Kako svakodnevno dobivamo razne primjere primjene GDPR-a, tako smo uočili da neke financijske ustanove kod nas još uvijek ne razumiju ili ne žele prihvatiti da je i uporaba algoritama i analitika platežne moći klijenata zapravo obrada osobnih podataka i da su rezultati takvih analiza zajedno s utvrđenim rizicima - osobni podaci pojedinca.
 
Pri tom, ako se takva analitika provodi isključivo automatiziranim putem, npr. algoritmima i određenom programskom logikom, bez utjecaja fizičke osobe, tada imamo tz. automatizirano donošenje odluka o pojedincu ili pak automatizirano profiliranje, u kakvim slučajevima pojedinac koji je na taj način analiziran i donesene odluke imaju pravni učinak na njega, ima pravo reči "NE" takvom postupanju s njegovim osobnim podacima, odnosno, ima pravo dati ili odbiti privolu, osim ako je takva obrada ugovorena unutar sklopljenog ugovora ili unutar nekih općih uvjeta poslovanja.
 
U svakom slučaju, mi imamo pravo saznati kako smo isprofilirani, kako smo procijenjeni i koji je naš kreditni rejting, jer to su naši osobni podaci.
 
Jedan takav primjer dolazi nam iz Italije, gdje je Volkswagen Leasing kažnjen s 40.000 EUR jer je odbio dati tražene informacije pojedincu.
 
Pojedinac je aplicirao za leasing/kredit, ali mu je zahtjev odbijen. Kako očigledno pojedinac poznaje GDPR, podnio je svoj zahtjev za pristup svojim osobnim podacima prema članku 15. GDPR-a, uz konkretno pitanje temeljem kojih podataka ga je leasing kuća odbila.
 
Leasing kuća se ponijela prilično "bankarski" i dostavila pojedincu kopiju sve dokumentaciju koju je on sam njima prethodno dostavio. Bez davanja traženih i konkretnih odgovora.
 
Stvar je prijavljena nadzornom tijelu za zaštitu osobnih podataka, koje je jasno utvrdilo:
 
- pravo na pristup osobnim podacima je alat za fizičke osobe da saznaju koji se njihovi osobni podaci koriste i kako se koriste, čime im se omogućuje kontrola nad njima
 
- u skladu s člankom 15. GDPR-a, kada odgovaraju na zahtjev za pristup osobnim podacima, voditelji obrade ne mogu dati opći opis i općenite informacija, niti mogu izostaviti bilo koju informaciju koju posjeduju
 
- naprotiv, takve inormacije moraju biti potpune i ažurne te dostavljene u sažetom, transparentnom, razumljivom i lako dostupnom obliku.
 
- voditelji obrade moraju poduzeti sve mjere, u skladu s načelom pouzdanosti (bolje zvuči - odgovornosti"), kako bi olakšali ostvarivanje ovog prava (članak 5. stavak 2. i članak 12. stavak 2. GDPR-a).
 
- samo spominjanje korištenja procjene kreditne sposobnosti, s obzirom da je na voditelju obrade da se pridržava obveze iz članka 15. GDPR-a.
 
- leasing kuća kao voditelj obrade nije dostavila potpune podatke sadržane u izvješću o kreditnoj sposobnosti, a koji su bili relevantni za provjeru točnosti i zakonitosti obrade.
 
Iako te podatke leasing kuća ima i iako su bili izričito traženi, odbila ih je dati. Jel to bilo vrijedno 40.000 EUR kazne?
 
Više o slučaju na:
 
https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_9899914&mtc=today
 
Image by pressfoto on Freepik
 
#gdprcroatia