Az Európai Adatvédelmi Testület (a továbbiakban EDPB) 02/2021. számon új iránymutatás tervezetet tett közzé a virtuális hangasszisztensekről („VVA”). Az iránymutatás gyakorlati útmutatást és konkrét cselekvési javaslatokat fogalmaz meg minden, a VVA működtetésében részt vevő szereplő számára.

CIKKÜNK FRISSTÉSE:

Július 7-i plenáris ülésén az Európai Adatvédelmi Testület (EDPB) elfogadta az iránymutatás nyilvános konzultáció során beérkezett válaszok alapján módosított végleges változatát (ITT elérhető).

  • Az iránymutatás végleges változatában finomodott a virtuális hangasszisztensek (VVA) meghatározása. A korábbi, VVA-t kategorikusan felhasználói végberendezésként meghatározó leíráshoz képest a VVA szoftver-jellege került előtérbe, amely szerint elektronikus hírközlő hálózatokat használnak a fizikai ’hardver’ eszközökhöz való hozzáférésre. A végleges változatba került megfogalmazás alapján nem a VVA, hanem a fizikai hardver eszközök minősülnek az e-Privacy irányelv szerinti “végberendezésnek”. Következésképpen az e-Privacy irányelv 5. cikke (3) bekezdésének rendelkezései alkalmazandók minden olyan esetben, amikor a VVA a hozzá kapcsolódó fizikai eszközön információkat tárol, vagy azokhoz hozzáfér. Ilyen eset különösen, ha a hangutasítások kezelése a végfelhasználó végberendezésében tárolt információk tárolásával vagy az azokhoz való hozzáféréssel jár. Az új megfogalmazás világosabban elkülöníti egymástól a VVA-t, mint szoftverelemet az okoseszközöktől, amelyekbe telepítik. Ennek olyan esetekben lehet jelentősége, amikor az okoseszközbe ágyazott VVA-nek adott hangparancs végrehajtásához az okoseszköz egy másik applikációjában tárolt adatokhoz kell hozzáférni, pl. okostelefonon hangparancs alapján felolvasott üzenet, naptárhoz hozzáadott program.
  • Az iránymutatás végleges változatában a biometrikus adatok kezelésével kapcsolatban új megállapítás, hogy a felhasználó hangjának korábban eltárolt hangminta alapján történő felismerése a személyes adatok GDPR 9. cikke szerinti különleges kategóriájának kezelését valósítja meg. (A pontosítás oka feltételezhetően az, hogy a biometrikus adatok csak akkor tartoznak a személyes adatok különleges kategóriái közé, ha természetes személyek egyedi azonosítását célozzák.)
  • A beépített és alapértelmezett adatvédelem, valamint az adattakarékosság elveinek való megfelelés érdekében a VVA tervezőinek fontolóra kell venniük a háttérzajokat törlő technológiák alkalmazását.
  • A hozzáférési és adathordozhatósági jogok gyakorlásával kapcsolatban új példa került az iránymutatás végleges változatába. Adatvédelmi szempontból nem megfelelő, ha a VVA-szolgáltatást nyújtó adatkezelő egy érintettől egyszerre adathozzáférési kérelmet és adathordozhatósági kérelmet is kap, és úgy dönt, hogy a GDPR 15. cikke (hozzáférési jog) és a 20. cikke (adathordozhatósági jog) szerinti információkat PDF-fájlban adja meg. A PDF-fájl technikailag teljesíti az adatkezelő 15. cikk szerinti kötelezettségeit, de nem teljesíti az adatkezelő 20. cikk szerinti kötelezettségeit. Ennek oka, hogy a végleges iránymutatás szerint a korábbi interakcióik előzményeire való egyszerű hivatkozás nem teszi lehetővé az adatkezelő számára, hogy teljesítse az adathordozhatósági joghoz kapcsolódó kötelezettségét, mivel a PDF-dokumentum formájában hozzáférhető adatok általában a szolgáltatás nyújtása során kezelt információknak csak egy részét képviselik.

Frissülés időpontja: 2021.08.30.

A VVA mint az IoT-eszközök „agya”

A VVA-k egyre elterjedtebbek a mindennapokban, a mögöttük álló technológia azonban kevéssé ismert. Az iránymutatás ezért a VVA-k alapvető működésének lépésenkénti, részletes ismertetésével kezd, amelyben az EDPB azt is kiemeli, hogy a virtuális hangasszisztensek nem azonosak az okoshangfalakkal (’smart speaker’). Míg az okoshangfal hardver-elemként a VVA fizikai megjelenési formája, a VVA-k különféle egyéb formában is megjelenhetnek, például személyi mobileszközökben, összekapcsolt járművekben (’connected cars’), vagy számos egyéb IoT-eszközben.

A VVA tehát olyan szoftver-szolgáltatás, amely a felhasználó hangját használja bemeneti forrásként, azonosítja az adott parancsot vagy feltett kérdést, majd keresést hajt végre és szükség esetén kapcsolatba lép más szolgáltatásokkal, végül végrehajtja a parancsot, vagy beszéd formájú válaszként választ ad a feltett kérdésre. Ha a VVA több okos eszközt összekötő rendszerhez tartozik, egyfajta kapcsolati pontként képzelhető el, amelyen keresztül a felhasználó a teljes rendszert irányíthatja, például egy okosotthonban.

A VVA működésben részt vevő szereplők

A VVA működéséhez kapcsolódóan az EDPB felsorolja mind a fejlesztői, mind a felhasználói oldalon érintett érdekelteket. Ennek adatvédelmi relevanciája, hogy a VVA jellege és az alkalmazásának módja mind a potenciális adatkezelők, mind az érintettek körét befolyásolja.

Fejlesztői oldalon a VVA értékesítési és működtetési lánc szereplői:

  • VVA tervező: megtervezi és meghatározza a VVA funkcióit
  • VVA alkalmazásfejlesztő: hozzáadható szolgáltatásokat fejleszt, amelyekkel a VVA alapfunkciói kibővíthetők
  • VVA integráló: a VVA-hez csatlakoztatható IoT-eszközök gyártója
  • Tulajdonos: Az adott VVA-t konfiguráló regisztrált felhasználó
  • Felhasználó: A VVA-vel felszerelt eszköz tényleges és mindenkori használója.

Felhasználói oldalon megjelenő szereplők:

  • regisztrált felhasználók: akik megvásárolták a VVA-eszközt, és felhasználói fiókot hoztak létre a konfigurációhoz (ez a kategória a VVA értékláncban általában a “tulajdonosnak” felel meg)
  • nem regisztrált felhasználók: akik tudatosan használnak egy regisztrált felhasználó által konfigurált VVA-berendezést
  • véletlenszerű használók: regisztrált vagy nem regisztrált felhasználók, akik tudtukon kívül használják a VVA-t (pl. nem tudnak a VVA jelenlétéről, vagy véletlen téves aktiválás esetén).

Adatkezelési célok és jogalapok

A VVA-k esetében nem beszélhetünk egy univerzális, minden adatkezelési célra egyaránt alkalmazható jogalapról. Az VVA alapvető feladata, a felhasználóval történő interakció mellett számos addicionális adatkezelési cél is felmerül, amelyek közvetve vagy közvetlenül a VVA felhasználó által elvárt működéséhez szükségesek. Ilyen a VVA-k mögötti, mesterséges intelligencia alapú technológia folyamatos fejlesztése pl. gépi tanulás módszerrel, a felhasználó azonosítása, vagy a felhasználó profilozása. Ezt felismerve az EDPB a négy leggyakrabban előforduló adatkezelési cél vonatkozásában külön tárgyalja a megfelelő GDPR szerinti jogalapot:

Felhasználói hangparancs végrehajtása

VVA fejlesztés gépi tanulási modell, humán felülvizsgálat és hangátirat-címkézés segítségével

Felhasználó azonosítás

Felhasználó profilozása

Regisztrált fiókkal rendelkező felhasználó

Regisztrált fiók nélküli felhasználó

Személyre szabott szolgáltatások nyújtása céljából

Reklám- és marketing célból

2002/58 ePrivacy irányelv

5. cikk (3) bekezdése szerinti kivétel: nem kell a felhasználó hozzájárulása

5. cikk (3) bekezdése szerinti kivétel: nem kell a felhasználó hozzájárulása

5. cikk (3) bekezdése szerinti kivétel nem alkalmazható, kell a felhasználó hozzájárulása

5. cikk (3) bekezdése szerinti kivétel nem alkalmazható, , kell a felhasználó hozzájárulása

5. cikk (3) bekezdése szerinti kivétel: nem kell a felhasználó hozzájárulása

5. cikk (3) bekezdése szerinti kivételnem alkalmazható, , kell a felhasználó hozzájárulása

GDPR a további adatkezelés

GDPR 6. cikk (1) bekezdés b) pont – az érintettel fennálló szerződés teljesítéséhez szükséges adatkezelés

GDPR 6. cikk (1) bekezdés

a) pont – hozzájárulás

GDPR 6. cikk (1) bekezdés

a) pont – hozzájárulás

GDPR 6. cikk (1) bekezdés a) pont – hozzájárulás, tekintettel a GDPR 9. cikk (2) bekezdés a) pont szerinti kifejezett hozzájárulás követelményre

GDPR 6. cikk (1) bekezdés b) pont – az érintettel fennállószerződés szerintiszolgáltatás nyújtásához szükséges adatkezelés

GDPR 6. cikk (1) bekezdés a) pont – hozzájárulás

A táblázatból is látszik, hogy az EDPB egyszerre vizsgálta az ePrivacy irányelv 5. cikke (3) bekezdésében foglalt hozzájárulás alóli mentesség alkalmazhatóságát, és a GDPR 6. cikke (1) bekezdése szerinti jogalapoknak való megfelelést. Ennek alapja, hogy a felhasználó VVA-t mint szoftvert futtató eszköze az EDPB értelmezése szerint a távközlési végberendezések piacán folyó versenyről szóló 2008/63/EK irányelv szerinti végberendezésnek minősül, így az azon tárolt személyes adathoz való hozzáférés főszabály szerint felhasználói hozzájáruláshoz kötött, amely hozzájárulás alól enged két kivételt az ePrivacy irányelv fenti rendelkezése.

Az iránymutatás logikája szerint a VVA aktiválásához szükséges adatkezelési mozzanat mindenképp magában foglalja a tárolt személyes adathoz való hozzáférést, ezért az ePrivacy irányelv rendelkezéseit mindig vizsgálni kell. Az ePrivacy irányelv két kivételes esetben mentesít a hozzájárulás alól: 1) az adatkezelés technikai okokból feltétlenül szükséges, vagy 2) az adatkezelés a felhasználó által kifejezetten kért infokommunikációs szolgáltatáshoz szükséges. Az azonosított adatkezelési célok közül ide tartoznak a felhasználói hangparancs végrehajtása, valamint a felhasználó profilozása, amennyiben a személyre szabott jelleg a szolgáltatás velejárója (pl. on-demand streaming szolgáltatók esetében).

A VVA aktiválását követő adatkezelési mozzanatok további adatkezeléseknek minősülnek, amelyekre már a GDPR 6. cikke alapján kell megfelelő jogalapot választani.

Interaktív megoldásokon alapuló átlátható és érthető működés

A VVA-k egyik újítása a hangalapú irányítás és a felhasználókkal kialakítható közvetlen, ember-ember közötti interakcióra hasonló kétirányú kommunikáció.

Akár képernyővel ellátott (pl. okostelefon), akár képernyő nélküli (pl. okoshangfal) eszközhöz kapcsolódik, a VVA-n az adatkezelést megelőzően, de legkésőbb az adatkezelés időpontjában elérhetővé kell tenni az adatkezelésre vonatkozó információt. Képernyőn ez megvalósítható egy link formájában, képernyő nélküli eszközön pedig már létező módszerek alkalmazhatóak, mint például a call centerek és telefonos szolgáltatások esetén bevett, hívás elején elhangzó adatvédelmi tájékoztató, vagy arra történő utalás.

Adatmegőrzés, és korlátozott tárolhatóság

Az adatmegőrzéssel kapcsolatban az EDPB kiemeli, hogy a felhasználó szemszögéből nézve a személyes adatok (így például a hang, metaadatok, tevékenység logok, online tevékenységek, kérés történetek, fiók adatok) kezelésének fő célja az általuk felvett kérdések megválaszolása és/vagy bizonyos műveletek indítása, mint zene lejátszása vagy okosotthonba integrált VVA esetén a világítás be- és kikapcsolása. A kérdés megválaszolását és a műveletek végrehajtását követően a személyes adatokat törölni kell, kivéve, ha a VVA tervezőjének vagy fejlesztőjének további jogalapja van arra, hogy azokat egy meghatározott célra tovább kezelje (például NLP fejlesztés jogos érdek alapján, személyre szabás hozzájárulás alapján vagy tudományos kutatás jogos érdek jogalapon).

A korlátozott tárolhatóság vonatkozásában az EDPB jogszerűnek tekinti az adatok hosszabb ideig történő megőrzésének szükségességét jogi kötelezettségeknek való megfelelés érdekében, mint például az adójogi jogszabályoknak való megfelelés. Ezen túlmenően az EDPB elismeri az anonimizálást mint a hangadatok törlésének egyik módját. Kiemeli azonban, hogy a hang anonimizálása nehéz, de technikailag megvalósítható feladat, például a háttérzajok, szituációs információk eltévolításával. Az anonimizálás előtt azonban a virtuális hangalapú asszisztensek tervezőinek és fejlesztőinek ellenőrizniük kell, hogy az anonimizálási eljárás a hangot ténylegesen azonosíthatatlanná teszi-e. A téves aktiválás eredményeként rögzített személyes adatokat a téves aktiváció detektálását követően azonnal törölni kell.

Az iránymutatás továbbá az elszámoltathatóságra, a gyermekek személyes adatainak kezelésére és az érintettek jogainak gyakorlására vonatkozó követelményeket is meghatározza.

Az EDPB nyilvános konzultációt indított az iránymutatás-tervezetről, az észrevételeket 2021. április 23-ig lehetett benyújtani.