CJEU: Logika avtomatiziranega odločanja
Sodišče EU je odločilo, da mora upravljavec posamezniku posredovati dejanski obseg podatkov in razumljiv opis logike, ki se uporablja pri avtomatiziranem sprejemanju odločitev, da bi se posameznik lahko na to odločitev pritožil.
Odločitev je bila objavljena 27.2.2025
V Avstriji je operater mobilne telefonije zavrnil sklenitev pogodbe s stranko z obrazložitvijo, da je njena kreditna sposobnost nezadostna. Upravljavec se je v zvezi s tem skliceval na avtomatizirano oceno kreditne sposobnosti stranke, ki jo je izvedlo podjetje Dun & Bradstreet Austria, specializirano za zagotavljanje takih ocen.
V sporu, ki je sledil, je avstrijsko sodišče s pravnomočno odločitvijo ugotovilo, da je Dun & Bradstreet kršil GDPR, saj stranki ni zagotovil ključnih informacij o vključeni logiki pri avtomatiziranem odločanju. Podjetje tudi ni podalo ustrezne razlage, zakaj teh informacij ni moglo zagotoviti. Sodišče, pred katerim je stranka predložila zadevo zaradi izvršitve te sodne odločbe, se sprašuje, kaj mora Dun & Bradstreet v praksi storiti v zvezi s tem. Sodišče je zato zadevo predalo Sodišču EU in v predhodnem posvetu zahtevalo pojasnila glede razlage GDPR in direktive o varovanju poslovnih skrivnosti.
Odločitev sodišča
Po mnenju Sodišča EU mora upravljavec opisati postopek in načela, ki se uporabljajo, tako da lahko posameznik dejansko razume, kateri njegovi osebni podatki so bili uporabljeni pri avtomatiziranem odločanju – skladno s 15.1.h) členom GDPR. To bi lahko na primer bila razlaga, kako bi se rezultat oziroma odločitev spremenila, če bi bili nekateri od podatkov, ki so upoštevani v algoritmu, drugačni. Zgolj splošen opis algoritma nasprotno ne pomeni dovolj jedrnate in razumljive razlage.
Kadar upravljavec meni, da informacije, ki jih je treba posredovati, vsebujejo varovane podatke tretjih oseb ali poslovne skrivnosti (v smislu 2.1. člena Direktive 2016/943 o poslovni skrivnosti), mora upravljavec te domnevno varovane informacije posredovati pristojnemu nadzornemu organu ali sodišču. Ta organ ali sodišče mora nato uravnotežiti pravice in interese upravljavca s pravicami posameznika do teh informacij.
Sodišče v zvezi s tem ugotavlja, da GDPR ne omogoča uporabe nacionalne zakonodaje, ki izključuje možnost uveljavljanja pravice do dostopa, če bi to ogrozilo poslovne skrivnosti upravljavca ali tretje osebe.
Celotna sodba je dostopna tukaj
Vir: Lawyersweek.net
Naslovna slika: RawPixel
