszerek forgalomba hozatala, e konkrét célra történő üzembe helyezése vagy használata, amelyek az arcképek internetről vagy zártláncú televízió-felvételekből való, nem célzott lekérdezésével arcfelismerő adatbázisokat hoznak létre vagy ilyeneket bővítenek;
f) a természetes személyek érzelmeiből következtetést levonó MI-rendszerek forgalomba hozatala, e konkrét célra történő üzembe helyezése, illetve használata a munkahelyek és az oktatási intézmények területén, kivéve amennyiben az MI-rendszer használata, üzembe helyezése vagy forgalomba hozatala orvosi vagy biztonsági okokból történik;
g) olyan biometrikus kategorizálási rendszerek forgalomba hozatala, e konkrét célra történő üzembe helyezése, illetve használata, amelyek természetes személyeket biometrikus adataik alapján egyénileg kategorizálnak, hogy ezáltal levezessék vagy kikövetkeztessék faji hovatartozásukat, politikai véleményüket, szakszervezeti tagságukat, vallási vagy világnézeti meggyőződésüket, szexuális életüket vagy szexuális irányultságukat; ez a tilalom nem terjed ki a jogszerűen megszerzett biometrikus adatkészletek – például képek – biometrikus adatok szerint történő jogszerű címkézésére vagy szűrésére, illetve a biometrikus adatoknak a bűnüldözés területén való kategorizálására;
h) „valós idejű” távoli biometrikus azonosító rendszerek használata a nyilvánosság számára hozzáférhető helyeken bűnüldözési célokból, kivéve, ha és amennyiben az ilyen használat a következő célok egyikéhez feltétlenül szükséges:
- i. emberrablás, emberkereskedelem vagy szexuális kizsákmányolás konkrét áldozatainak célzott felkutatása, valamint az eltűnt személyek utáni kutatás;
- ii. természetes személyek életét vagy fizikai biztonságát fenyegető konkrét, jelentős és közvetlen veszély, illetve terrortámadás tényleges és valós vagy tényleges és előre látható veszélyének megelőzése;
- iii. bűncselekmények gyanúsítottjainak lokalizálása vagy azonosítása nyomozás vagy büntetőeljárás lefolytatása vagy büntetőjogi szankció végrehajtása céljából olyan, a II. mellékletben említett bűncselekmény miatt, amelynek esetében az érintett tagállamban a büntetési tétel felső határa legalább négyévi szabadságvesztés vagy szabadságelvonással járó intézkedés.
[2] (1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.
[3] Üzleti titok a gazdasági tevékenységhez kapcsolódó, titkos – egészben, vagy elemeinek összességeként nem közismert vagy az érintett gazdasági tevékenységet végző személyek számára nem könnyen hozzáférhető –, ennélfogva vagyoni értékkel bíró olyan tény, tájékoztatás, egyéb adat és az azokból készült összeállítás, amelynek a titokban tartása érdekében a titok jogosultja az adott helyzetben általában elvárható magatartást tanúsítja.
[4] Védett ismeret (know-how) az üzleti titoknak minősülő, azonosításra alkalmas módon rögzített, műszaki, gazdasági vagy szervezési ismeret, megoldás, tapasztalat vagy ezek összeállítása.