Chatboty, zwane także wirtualnymi asystentami, to programy komputerowe zaprojektowane do symulowania interakcji ludzkich. Najczęściej stosuje się je w celu automatyzacji obsługi klienta oraz różnych aspektów sprzedaży w ramach e-commerce. Dzięki wykorzystaniu sztucznej inteligencji i uczenia maszynowego, chatbot na stronie internetowej może prowadzić zaawansowane konwersacje, udzielać odpowiedzi na pytania, pomagać w nawigacji po witrynie oraz wspierać proces zakupowy. Zastosowanie takich rozwiązań pozwoli Ci zwiększyć efektywność, poprawić doświadczenia zakupowe klientów i zoptymalizować koszty obsługi. Czy jednak tego typu nowoczesne technologie są legalne? Już wyjaśniam!
Czy chatbot na stronie internetowej jest legalny?
Nie będę trzymać Cię w niepewności – tak, chatboty na stronach www są legalne. Na swoich stronach wprowadziły je najbardziej znane firmy, takie jak np. Sephora czy eBay. W zasadzie w tym momencie mogłabym zakończyć ten artykuł. Ale tego nie zrobię, bo wykorzystując (lub chcąc wykorzystać) chatboty w swoim e-biznesie, musisz poznać kilka aspektów związanych z tą technologią (tych mniej przyjemnych także).
Ryzyka prawne związane z chatbotami
Nieprawidłowe zastosowanie chatbotów w biznesie online może prowadzić do szeregu problemów prawnych, które związane są głównie z:
- naruszeniem przepisów o ochronie danych osobowych oraz
- wprowadzaniem w błąd konsumentów.
Wśród potencjalnych naruszeń można wyróżnić niezgodne z prawem zbieranie i przetwarzanie danych osobowych bez wyraźnej zgody użytkowników lub bez właściwego informowania ich o podstawie prawnej, zakresie i celu przetwarzania danych. Jasne komunikowanie osobom odwiedzającym witrynę, że interakcja ma miejsce z botem, jest kluczowe, gdyż zwiększa to transparentność i buduje zaufanie użytkowników.
RODO a chatbot na stronie internetowej
Chatboty działają dzięki przetwarzaniu dużych ilości danych. Użycie tych informacji jest niezbędne do skutecznego uczenia maszynowego i poprawy działania algorytmów AI. Gromadzenie danych przez chatboty sprawia, że ich pełna kontrola bywa problematyczna. W kontekście ochrony danych osobowych, wszelkie działania związane z chatbotami muszą być zgodne z regulacjami prawnymi, takimi jak RODO. Oznacza to m.in. konieczność informowania użytkowników o przetwarzaniu ich danych, uzyskiwanie ich zgód, a także zapewnienie bezpieczeństwa i prywatności.
Jeśli jeszcze tego nie zrobiłeś_aś, koniecznie przeczytaj mój poprzedni artykuł o polityce prywatności oraz dokumentacji RODO (bo wdrożenie RODO to nie tylko napisanie polityki prywatności). A jeśli nie chcesz „bawić się” w to sam_a, sprawdź mój SKLEP Z DOKUMENTAMI.
Wracając do samego korzystania z chatbotów, francuska Krajowa Komisja ds. Informatyki i Wolności (CNIL), przedstawiła szereg wytycznych i zaleceń w tym zakresie.
Podkreśliła m.in., że wszelkie operacje na danych prowadzone przez chatboty muszą spełniać określone warunki przechowywania danych czy zarządzania plikami cookie.
Okres przechowywania danych
Po pierwsze, dane osobowe powinny być przechowywane tylko przez okres niezbędny do realizacji celów, dla których zostały zebrane. To wymaga od administratorów systemów rozróżnienia między sytuacjami wymagającymi długotrwałego przechowywania (np. przy reklamacji), a tymi, gdy dane należy usunąć po zakończeniu interakcji (np. boty pomagające tylko w dokonaniu zakupu).
Dane szczególnej kategorii
Przetwarzanie przez chatboty szczególnych kategorii danych osobowych jest ogólnie objęte zakazem –zgodnie z artykułem 9 RODO. Chodzi o informacje dotyczące np. zdrowia czy pochodzenia etnicznego. W tym zakresie możemy jednak wyróżnić dwie możliwości.
Pierwsza dotyczy systemowego przetwarzania tych wrażliwych danych. W takich przypadkach, kluczowe jest uzyskanie wyraźnej zgody użytkownika lub uzasadnienie takiego przetwarzania ważnym interesem publicznym.
W drugim scenariuszu użytkownik niezależnie i bez zachęty ujawnia wrażliwe dane w trakcie rozmowy z chatbotem. Wówczas nie jest wymagane wcześniejsze uzyskanie zgody. Mimo to, administrator danych musi zaimplementować środki minimalizujące ryzyko naruszenia prywatności. Na przykład poprzez:
- ostrzeżenie użytkowników przed ujawnianiem wrażliwych informacji lub
- systematyczne usuwanie takich danych, które nie są istotne dla kontekstu rozmowy.
Pliki cookies
Oprócz przetwarzania danych osobowych, chatboty często korzystają też z plików cookie, aby zapewnić płynność rozmów i pamięć interakcji na stronach internetowych. Odpowiedzialność za instalację i zarządzanie tymi plikami spoczywa na podmiocie obsługującym, który musi klasyfikować je na niezbędne do funkcjonowania usługi oraz na te, które wymagają wyraźnej zgody użytkownika na ich użycie.
W odniesieniu do zdecydowanej większości plików cookies, prawo wymaga, aby użytkownik:
- był jednoznacznie i zrozumiale poinformowany o celach i konsekwencjach ich instalacji oraz
- miał możliwość zarządzania swoimi ustawieniami prywatności.
Ponadto, każde działanie związane z ciasteczkami musi być poprzedzone wyraźną zgodą użytkownika. Instalacja ciasteczek nie może też prowadzić do zmian konfiguracyjnych na jego urządzeniu. Co więcej, tak uzyskana zgoda musi pozostawać w zgodności z ogólnymi przepisami o ochronie danych osobowych. To oznacza, że musi być dobrowolna, świadoma, konkretna i jednoznaczna.
Automatyczne decyzje
Zwykle, interakcja z chatbotem nie wiąże się z podejmowaniem istotnych decyzji dotyczących użytkownika. Jednakże taka rozmowa może być elementem szerszego procesu. CNIL podkreśla, że procesy automatycznego podejmowania decyzji, które mają prawne konsekwencje lub znacząco wpływają na osobę, są generalnie zakazane. Dozwolone są jednak wyjątki, gdy:
- Decyzja jest niezbędna do zawarcia lub realizacji umowy między osobą, której dane dotyczą a podmiotem odpowiedzialnym za dane (administratorem);
- Decyzja jest zgodna z prawem Unii Europejskiej lub prawem krajowym;
- Osoba, której dane dotyczą, wyraziła na to wyraźną zgodę.
Czy korzystając z chatbota muszę podpisać umowę powierzenia danych?
Przy wdrażaniu chatbota na stronie internetowej niezbędne jest nawiązanie współpracy z dostawcą, który oferuje odpowiednie technologie i wsparcie. Takie partnerstwo może jednak rodzić kolejne obowiązki związane z ochroną danych osobowych użytkowników.
Szczególnie ważne jest prawidłowe ustalenie warunków przetwarzania danych osobowych, co zazwyczaj reguluje umowa powierzenia przetwarzania danych. Umowa taka jest wymagana, gdy dostawca chatbota uzyskuje dostęp do danych osobowych, za które odpowiedzialność ponosi właściciel strony – administrator danych. Należy w niej dokładnie określić:
- jakie dane osobowe są przetwarzane,
- w jakim celu oraz
- kto ma do nich dostęp, a także
- środki bezpieczeństwa stosowane przez dostawcę.
Chatbot na stronie internetowej – AI Act
W połowie marca br. Parlament Europejski przyjął tzw. AI Act. To rozporządzenie regulujące wykorzystanie szeroko pojętej sztucznej inteligencji na terenie Unii Europejskiej.
AI Act klasyfikuje systemy sztucznej inteligencji według czterech poziomów ryzyka. To z kolei ma różne konsekwencje, jeśli chodzi o obowiązki dostawców i użytkowników:
- Niskie ryzyko. Te systemy są uznawane za bezpieczne i mają minimalny wpływ na zdrowie lub prawa użytkowników. Przykład: AI używane w grach komputerowych. Chociaż regulacje są mniej rygorystyczne, nadal obowiązują ogólne przepisy dotyczące ochrony danych.
- Średnie ryzyko. Chodzi o systemy takie jak chatboty, które mogą interaktywnie komunikować się z użytkownikami. Tutaj wymagana jest przejrzystość w informowaniu użytkowników, że interakcje mogą być generowane przez AI.
- Wysokie ryzyko. To technologie, które mogą znacząco wpłynąć na bezpieczeństwo lub podstawowe prawa obywateli, na przykład systemy monitorujące bezpieczeństwo publiczne.
- Niedopuszczalne ryzyko. Obejmuje AI, które mogą stwarzać poważne zagrożenia, jak systemy oceny społecznej, które są zakazane ze względu na ich potencjalne skutki dla społeczeństwa.
Chatboty zaliczane są więc do systemów inteligencji średniego ryzyka. Jak już wspomniałam, wykorzystanie takich systemów rodzi wymóg zapewnienia przejrzystości oraz przestrzegania wymogów dot. praw autorskich poprzez:
- Jawne informowanie użytkowników, że dana treść została stworzona za pomocą sztucznej inteligencji.
- Udostępnianie streszczeń praw autorskich dotyczących danych użytych do trenowania algorytmów AI.
- Opracowanie systemów AI w sposób, który zapobiega tworzeniu treści niezgodnych z prawem.
Chatbot na stronie internetowej – podsumowanie
Jeśli planujesz implementację chatbota na swojej stronie internetowej, pamiętaj, że utrzymanie transparentności jego działania jest fundamentalne. Twoi Klienci powinni być świadomi, że ich dane są przetwarzane przez AI, a także tego, jakie środki bezpieczeństwa są stosowane do ochrony ich prywatności.
Jeśli masz wątpliwości w tym zakresie, jak zwykle, pozostaję do Twojej dyspozycji. Umów się na konsultację i razem porozmawiajmy o sprawie!