Što se dogodilo?
Ispitanik je želio sklopiti ugovor o opskrbi energijom s dobavljačem ali je 1. listopada 2020. primio dopis od dobavljača da to nije moguće zbog nedovoljne kreditne sposobnosti.
Kreditnu provjeru radi koje nije mogao sklopiti ugovor izvršila je credit score agencija kao samostalni voditelj obrade.
Nakon saznanja te informacije, ispitanik je voditelju obrade (credit score agenciji) podnio zahtjev za pristup podacima prema članku 15. GDPR-a te je voditelj obrade (credit score agencija) dostavio ispitaniku osobne podatke i također naveo da je opskrbljivač energijom 1. listopada 2020. voditelju obrade poslao kreditni upit o ispitaniku.
Ispitanik nezadovoljan odgovorom, zatražio je od voditelja obrade da ispravno ispuni svoju obvezu omogućavanja pristupa. Međutim, voditelj obrade odgovorio je da ne postoji pravo pristupa u skladu s člankom 15. stavkom 1. točkom (h) GDPR-a u vezi s izračunom kreditnih bodova te parametrima i metodama koje su korištene za izračun vrijednosti rizika jer su one bile vođene kao poslovna tajna voditelja obrade (credit score agencije).
Ispitanik je podnio pritužbu protiv voditelja obrade (credit score agencije) austrijskom nadzornom tijelu
Voditelj obrade je u postupku tvrdio da nije bilo automatiziranog donošenja odluka u smislu članka 22. GDPR-a i da stoga nije bilo prava pristupa prema članku 15. GDPR-a. Nadalje je tvrdio da je kreditnu ocjenu izračunao na temelju parametara „kvalificirana neizvršena plaćanja (unosi naplate duga, nesolventnost itd.), dob i mjesto stanovanja”. Što se tiče ispitanika, voditelj obrade poslao je "srednju" kreditnu ocjenu dobavljaču energije. U sustavu voditelja obrade nisu bili dostupni podaci o negativnoj povijesti plaćanja za određivanje ocjene kreditne sposobnosti ispitanika. Uz sve, voditelj obrade je naveo da prikuplja podatke iz javno dostupnih izvora, podatke od objavljivača adresa i informacije o prošlosti plaćanja koje su dali korporativni klijenti i partneri za naplatu potraživanja.
DPA je prihvatio pritužbu ispitanika i utvrdio da je voditelj obrade (credit score agencija) prekršio članak 5. stavak 1. točka (a) GDPR-a, članak 13. stavak 2. točka (f) GDPR-a, članak 14. stavak 2. točka (g) GDPR-a, članak 15. stavak 1. točka (h) GDPR-a i članak 22. GDPR-a. DPA je nadalje naredio voditelju obrade da u roku od osam tjedana ispuni zahtjev za pristup.
Voditelj obrade se žalio na odluku DPA-e Saveznom upravnom sudu ("Bundesverwaltungsgericht - BVwG").
Žalba temeljena na načelima zakonitosti, pravičnosti i transparentnosti
Sud je odbacio argument voditelja obrade da kršenje članka 5. stavka 1. točke (a) GDPR-a ne može biti predmet pritužbe prema Odjeljku 24. austrijskog zakona o zaštiti podataka ("DSG") i članku 77. GDPR-a. Sud je uzeo u obzir presudu Suda Europske unije (C-33/22), koja jasno kaže da se pritužba prema članku 77. stavku 1. GDPR-a ne mora temeljiti na povredi prava, već na povredi obrade podataka u GDPR.
Automatizirano donošenje odluka
O tome spada li procjena kreditne sposobnosti ispitanika u automatizirano donošenje odluka prema članku 22. GDPR-a, sud je uzeo u obzir presudu CJEU-a C-634/21 OQ / Land Hessen. CJEU je smatrao u navedenoj presudi da „automatizirano utvrđivanje vrijednosti vjerojatnosti, od strane agencije za kreditne informacije, na temelju osobnih podataka koji se odnose na osobu i koji se tiču njegove ili njezine sposobnosti ispunjavanja obveza plaćanja u budućnosti predstavlja 'automatizirano pojedinačno donošenje odluka' (članak 22. stavak 1. GDPR-a), kada treća strana, kojoj se ta vrijednost vjerojatnosti prenosi, snažno koristi tu vrijednost vjerojatnosti za uspostavljanje, provedbu ili raskid ugovornog odnosa s tom osobom.”.
Sud je stoga odbacio argument voditelja obrade da nije proveo automatizirano donošenje odluka prema članku 22. GDPR-a, jer je vrijednost vjerojatnosti koju je voditelj obrade dostavio dobavljaču energije bila odlučujući kriterij za odbijanje sklapanja ugovora s ispitanikom. Štoviše, sud je smatrao da je činjenica da je odluka dovela do mogućnosti da ispitanik sklopi ugovor o opskrbi energijom bila odluka koja "proizvodi pravne učinke u odnosu na ispitanika ili na sličan način značajno utječe na ispitanika" u smislu članka 22. (1) GDPR.
Nadalje, Sud je odbacio argument voditelja obrade da je samo izračunao kreditnu ocjenu i da svaku daljnju odluku donose njihovi ugovorni partneri, te stoga voditelj obrade nije mogao predvidjeti temelji li se odluka isključivo na kreditnoj ocjeni koju su oni dostavili. Vezano uz zadnje navedeno Sud je uzeo u obzir presudu Suda Europske unije C-634/21 OQ / Land Hessen, u kojoj je izričito navedeno da bi takvo restriktivno tumačenje predstavljalo rizik zaobilaženja članka 22. GDPR-a. Ako se izračun kreditne sposobnosti promatra samo kao pripremni čin, a ne kao odluka, stvorit će se praznina u pravnoj zaštiti.
Stoga je sud zaključio da je stvaranje kreditnog rezultata automatizirano donošenje odluka prema članku 22. GDPR-a. Štoviše, sud je smatrao da se na voditelja obrade ne primjenjuju iznimke prema članku 22. stavku 2. GDPR-a te je stoga automatizirana obrada voditelja obrade bila nezakonita. Sud se složio s DPA-om da je voditelj obrade također prekršio načela "zakonitosti" i "poštenosti" prema članku 5. stavku 1. točki (a) GDPR-a.
Daljnje obrazloženje Suda ticalo se činjenice da je voditelj obrade prekršio svoje obveze omogućavanja pristupa prema članku 13. stavku 2. točki (f) GDPR-a i članku 14. stavku 2. točki (g) GDPR-a, jer nije pružio informacije ispitaniku o uključenoj logici ili opsegu i namjeravane učinke takve obrade za ispitanika.
Zahtjev za pristup- što se u tom dijelu dogodilo i što je Sud odlučio?
Sud se složio s nalazima DPA-a da voditelj obrade nije udovoljio zahtjevu za pristup ispitanika prema članku 15. stavku 1. točki (h) GDPR-a.
Sud je ponovno uzeo u obzir presudu Suda Europske unije C-634/21 OQ / Land Hessen, koja je utvrdila da ispitanik ima pravo pristupa „smislenim informacijama o ˝logici˝ koja je uključena u izračun/ procjenu, kao i značaju i predviđenim posljedicama koje takva obrada ima za ispitanika”.
Prema mišljenju Suda ispitanik nije mogao provjeriti zakonitost obrade podataka s informacijama koje mu je dao voditelj obrade jer nisu uključivale posebne informacije o izračunu kreditne sposobnosti koja mu je pripisana. Sud je smatrao da dostavljene informacije moraju biti toliko sveobuhvatne da ispitanik može razumjeti razloge bodovne vrijednosti kreditnog rezultata. Ovaj je sud smatrao da izraz "uključena logika" znači načelo na kojem se temelji takav izračun, a ne konkretnu formulu za izračun.
A poslovna tajna kao argument?
Sud je odbacio tvrdnju voditelja obrade da su te informacije poslovna tajna. Iako je prema Odjeljku 4(6) DSG-a pravo na informaciju općenito isključeno ako bi to ugrozilo poslovnu ili poslovnu tajnu, sud je smatrao da to nije apsolutno pravo na odbijanje informacija.
Voditelj obrade mora pažljivo odvagnuti u svakom pojedinačnom slučaju u kojoj bi mjeri određeni dio informacija mogao utjecati na poslovnu ili poslovnu tajnu. Ispitaniku se i dalje mogu pružiti dodatne informacije o tome kako je izračunat ovaj kreditni rezultat bez otkrivanja poslovnih tajni, kao što je posebna formula za izračun. Sud se složio s DPA-om da pružanje informacija o izračunu kreditne sposobnosti ne bi rezultiralo konkurentskim /nepovoljnijim položajem za voditelja obrade, posebno jer svi oni podliježu GDPR-u.
Stoga je u konačnici kako smo spomenuli Sud zaključio da je voditelj obrade prekršio članak 15. stavak 1. točku (h) GDPR-a time što ispitaniku nije pružio dovoljno informacija.
O dozvoljenosti automatiziranog donošenja odluka SCHUFA Holding AG-a smo pisali ovdje.