Zamítnutí úvěru v bance na základě automatizovaného rozhodnutí algoritmu?
Ve vzácném případě prosazování čl. 22 odst. 3 GDPR uložil německý úřad pro ochranu údajů (Berlín) pokutu 300 000 EUR bance za to, že subjektu údajů neposkytla smysluplné vysvětlení o logice automatizovaného rozhodnutí, které se ho týká, a o všech prvcích nezbytných k jeho napadení.
Okolnosti
Subjekt údajů požádal o vydání kreditní karty u správce - banky. Správce požádal subjekt údajů o vyplnění formuláře s několika osobními údaji. Algoritmus tyto informace analyzoval a žádost subjektu údajů automaticky zamítl, přestože měl subjekt údajů dobré úvěrové skóre i vysoký příjem.
Subjekt údajů požádal správce o poskytnutí podrobností o faktorech, které vedly k automatickému zamítnutí. Správce odmítl přístup k těmto informacím poskytnout.
Subjekt údajů podal stížnost u německého úřadu pro ochranu osobních údajů (Berlín).
Stanovisko
Německý úřad pro ochranu údajů (Berlín) stížnosti subjektu údajů vyhověl.
Německý úřad pro ochranu údajů definoval "automatizované rozhodnutí" jako rozhodnutí přijaté algoritmickými modely bez lidského zásahu. Předmětný případ spadal do oblasti působnosti takové definice. Podle dozorového úřadu platí, že pokud správce využívá nástroje zahrnující automatizované rozhodování, podléhá zvláštním požadavkům na transparentnost podle čl. 22 odst. 3 obecného nařízení o ochraně osobních údajů. Správce by měl zejména poskytnout přístup ke konkrétním informacím o použité databázi, faktorech a kritériích ovlivňujících rozhodnutí. Tím, že správce tuto povinnost v souvislosti s žádostí subjektu údajů o přístup nerespektoval, porušil čl. 5 odst. 1 písm. a), čl. 15 odst. 1 písm. h) a čl. 22 odst. 3 nařízení GDPR.
Německý úřad pro ochranu údajů proto správci uložil pokutu ve výši 300 000 EUR.