Zatraži ponudu
Javite nam se

Nazovite nas +385 95 1234 098
ili nam pišite na ured@presido.hr

Početna Blog Granica između transparentnosti i poslovne tajne

Granica između transparentnosti i poslovne tajne

Svi članci
04.05.2025.

Dana 27. veljače 2025. Sud Europske unije donio je ključnu presudu u predmetu C-203/22, u kojoj se bavi ravnotežom između prava pojedinaca na transparentnost u automatiziranim procesima donošenja odluka i zaštite tajnosti ("Odluka D&B").

Presuda je dio rasprave pokrenute odlukom od 7. prosinca 2023., predmet C-634/21 ("Odluka Schufa") o primjeni Opće uredbe o zaštiti podataka 2016/679 (GDPR) na algoritamske evaluacije, posebno u sektoru kreditnog bodovanja.

Kontekst spora

Problem proizlazi iz zahtjeva pojedinca („ CK “) kojem je odbijeno sklapanje telefonskog ugovora zbog negativne procjene njegove kreditne sposobnosti koju je provela tvrtka Dun & Bradstreet Austria GmbH („ D&B “) - tvrtka koja posluje u sektoru poslovnih informacija i oslanja se na algoritamske sustave za obradu kreditne sposobnosti fizičkih osoba.

Na temelju pritužbe koju je podnio CK, austrijsko tijelo za zaštitu podataka naložilo je D&B-u da pojedincu dostavi detalje o funkcioniranju tih procesa donošenja odluka, provodeći pravo utvrđeno u članku 15(1)(h) GDPR-a, koji od voditelja obrade zahtijeva da pruže „značajne informacije o logici uključenoj “ u automatizirane odluke.

Tvrtka je podnijela tužbu protiv odluke Austrijskom saveznom upravnom sudu, tvrdeći da, zbog poslovne tajne, nije bila dužna otkriti CK-u nikakve dodatne informacije uz one koje je već dostavila. Sud je presudio da je D&B prekršio članak 15. stavak 1. točka (h) GDPR-a time što CK-u nije pružio smislene informacije o logici uključenoj u automatizirani proces donošenja odluka ili, barem, time što nije adekvatno opravdao svoju nemogućnost da to učini. Međutim, provedba ove odluke odbijena je uz obrazloženje da je D&B u dovoljnoj mjeri ispunio svoju obvezu informiranja.

Stoga je Upravni sud u Beču podnio slučaj Sudu Europske unije kako bi razjasnio osjetljivu ravnotežu između prava na transparentnost i zaštite osjetljivih informacija poput poslovnih tajni.

Zaključci Suda pravde EU

U svojoj presudi, Sud EU-a je naveo kako slijedi:

  • Pravo na transparentnost: pojedinci imaju pravo primiti jasne i razumljive informacije o logici uključenoj u automatizirane procese donošenja odluka, uključujući ključne parametre i njihov utjecaj na procjenu. Voditelj obrade podataka ne može pružiti samo složenu matematičku formulu ili generičke informacije; već mora osigurati da ispitanik može razumjeti funkcioniranje mehanizma koji je u osnovi automatiziranog procesa donošenja odluka koji se koristi u konkretnom slučaju.
  • Ograničenja zaštite poslovne tajne: iako GDPR priznaje da pravo na zaštitu osobnih podataka nije apsolutno pravo i mora se uravnotežiti s drugim temeljnim pravima (uvodna izjava 4. GDPR-a) te da pravo ispitanika na pristup osobnim podacima ne smije negativno utjecati na prava i slobode drugih, uključujući poslovne tajne (uvodna izjava 63. GDPR-a), ta razmatranja ne opravdavaju odbijanje pristupa ispitaniku traženim informacijama. Stoga se na zaštitu poslovne tajne ne može apsolutno pozivati ​​kako bi se ispitaniku uskratio pristup relevantnim informacijama.
  • Nužno uravnoteženje: u slučaju da voditelj obrade podataka smatra da informacije koje treba dostaviti ispitaniku u skladu s člankom 15. stavkom 1. točkom h) GDPR-a sadrže podatke trećih strana zaštićene tom uredbom ili poslovne tajne, u smislu članka 2. stavka 1. Direktive 2016/943 (EU), voditelj obrade podataka mora otkriti te informacije nadležnom nadzornom tijelu ili sudu, koji moraju uravnotežiti sporna prava i interese s ciljem utvrđivanja opsega prava ispitanika na pristup.

Odluka Suda EU-a postavlja nekoliko pitanja i potencijalno kritičnih problema za tvrtke koje koriste automatizirane sustave donošenja odluka, a posebno za one koje posluju u području procjene kreditne sposobnosti.

Razlika između bodovanja i automatiziranog donošenja odluka

Jedno od najrelevantnijih pitanja odnosi se na primjenjivost članka 22. GDPR-a na tvrtke koje posluju u sektoru kreditnog bodovanja.

Što se tiče ovog slučaja, D&B nije donio izravnu odluku protiv CK-a, već je samo dostavio kreditni rezultat, koji je telekomunikacijski operater kasnije koristio kako bi odlučio hoće li sklopiti ugovor s tom osobom ili ne.

To postavlja temeljno pitanje: može li se pružatelj bodovanja smatrati odgovornim za „automatiziranu odluku“ u smislu članka 22. GDPR-a ili stvarnu odluku donosi treća strana koristeći te informacije? Ovo je temeljna razlika, posebno s obzirom na to da tvrtke (poput D&B-a) koje posluju u poslovanju bodovanja kredita ne određuju izravno može li pojedinac imati pristup određenoj usluzi već obrađuju podatke koje kasnije tumače druge tvrtke koje su, de facto, u poziciji da vrše moć donošenja odluka nad pojedincem.

U kontekstu odluke Schufa, koja je donesena neposredno prije sporne presude, Sud EU-a izjavio je da automatizirano bodovanje kreditne sposobnosti pojedinca, kada igra odlučujuću ulogu u uspostavljanju, provedbi ili prekidu ugovornog odnosa, već predstavlja automatizirani proces donošenja odluka, koji stoga spada u područje primjene članka 22. GDPR-a [1] . Drugim riječima, čini se da Sud EU-a potvrđuje da bi aktivnost bodovanja koju provodi tvrtka poput Schufe ili D&B-a spadala pod primjenu članka 22. kad god je odluka koju donosi treća strana odlučujuće utječe na prethodnom aktivnošću bodovanja, čime se de facto negira opća i stabilna kvalifikacija te aktivnosti, čija će konfiguracija ovisiti, od slučaja do slučaja, o stvarnoj upotrebi bodovanja od strane gospodarskih subjekata.

Unatoč svim pravnim implikacijama koje proizlaze iz afirmacije takvog načela, posebno na nacionalnoj razini, jasno je da Sud EU-a ne daje definitivan odgovor na ovu „dilemu“.

Možda to i nije tako loše…. Ostavlja prostora za druge slučajeve i za daljnja tumačenja.

Granica između transparentnosti i poslovne tajne

U presudi se ponavlja da zaštita osobnih podataka mora biti uravnotežena s drugim temeljnim pravima.

Uostalom, odluka D&B pokazuje da potpuno i detaljno otkrivanje poslovne tajne nije nužno potrebno prilikom ostvarivanja prava pristupa: „ prvo, voditelj obrade trebao bi pronaći jednostavne načine da ispitaniku objasni razloge ili kriterije na kojima se temelji automatizirana odluka. Drugo, GDPR zahtijeva od voditelja obrade da pruži smislene informacije o logici uključenoj u tu odluku, ali „ne nužno složeno objašnjenje korištenih algoritama ili otkrivanje cijelog algoritma“.“ (Stavak 60.).

Presuda također daje primjer „dovoljnog otkrivanja“ koji potvrđuje mogućnost ispunjenja dužnosti pružanja pristupa bez priopćavanja svih relevantnih informacija: „Što se tiče, konkretno, profiliranja kao što je ono o kojem se raspravlja u glavnom postupku, sud koji je uputio zahtjev mogao bi, između ostalog, utvrditi da je dovoljno transparentno i razumljivo da ispitaniku objasni u kojoj mjeri bi promjena u uzetim osobnim podacima dovela do drugačijeg rezultata.“ (Stavak 62.).

Međutim, Sud je također primijetio da je ograničenje prava na objašnjenje moguće samo kada je to nužno i razmjerno za zaštitu drugih prava.

Sud je posebno pojasnio da u slučaju sukoba između ostvarivanja prava pristupa i zaštite tajne, mora se postići ravnoteža između tih prava. U tu svrhu, relevantne informacije - osobni podaci trećih strana i/ili poslovne tajne - moraju se moći otkriti nadležnom nadzornom tijelu ili sudu, koji moraju odvagnuti sporna prava i interese, s ciljem utvrđivanja opsega prava pristupa.

Što se tiče načina provođenja ove procjene, Sud EU navodi da će nadzorno tijelo ili sud od slučaja do slučaja procijeniti mogu li se tražene informacije otkriti i u kojoj mjeri, ali ne utvrđuje kriterije koji će se primjenjivati ​​u tu svrhu.

Iako ovo rješenje nudi zaštitu oba interesa, ono uvodi rizik sporije i složenije obrade zahtjeva za pristup, povećavajući troškove i vrijeme za tvrtke, posebno u sektorima koji uvelike ovise o algoritamskim modelima.

Problem provjere točnosti podataka

[1] „Članak 22. stavak (1) Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) mora se tumačiti u smislu da automatizirano utvrđivanje vrijednosti vjerojatnosti od strane agencije za kreditne informacije na temelju osobnih podataka koji se odnose na osobu i o njezinoj sposobnosti ispunjavanja obveza plaćanja u budućnosti predstavlja „automatizirano individualno donošenje odluka“ u smislu te odredbe, kada treća strana, kojoj se ta vrijednost vjerojatnosti prenosi, koristi tu vrijednost vjerojatnosti za uspostavljanje, provedbu ili raskid ugovornog odnosa s tom osobom.“ Drugi ključni aspekt odnosi se na mogućnost ispitanika da provjeri točnost informacija koje je dostavio voditelj obrade podataka.

Sud je pojasnio da pravo pristupa osobnim podacima prema članku 15. stavku 1. točki (h) GDPR-a podrazumijeva pružanje smislenih informacija o logici uključenoj u automatizirano donošenje odluka, ali ne nužno i potpuno otkrivanje algoritma ili tehničkih detalja modela bodovanja.

Međutim, Sud je naglasio da pružene informacije moraju biti dovoljno jasne i razumljive kako bi ispitaniku omogućile procjenu točnosti i pravednosti obrade njegovih podataka, kao i ostvarivanje prava na ispravak ili prigovor ako smatra da je postupak donošenja odluka bio netočan.

Implikacije za poslovanje

U svjetlu Odluke D&B, tvrtke koje koriste automatizirane sustave donošenja odluka, posebno one u poslovanju s kreditnim bodovanjem, stoga su dužne preispitati svoje politike za otkrivanje informacija korisnicima, osiguravajući minimalno da:

  • ispitanicima od prvog kontakta pružaju dovoljna, jasna i razumljiva objašnjenja kako bi se izbjegla eskalacija koja bi mogla dovesti do otkrivanja njihovih poslovnih tajni nadzornom tijelu ili sudu.
  • provode postupak za provjeru točnosti podataka- redovno i na ispravan način.
  • postoje mehanizmi za identifikaciju i otkrivanje relevantnih informacija nadzornim tijelima ili sudovima u slučajevima sukoba između prava pristupa i tajnosti.
  • imaju adekvatno propisane procedure vezane uz ostvarivanje prava ispitanika.
  • imaju jasno propisane politike vezane uz tajnost i klasifikaciju dokumentacije i poslovne tajne.

Zaključci

Presuda Suda EU-a C-203/22 predstavlja važan korak naprijed u konfiguriranju i posljedičnoj regulaciji automatiziranih odluka u kontekstu EU-a, ali još uvijek postoje razna neriješena pitanja i tumačenja.

Glavno pitanje odnosi se na razliku između onih koji provode aktivnosti profiliranja i/ili procjene pojedinca i onih koji umjesto toga donose odluke na temelju takvih aktivnosti. Takva tema mogla bi se dalje razvijati u sudskoj praksi i istovremeno bi zapravo mogla zahtijevati različite akcije kako bi se popunile praznine.

Tvrtke koje posluju u sektoru kreditnog rejtinga također će morati usvojiti transparentniji i strukturiraniji pristup, bez ugrožavanja zaštite svojih poslovnih tajni. U nedostatku detaljnijih smjernica nadležnih tijela, rizik od sudskih sporova ostaje visok, stoga je nužna pažljiva strategija usklađenosti koja može pravilno uravnotežiti obveze transparentnosti informacija s pravom gospodarskih subjekata da zaštite svoje poslovne tajne.

Konačno, predmetna presuda zasigurno poboljšava zaštitu prava pojedinaca u odnosu na automatizirane odluke, prisiljavajući tvrtke da pronađu potrebnu ravnotežu između transparentnosti prema pojedincima i zaštite njihovih poslovnih tajni. Ipak, iako naglašava potrebu pružanja „značajnih informacija“ pojedincima, Sud EU-a ne pruža detaljne kriterije o tome koje su informacije dovoljno „značajne“, posebno kada objašnjenje uključuje složene algoritme.

 

Imate pitanja? Kontaktirajte nas!
Odgovaramo u najbržem mogućem roku.

Pročitajte još i ...
Edukacija "Nije pitanje ako, nego kada: Incident management 2025"
Poslovni telefoni i osobni podaci: Tko je voditelj obrade? Tko što smije?
Provedba regulative vezane za Europski prostor zdravstvenih podataka
Prikaži sve članke
Newsletter
Prijavi se i ostvari eksluzivan pristup novostima iz svijeta GDPR-a.
Zatvori

Presido d.o.o. prikuplja vaše osobne podatke kada pristupite stranici www.presido.hr. Vaša privatnost i osobni podaci su nam bitni te vas stoga obavještavamo da upotrebljavamo kolačiće kako bi vam osigurali bolje korisničko iskustvo i funkcionalnost korištenja stranice.

Više informacija o kolačićima možete pronaći ovdje

Posebno napominjemo kako koristimo kolačiće multimedijskog sadržaja kako bi se mogle očitati neke od naših besplatnih edukacija, video lekcija ili seminara koje vam pružamo radi usavršavanja vaših znanja i kompetencija.

Vaša prava kao ispitanika su pravo na pristup, pravo na brisanje, pravo na ispravak, pravo na prigovor, pravo na prenosivost te pravo na ograničenje obrade. Privolu u bilo kojem trenutku možete povući.

Zahtjeve za ostvarivanjem prava možete poslati na ured@presido.hr. Uvijek smo vam na raspolaganju.