Új Szó, 2022. november (75. évfolyam, 253-276. szám)
2022-11-30 / 276. szám
141 TUDOMÁNY ÉS TECHNIKA 2022. november 30. | www.ujszo.com Az Ml és a munkavállalók (szabadság)jogai A mesterséges intelligencia alkalmazása a munkahelyen elsősorban a munkáltató érdeke, de az adatkezelés nem járhat a munkavállalók jogainak, szabadságainak és érdekeinek szükségtelen és aránytalan korlátozásával (Shutterstock) ÖSSZEFOGLALÓ A vállalatoknál is egyre elterjedtebb mesterséges intelligencia (Ml) alkalmazásakor érdemes körültekintéssel eljárni, mert a jogszerűtlen adatkezelés jelentős bírsággal járhat - hívja fel a figyelmet a Baker McKenzie ügyvédi iroda. A chatbotok, az adatok kiszivárgását megelőző vagy a biztonsági eseményeket felismerő információbiztonsági szoftverek és más mesterséges intelligenciát alkalmazó eszközök használatával egy cég növelheti hatékonyságát, miközben akár költségeit is csökkentheti. Felhasználásuk során azonban szigorújogi feltételeknek kell megfelelni, hiszen a mesterséges intelligencia működése megfelelő intézkedések nélkül gyakran átláthatatlan lehet az adatkezeléssel érintettek számára - figyelmeztet az iroda a közleményében. „Az MI ma még új technológiának számít, és használata általában magas kockázattal jár a munkavállalók, illetve egyéb érintettek jogaira és szabadságaira nézve. A munkáltatóknak ezért a bevezetésről szóló döntés előkészítésekor célszerű adatvédelmi hatásvizsgálatot lefolytatniuk. Sőt, ez bizonyos esetekben kötelező is, például, ha az adatkezelés célja a munkavállalók munkájának megfigyelése, vagy ha az MI a munkavállalót teljesítménye és viselkedése alapján profilozza - mondta dr. Vári Csaba, a Baker McKenzie ügyvédi iroda IPTech csoportjának vezetője. „A hatásvizsgálat során többek között azt kell megvizsgálni, hogy a magas kockázat megfelelő intézkedésekkel mérsékelhető-e olyan szintre, amely már megfelel a szükségesség és arányosság elvének” - tette hozzá dr. Gaál András, az IPTech csoport ügyvédjelöltje. Az új technológiát kiemelt gondossággal kell alkalmazni, mert a mesterséges intelligenciával kapcsolatos nem megfelelő adatkezelés jelentős bírsággal járhat - írják a jogászok. A NAIH egyik döntésében rekordöszszegű, 250 millió forintos adatvédelmi bírságot szabott ki egy bankkal szemben. A bank többek között arra használta az Ml-t, hogy elemezze az ügyfélhívásokat fogadó munkavállalóinak érzelmeit, és az alapján értékelje teljesítményüket. Az ügyben a NAIH megállapította, hogy ez és a megfelelő tájékoztatás hiánya súlyosan korlátozza a munkatársak önrendelkezési jogát. A hatóság azt is hangsúlyozta: a munkahelyi adatkezeléseknél a munkáltatónak mindig figyelembe kell vennie, hogy a foglalkoztató és az alkalmazott közötti alá-fölé rendeltségi viszony miatt a munkavállalók kiszolgáltatott helyzetben lehetnek az adatkezelés során. A mesterséges intelligencia alkalmazása a munkahelyen elsősorban a munkáltató érdeke, de az adatkezelés nem járhat a munkavállalók jogainak, szabadságainak és érdekeinek szükségtelen és aránytalan korlátozásával - hangsúlyozzák az elemzésben. így bár lehet, hogy alapvető üzleti érdek teszi indokolttá a mesterséges intelligencia alkalmazását, a cég mégsem használhatja azt az alkalmazottak totális megfigyelésére - például minden egyes számítógépes műveletük vizsgálatára vagy személyiségük elemzésére e-mailjeik szóhasználata, nyelvezete alapján. Azt is fontos megvizsgálni, hogy az MI használata egyáltalán szükséges és alkalmas-e a cél eléréséhez. A teljesítményértékelő szoftver például tud-e valós képet adni a munka minőségéről, megalapozhatja-e az előléptetésről szóló döntést, és egyáltalán indokolt-e a bevezetése, vagy ugyanazt az eredményt a technológia használata nélkül is el lehet érni. Az MI csak a vállalat jogszerű céljai eléréséhez igazolhatóan szükséges személyes adatokat gyűjthet és kezelhet. így például a technikai problémák megoldása érdekében működő chatbot nem gyűjthet a munkavállaló hangulatára vonatkozó adatokat. A személyes adatok csak a gyűjtésükre okot adó célokkal összeegyeztethetően kezelhetők - az e-mailek biztonsági célú elemzését például tilos felhasználni az alkalmazottak egymással szembeni viselkedésének megfigyelésére. A mesterséges intelligencia sok esetben gépi tanulást (machine learning) alkalmaz, ami nagyon leegyszerűsítve azt jelenti, hogy a kezelt adatok alapján saját magát fejleszti. Fontos azonban, hogy a munka törvénykönyve alapján csak olyan személyes adat közlése követelhető a foglalkoztatottól, amely a munkaviszony szempontjából lényeges. Kiemelendő az is, hogy a célhoz kötöttség elve alapján a személyes adatokat nem lehet olyan célból kezelni, amely nem összeegyeztethető a gyűjtést indokló eredeti célokkal. így - hacsak nem anonimizált személyes adatokról van szó —, a foglalkoztatott személyes adatai legtöbbször nem használhatók fel a mesterséges intelligencia fejlesztéséhez. A munkavállalók adatvédelmi jogai a GDPR általános szabályaihoz igazodnak. Érdemes kiemelni, hogy ha az adatkezelés jogalapja a munkáltató jogos érdeke - ami a mesterséges intelligencia használata esetén rendkívül gyakori -, a munkavállaló jogosult tiltakozni az adatkezelés ellen, aminek a gyakorlását a munkáltatónak elő kell segítenie és a jogosságát meg kell vizsgálnia. Lényeges kérdésekben - például munkaviszony megszüntetésével vagy munkabérrel kapcsolatos kérdésekben - nem javasolt, és a szükségesség és arányosság elve miatt legtöbbször nem is lehet kizárólag automatizált módon döntést hozni. A foglalkoztatónak tájékoztatnia is kell az alkalmazottakat a személyes adatok kezelésének módjáról. A tájékoztatásnak nem feltétlenül kell tartalmaznia a folyamat konkrét műszaki leírását, azonban a munkáltatónak többek közt azt kell egyértelművé tennie, hogy az adatkezelésnek mi a célja és jogalapja, mely személyes adatokat kezeli, ki más fog azokhoz hozzáférni - például külső szolgáltató -, és továbbítják-e a személyes adatokat az Európai Gazdasági Térségen kívülre. Emellett világossá kell tenni azt is, hogy az adatkezeléssel hozott döntések teljesen mentesek-e az emberi beavatkozástól, és ha igen, azt, hogy milyen logika áll a döntéshozatal mögött, és az ilyen döntéseknek az érintettekre nézve milyen jelentősége van. Szem előtt tartandó, hogy az EU-ban kidolgozás alatt áll egy olyan rendelet megalkotása, amely megteremti az Ml-re vonatkozó harmonizált európai szabályozást, és amely minden tagállamban közvetlenül alkalmazandó lesz. Ha a rendeletet elfogadják, az új szabályok a mesterséges intelligenciára vonatkozó adatvédelmi jogi követelményekre is kihatással lesznek. (IT Café) Az online bűnözők a focivébét is kihasználják pénzszerzésre Az adathalász csalások egyik leginkább meggyőző és veszélyes változata, ha olyan rosszindulatú hasonmás weboldalra téved valaki, amely valódinak tűnik (Shutterstock) A labdarúgó-világbajnokságra az internetes bűnözők, adathalászok is készültek, így például hamis jegyeket árulnak és hamis nyereményekkel próbálják becsapni az szurkolókat - közölte az ESET, az üzleti és otthoni biztonságtechnikai szoftvermegoldások nemzetközi szállítója. A közlemény szerint a csalások egyik jól bevált fajtája, amikor a bűnözők elhitetik az áldozatokkal, hogy készpénzt, jegyet vagy olyan ellátást is tartalmazó csomagot nyertek, amely személyes részvételt tesz lehetővé egy mérkőzésen. A valódi szándékuk viszont az, hogy rávegyék az áldozatokat a személyes adatok átadására, pénz előre utalására vagy rosszindulatú szoftverek letöltésére és telepítésére. Az ESET kutatói több olyan globális adathalász akciót azonosítottak, amelyek megpróbálják elhitetni az emberekkel, hogy kisorsolták őket. A nyeremény átvételéhez pedig nem kell mást tenniük, mint kitölteni néhány mezőt egy űrlapon, és megadniuk a teljes nevüket, születési dátumukat és telefonszámukat. Az e-mailes mellékletként érkezett nyereményről szóló értesítés tartalmazhatja egy állítólagos kapcsolattartó nevét, aki segíthet a nyeremény átvételében. Ez a személy pedig azzal keresi fel az áldozatot, hogy mielőtt ténylegesen megkapná a nyereményét, fizessen be előzetesen valamilyen adót vagy díjat. Amint az utalás megtörtént, a támadók elérték céljukat: a pénz mellett személyes adatok birtokába jutottak, amelyekkel később további csalásokat hajthatnak végre vagy eladhatják az adatokat más kiberbünözöknek. A szakértők egy másik adathalász e-mailre is felhívják a figyelmet: a levélbe ágyazott képen egy Kattintson ide ikon szerepel, amely azt ígéri, hogy egy klikk után már igényelhetik is jegyüket a szurkolók a mérkőzésére. A valóság ezzel szemben az, hogy a kattintás után egy olyan felületre kerül az érdeklődő, ahol személyes adatokat kérnek vagy elindul a rosszindulatú tartalom letöltése a számítógépre vagy a mobiltelefonra. A közleményben felhívták a figyelmet arra is, hogy az adathalász csalások egyik leginkább meggyőző és veszélyes változata, ha olyan rosszindulatú hasonmás weboldalra téved valaki, amely valódinak tűnik. Az ide vezető linkeket spam e-mailekben, hamis közösségi profilokon keresztül vagy fórumbejegyzésekben terjesztik. Függetlenül attól, hogy ezek a weboldalak valós felületeket másolnak le vagy sem, céljuk hasonló: a személyes és pénzügyi adatok, bejelentkezési adatok, illetve egyéb érzékeny információk megszerzése, illetve kártékony szoftverek telepítése az áldozatok eszközeire. A közlemény idézi Csizmazia-Darab Istvánt, az ESET kiberbiztonsági szakértőjét, aki elmondta, nagy esélylyel el lehet kerülni az átveréseket, ha néhány egyszerű szabályt betartanak az emberek: így például nem nyerhetnek a lottón, ha nem is játszottak. Ha pedig valaki ennek az ellenkezőjéről próbálja meggyőzni a felhasználót, nagy valószínűséggel be akarja csapni. Egy másik tanács szerint senki ne fizessen előre azért, hogy valamilyen nyereményt megkapjon, mert ha előleget kérnek tőle valamiért cserébe, csak a pénzét akarják megszerezni. Kellő óvatosággal megelőzhetők az adathalász támadások is, így például a felhasználó ne kattintson e-mailekben vagy más üzenetekben található linkekre vagy mellékletekre, hacsak nem biztos abban, hogy azok nem jelentenek veszélyt. Különösen igaz ez akkor, ha kéretlen üzenetekről van szó, amelyek a személyes, illetve banki adatokat kérik. A gyakori nyelvtani hibák, gyanús URL-címek, hiányzó vagy érvénytelen biztonsági tanúsítványok is jelei annak, hogy csalókkal áíl szemben az internetező. Fontos az is, hogy a felhasználó ne adjon ki személyes adatokat, illetve használjon erős, egyedi jelszavakat, és kétfaktoros hitelesítést minden fontos fiók esetében — áll a közleményben. (MTI)
