Sodišče Evropske unije (SEU) je v sodbi v zadevi C-203/22 (Dun & Bradstreet Austria) obravnavalo vprašanje pravice posameznika do pojasnila v primerih avtomatiziranega sprejemanja odločitev, ki vplivajo na njegovo pravno ali podobno pomembno stanje. Ta sodba predstavlja pomembno razlago Splošne uredbe o varstvu podatkov (GDPR) in njenega razmerja do varstva poslovnih skrivnosti.

Dejansko stanje zadeve

V Avstriji je ponudnik mobilnih storitev zavrnil sklenitev pogodbe s stranko, ker njena kreditna sposobnost ni bila ocenjena kot zadostna. Pri tej odločitvi se je operater opiral na avtomatizirano oceno kreditne sposobnosti, ki jo je izvedlo podjetje Dun & Bradstreet Austria, specializirano za tovrstne storitve. Sklenitev pogodbe bi za stranko pomenila mesečno obveznost plačila v višini 10 evrov.

V sodnem postopku je avstrijsko sodišče s pravnomočno odločitvijo ugotovilo, da je Dun & Bradstreet kršilo GDPR, ker stranki ni zagotovilo „pomembnih informacij o uporabljeni logiki“ pri avtomatiziranem sprejemanju odločitve. Podjetje ni podalo zadostne obrazložitve, zakaj teh informacij ni moglo zagotoviti.

Sodišče se je obrnilo na SEU s vprašanjem, kako mora podjetje Dun & Bradstreet v praksi izpolniti svojo obveznost obveščanja posameznika.

Obveznosti upravljavcev pri avtomatiziranih odločitvah – GDPR

SEU je v svoji sodbi pojasnilo, da mora upravljavec opisati postopek in načela, ki so bila dejansko uporabljena pri avtomatizirani odločitvi, na način, ki posamezniku omogoča razumeti:

• katere njegove osebne podatke je upravljavec uporabil,
• kako so bili ti podatki uporabljeni pri sprejemanju odločitve.

Za izpolnitev zahtev po transparentnosti in razumljivosti je lahko ustrezno tudi pojasnilo, v kolikšni meri bi sprememba upoštevanih osebnih podatkov privedla do drugačnega rezultata ocene. SEU je poudarilo, da zgolj razkritje algoritma ne predstavlja zadostno jedrnate in razumljive obrazložitve.

Razmerje med pravico dostopa in varstvom poslovnih skrivnosti – GDPR

V primerih, ko upravljavec meni, da bi razkritje informacij lahko vključevalo zaščitene podatke tretjih oseb ali poslovne skrivnosti, mora te informacije predložiti pristojnemu nadzornemu organu ali sodišču. Ti organi morajo nato uravnotežiti pravice in interese vpletenih strank ter določiti obseg pravice posameznika do dostopa do informacij.

SEU je ob tem izrecno zavrnilo uporabo nacionalnih predpisov, ki bi avtomatično izključevali pravico posameznika do dostopa do informacij zgolj zato, ker bi to lahko ogrozilo poslovno skrivnost upravljavca ali tretje osebe.

Praktični pomen sodbe

Ta sodba ima pomembne posledice za podjetja, ki se ukvarjajo z avtomatiziranim ocenjevanjem kreditne sposobnosti in drugimi podobnimi postopki. Upravljavci osebnih podatkov morajo zagotoviti, da posameznikom nudijo zadostno in razumljivo pojasnilo o logiki avtomatiziranih odločitev, ki vplivajo na njihovo pravno ali ekonomsko situacijo. Prav tako morajo biti pripravljeni sodelovati z nadzornimi organi in sodišči pri preverjanju varstva poslovnih skrivnosti v takšnih primerih.

Sodba dodatno krepi pravice posameznikov na področju varstva osebnih podatkov in zagotavlja boljšo preglednost pri uporabi avtomatiziranega odločanja v praksi.

Če potrebujete pravne storitve, ki jih lahko zagotovi odvetnik ali odvetniška družba v Ljubljani, razmislite o tem, da nas kontaktirate z uporabo naših kontaktnih podatkov, kot so objavljeni na naši spletni strani. Odvetnik vam lahko zagotovi pravni nasvet in zastopanje ter zagotovi, da so vaše pravice zaščitene. Več informacij o predpisih v Sloveniji najdete na uradnih straneh slovenske Vlade. Več podobnih tem, pa lahko najdete na strani z objavami naše odvetniške družbe.