Významné rozhodnutí rakouského soudu o úvěrovém scoringu podle GDPR
Credit score
Credit score

Rakouský Spolkový správní soud (BVwG) nedávno rozhodl o významném případu týkajícím se legality automatizovaného úvěrového scoringu podle Obecného nařízení o ochraně osobních údajů (GDPR). Případ, označený jako W292 2248672-1, byl rozhodnut dne 23. dubna 2024 a zveřejněn v červnu 2024.

    Pozadí případu

    Případ vznikl, když subjekt údajů usiloval o uzavření smlouvy o dodávce energie, ale byl odmítnut z důvodu nedostatečného úvěrového hodnocení posouzeného úvěrovou agenturou. Po tomto odmítnutí subjekt údajů požádal agenturu o přístup ke svým osobním údajům podle článku 15 GDPR. Agentura poskytla některé informace, ale tvrdila, že konkrétní metody a parametry používané k výpočtu úvěrového skóre jsou obchodním tajemstvím a jsou tedy vyňaty z poskytnutí informací.

    Právní závěry

    Rakouský úřad pro ochranu osobních údajů (DSB) stížnost subjektu údajů přijal a shledal, že úvěrová agentura porušila několik článků GDPR, včetně článku 5 odst. 1 písm. a) o zákonném zpracování a článku 22 o automatizovaném rozhodování. Úřad nařídil agentuře splnit požadavek na přístup do osmi týdnů.

    Při odvolání soud potvrdil rozhodnutí úřadu a zdůraznil, že proces úvěrového scoringu představoval automatizované rozhodování o jednotlivci definované v článku 22 odst. 1 GDPR. Soud odkázal na předchozí rozhodnutí Soudního dvora EU, které objasnilo, že stanovení pravděpodobnostní hodnoty pro úvěruschopnost je skutečně automatizovaným rozhodovacím procesem o jednotlivci, pokud jej významně ovlivňuje.

    Rozhodnutí soudu

    1. Automatizované rozhodování: Soud určil, že úvěrové skóre poskytnuté dodavateli energie bylo rozhodujícím faktorem při odmítnutí smlouvy, a proto ho klasifikoval jako proces automatizovaného rozhodování o jednotlivci. Soud odmítl argument agentury, že pouze vypočítala skóre a že konečné rozhodnutí učinil dodavatel energie.
    2. Porušení práva na informace: Soud zjistil, že agentura nesplnila své povinnosti podle článků 13 a 14 GDPR, které vyžadují transparentnost, pokud jde o logiku zapojení do zpracování osobních údajů. Odmítnutí agentury zveřejnit výpočetní metody bylo považováno za nedostatečné, protože subjekt údajů nemohl ověřit zákonnost zpracování bez těchto informací.
    3. Příkaz ke splnění: soud potvrdil příkaz úřadu pro ochranu osobních údajů,, aby agentura poskytla subjektu údajů komplexní informace o procesu úvěrového scoringu do osmi týdnů, s důrazem na to, že právo na informace není absolutní, ale musí být vyváženo oprávněnými obchodními zájmy.

    Závěrem, toto rozhodnutí posiluje význam transparentnosti a odpovědnosti v automatizovaných rozhodovacích procesech, zejména v kontextech, které významně ovlivňují práva a příležitosti jednotlivců. Rozhodnutí soudu zdůrazňuje nutnost, aby správci údajů poskytovali subjektům údajů smysluplné informace o tom, jak jsou jejich osobní údaje zpracovávány, zejména v automatizovaných systémech.

    Zdroj