A chatbot egyszerűsége és nagy elérése miatt óriási lehetőséget jelenthet a gazdaság legkülönbözőbb területein, de veszélye is ebben rejlik. Sokan alkalmazhatják óvatlanul: a fejlesztők nem figyelnek a biztonságra, hogy ne csorbítsák a felhasználói élményt, és az emberek is óvatlanok lehetnek saját adataikkal. Azt a megoldást kell megtalálni fejlesztőnek, megrendelőnek, IT biztonsági szakértőknek és jogászoknak közösen, amely által megmarad az eszköz sokoldalúsága, de már kellő biztonságot is nyújt.
„A chatbot egy olyan szoftveres eszköz, amely képes kiváltani az applikációkat és sokszor a weboldalakat is.” Business Insider emelte ki Rátz Tibor, a Telenor munkatársa. Szabó Csenger, a BotCool ügyvezetője szerint olyan üzenetküldő platform, amelyek képesek elérni és végigvezetni az ügyfeleket egyszerű folyamatokon. Dudás Gábor szerint a chatbot jogilag egy intelligens call center, amelyen automatizált eszközzel történik az adatfeldolgozás, és ez többlet adatvédelmi kötelezettséggel jár.
A botfejlesztés gyorsabb és olcsóbb
A chatbot megkerülhetetlen marketing eszköz, mert 2016-ban már több mint 1,4 milliárd ember használt üzenetküldő alkalmazást havonta, többen, mint ahányan közösségi oldalakat. Az e-mailben küldött üzeneteket 22,8%-ban, a Messengeren küldötteket 84,3%-ban nyitották meg, az e-mailnél az átkattintás 3,2% volt, a Messengernél 28,3. A chatbotok lehetnek például e-commerce botok, amely vásárlási folyamatokat menedzselnek, személyes asszisztensek, amelyek segítik az edzés program megvalósítását, infobotok, melyek feladata lehet pl. egy konferencián tájékoztatás a programokról vagy vásárlásösztönző kampányokat folytató chatbotok. A megoldás előnye, hogy platformfüggetlen, nagyon egyszerű a belépés, a botfejlesztés gyorsabb és olcsóbb, mint egy appé.
A chatbotok azonban számos adatvédelmi kockázatot is hordoznak, figyelmeztetett Németh Antal, a KPMG IT kockázatkezelési tanácsadója. Veszélyt jelenthetnek azok, akik a chatboton magukat másnak kiadva próbálnak megszerezni adatokat. A biztonsághoz vezető első lépés, hogy a chatbotok két lépcsőben azonosítsák a felhasználót és a munkamenetét. Nagyon fontos, hogy a munkamenetből lehessen kijelentkezni, mely ne csak a felhasználónál, hanem a szolgáltatónál is zárja le a folyamatot. A végpontok között titkosítsák az üzeneteket, a felhasználón és a szolgáltatón kívül senki más ne ismerhesse meg azt. Végül, de nem utolsó sorban az üzenetek semmisítsék meg önmagukat.
Dudás Gábor, a KLART Legal adatvédelmi szakértője, partnere előadásában rámutatott, hogy jogi szempontból az egyik problémát az adatkezelő fogalmának meghatározása okozza. A jelenlegi jogszabályok szerint a szolgáltató és a platformot biztosító közvetítő egyetemlegesen felelősek, mert mindkettő olyan helyzetben van, hogy meghatározhatja, hogyan használja az adatokat. Ellenben a szolgáltató nem tudja, hogy mit csinál a platformot biztosító – sokszor globális – szolgáltató ezekkel. Ennek ellenére egy vitás ügyben könnyebb a kisebb szereplőt utolérni és szankcionálni a jogszerűtlen adatkezelésből fakadó károkért. „A szolgáltatók tehát nagy kockázatot vállalnak a közös adatkezeléssel. ” – emelte ki dr. Dudás Gábor.
Mivel a chatboton jogi szempontból automatizált eszközzel történik az adatfeldolgozás, fokozottabb adatvédelmi tájékoztatási kötelezettséggel jár. Az érintetteknek tudniuk kell arról, hogy mi történik az adataival, ki az adatkezelő, mennyi ideig használják ezeket stb. Az automatizált eszközzel történő adatfeldolgozás esetében azt is közölni kell, hogy egy automatával állunk szemben, és kérésre egyszerűen, közérthetően el kell magyarázni a rendszer működési elveit is.
Komoly problémába ütközhet az interneten szolgáltatott adatok tekintetében teljes bizonyító erejű magánokirat / írásbeli nyilatkozat beszerzése, ugyanis a bíróság nem feltétlenül fogja elfogadni a felhasználó elektronikusan megadott beleegyezését.
A GDPR alapjában véve nem vezet be új szabályokat a chatbotok területén, de néhány ponton jobban körvonalazza a kötelezettségeget, és persze köztudottan nagyobb bírsággal fenyegeti azokat, akik megszegik a régi-új szabályokat. Jobban oda kell figyelni például arra, hogy a felhasználók profilját csak hozzájárulással lehet megalkotni, vagy akkor, ha a szerződés teljesítéséhez ez elengedhetetlenül szükséges. Pedig a chatbotok a fent elmondottak szerint perszonalizáltak, vagyis nem működhetnek profilalkotás nélkül, miközben a hozzájárulás meglétét nehéz bizonyítani. A megoldást az jelentheti, ha az általánosabb célokra, például marketing, amelyhez még nem kellenek érzékeny adatok, használjuk a chatbotot, de az érzékeny adatot igénylő pontokon, már más módon szerezzük be a hozzájárulást. Fontos az adatvédelmi szempontok érvényesítése a folyamat minden pontján (privacy by design). Ennek érdekében a GDPR hatályba lépése után már kötelező lesz a hatásvizsgálat. Minden tervezett chatbotot át kell világítani adatvédelmi szempontból már a fejlesztés előtt.
Az adatvédelmi megfelelés érdekében érdemes minél inkább leválni a közös médiafelületről, és egyedüli adatkezelői szerepre törekedni. Előre fel kell készülni a működés során szükséges tájékoztatási kötelezettségekre, meg kell oldani a hozzájárulások igazolhatóságának kérdését.