Europski je sud objavio svoje vrlo bitno stajalište koje će imati velikog utjecaja na daljnje ponašanje svih strana koje provode procjene kreditne sposobnosti ali i svih strana koje takve procjene koriste u vlastite svrhe.
Sve je započelo zahtjevom fizičke osobe prema Schufa agenciji za procjenu kreditne sposobnosti da mu daju sve informacije o osobnim podacima koje imaju o njemu i da izbrišu netočne, kao i da mu detaljno pojasne logiku procjene njegove kreditne sposobnosti, pri čemu se Schufa ogradila da ne smiju otkrivati detalje postupka procjene jer bi time ugrozili poslovne tajne kao i da Schufa svojom automatikom zapravo ne donosi odluku već to rade treće strane temeljem procjena koje Schufa dostavi.
Stajalište EUCJ je doneseno u slučaju „Schufa“ https://curia.europa.eu/juris/liste.jsf?num=C-634/21 iz kojeg izdvajamo:
- Članak 22. stavak 1. GDPR‑a poseban je u odnosu na druga ograničenja obrade podataka sadržana u toj uredbi jer se njime propisuje „pravo” ispitanika da se na njega ne odnosi odluka koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila. Neovisno o upotrijebljenoj terminologiji, za primjenu članka 22. stavka 1. OUZP‑a nije potrebno da se ispitanik aktivno poziva na pravo. Naime, iz tumačenja s obzirom na uvodnu izjavu 71. te uredbe i uzimajući u obzir strukturu te odredbe, osobito stavak 2. u kojem se navode slučajevi u kojima se takva automatizirana obrada iznimno dopušta, zapravo se može zaključiti da se tom odredbom određuje opća zabrana takve vrste odluka koja je prethodno opisana. S obzirom na navedeno, valja naglasiti da se ta zabrana primjenjuje samo u vrlo specifičnim okolnostima, odnosno, konkretno, na odluke „koje proizvode pravne učinke koji se na njega odnose” ili „na sličan način značajno na njega utječu”.
- Za primjenu članka 22. stavka 1. GDPR‑a potrebno je da odluka o kojoj je riječ proizvodi „pravne učinke” koji se odnose na ispitanika ili da „na sličan način značajno na njega utječe”. Tako se OUZP‑om priznaje da donošenje automatizirane odluke, uključujući izradu profila, može imati ozbiljne posljedice za ispitanike. Iako se u OUZP‑u ne definiraju izraz „pravni učinci” ni izraz „na sličan način značajno utjecati”, upotrijebljeni izrazi ipak jasno upućuju na to da se ta odredba odnosi samo na učinke koji imaju ozbiljne posljedice. U tom pogledu najprije valja skrenuti pozornost na činjenicu da se u uvodnoj izjavi 71. OUZP‑a izričito navodi „automatsko odbijanje zahtjeva za kreditom putem interneta” kao tipični primjer odluke koja „značajno” utječe na ispitanika.
- Nadalje, valja uzeti u obzir da, s jedne strane, s obzirom na to da obrada zahtjeva za kredit predstavlja fazu koja prethodi sklapanju ugovora o zajmu, odbijanje takvog zahtjeva može imati „pravne učinke” na ispitanika jer on više ne može zasnovati ugovorni odnos s financijskom institucijom o kojoj je riječ. S druge strane, valja istaknuti činjenicu da takvo odbijanje može utjecati i na financijsku situaciju ispitanika. Stoga je logično zaključiti da će se na tu osobu u svakom slučaju utjecati „na sličan način” u smislu te odredbe. Čini se da je zakonodavac Unije toga bio svjestan prilikom sastavljanja uvodne izjave 71. GDPR ‑a, s obzirom na koju treba tumačiti njegov članak 22. stavak 1. Stoga smatram da su, s obzirom na situaciju u kojoj se nalazi tužiteljica, u ovom slučaju ispunjeni uvjeti iz te odredbe, neovisno o tome stavlja li se naglasak na pravne ili ekonomske posljedice odbijanja odobravanja kredita.
- U skladu s člankom 15. stavkom 1. točkom (h) GDPR‑a, ispitanik ima pravo dobiti od voditelja obrade ne samo potvrdu obrađuju li se osobni podaci koji se odnose na njega, nego i druge informacije kao što su postojanje automatiziranog donošenja odluka, uključujući izradu profila u smislu članka 22. GDPR ‑a, te smislene informacije o tome o kojoj je logici riječ, kao i važnosti i predviđenim posljedicama takve obrade za ispitanika.
- Obvezu pružanja „smislenih informacija o tome o kojoj je logici riječ” treba shvatiti na način da uključuje dovoljno detaljna objašnjenja metode upotrijebljene za izračun kreditnih bodova i razloge koji su doveli do određenog rezultata. Načelno bi voditelj obrade trebao ispitaniku pružiti opće informacije, osobito o čimbenicima koji su uzeti u obzir u postupku donošenja odluke i o njihovoj odgovarajućoj težini na agregatnoj razini, što mu može biti korisno i u slučaju osporavanja svake „odluke” u smislu članka 22. stavka 1. GDPR‑a
- Zaključno, članak 22. stavak 1. GDPR‑a treba tumačiti na način da već automatizirano utvrđivanje ocjene vjerojatnosti ispitanikove sposobnosti da ubuduće otplaćuje kredit predstavlja odluku koja se temelji isključivo na automatiziranoj obradi, uključujući izradu profila, koja proizvodi pravne učinke koji se odnose na ispitanika ili na sličan način značajno na njega utječu ako o toj ocjeni utvrđenoj na temelju ispitanikovih osobnih podataka voditelj obrade obavijesti trećeg voditelja obrade i ako je, prema ustaljenoj praksi, ta ocjena odlučujuća za odluku o zasnivanju, provedbi ili prestanku ugovornog odnosa s ispitanikom koju donosi potonji voditelj obrade
Nadamo se da će ovaj post pročitati i jedna kartičarska tvrtka u RH čiji DPO smatra da rezultat procjene kreditne sposobnosti korisnika kartice ne predstavlja osobni podatak.
Više o samom slučaju iz Njemačke na:
https://gdprhub.eu/index.php?title=CJEU_-_C%E2%80%91634/21_-_SCHUFA&mtc=today
Image from FreePik
#gdprcroatia