CJEU: Kreditna sposobnost
Evropsko sodišče je presojalo o obdelavi osebnih podatkov za namen izračuna kredite sposobnosti in odločilo, da tako ocenjevanje predstavlja avtomatizirano sprejemanje odločitev, hramba informacij v zvezi z odpisom preostalih dolgov pa ne sme biti daljša, kot velja za javni register
Novica je bila objavljena 7.12.2023
Sodišče Evropske unije (CJEU) je izdalo pomembno sodbo o obsegu in razlagi okvira „avtomatiziranega odločanja“ v skladu z GDPR. To je odločitev, ki bi lahko imela pomembne posledice za ponudnike storitev, ki uporabljajo algoritme za izdelavo avtomatiziranih rezultatov, profilov ali drugih ocen, na katere se stranke zanašajo v procesu odločanja.
Številni predstavniki javnosti oporekajo pred upravnim sodiščem v Wiesbadnu (Nemčija) neukrepanju pristojnega nadzornega organa za varstvo podatkov proti določenim dejavnostim obdelave družbe SCHUFA, zasebnega podjetja, ki strankam zagotavlja informacije o kreditih, vključno z bančnimi informacijami. Natančneje, nasprotujejo bonitetnim ocenam ("credit scoring") in hrambi podatkov v zvezi z odobritvijo odpisa preostalih dolgov, ki jih črpajo iz javnih registrov.
Določanje bonitetnih ocen je matematična statistična metoda, ki se uporablja za napovedovanje verjetnosti prihodnjega vedenja, kot je odplačilo posojila. Informacije v zvezi z odobritvijo odpisa preostalih dolgov se hranijo v nemškem javnem registru insolventnosti šest mesecev, medtem ko kodeks ravnanja nemških agencij za kreditne informacije določa triletno obdobje hrambe lastnih baz podatkov. Upravno sodišče je pozvalo CJEU k pojasnilu obsega varstva osebnih podatkov, ki ga določa Splošna uredba o varstvu podatkov (GDPR).
Kar zadeva bonitetno ocenjevanje, CJEU meni, da ga je treba obravnavati kot avtomatizirano sprejemanje posameznih odločitev, ki pa je s strani GDPR načeloma prepovedana, v kolikor ji stranke družbe SCHUFA (kot so banke) pripisujejo odločilno vlogo pri odobritvah kreditov. Po mnenju upravnega sodišča v Wiesbadnu je temu tako. To sodišče mora oceniti ali nemški zvezni zakon o varstvu podatkov vsebuje veljavno izjemo od te prepovedi v skladu z GDPR. Če je temu tako, bo moralo sodišče še vedno preveriti, ali so izpolnjeni splošni pogoji, ki jih določa GDPR za obdelave podatkov.
Kar zadeva informacije v zvezi z odobritvijo odpisa preostalih dolgov, CJEU meni, da je v nasprotju z GDPR, kadar zasebne agencije take podatke hranijo dlje kot javni register insolventnosti.
Namen odpisa preostalih dolgov je omogočiti posamezniku ponoven vstop v gospodarsko življenje, zato je eksistencialnega pomena za to osebo. Ti podatki se še vedno uporabljajo kot negativni dejavnik pri ocenjevanju plačilne sposobnosti posameznika. V tem primeru je nemški zakonodajalec predvidel hrambo podatkov šest mesecev. Zato CJEU meni, da imajo po koncu šestih mesecev pravice in interesi posameznika prednost nad tistimi od subjektov, da imajo dostop do teh informacij.
V kolikor je hramba podatkov nezakonita, torej jo presega šest mesecev, ima posameznik pravico zahtevati izbris podatkov, agencija pa jih je dolžna izbrisati v najkrajšem možnem času.
Kar zadeva vzporedno shranjevanje takšnih informacij s strani SCHUFA za teh šest mesecev, je za upravno sodišče pomembno, da pretehta vpletene interese, da bi se ocenilo njegovo zakonitost. Če se sklepa, da je vzporedno shranjevanje za šest mesecev zakonito, bo posameznik še vedno imel pravico ugovarjati obdelavi svojih podatkov in pravico do izbrisa podatkov, razen če SCHUFA dokaže obstoj prevladujočih zakonitih razlogov.
Na koncu CJEU poudarja, da morajo biti nacionalna sodišča sposobna izvajati popoln nadzor nad vsemi pravno zavezujočimi odločitev nadzornega organa.
Sporočilo za javnost je dostopno tukaj
Vir: Sodišče EU
Naslovna fotografija: RawPixel
