Trybunał Sprawiedliwości Unii Europejskiej w wyroku w sprawie C‑634/21 odpowiedział na pytanie, czy wyliczenie przez biuro informacji kredytowej wartości prawdopodobieństwa opartej na danych dotyczących danej osoby w zakresie jej zdolności do wywiązywania się ze zobowiązań płatniczych w przyszłości stanowi „zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach” w rozumieniu art. 22 ust. 1 RODO.
Kontekst sprawy
Niemiecka spółka SCHUFA to biuro informacji kredytowej – zajmuje się oceną zdolności kredytowej potencjalnych pożyczkobiorców dla swoich klientów. W tym celu biuro dokonuje prognozy dotyczącej prawdopodobieństwa przyszłego postępowania jednostki („score”), takiego jak spłata pożyczki, bazując na określonych cechach. Procedury matematyczne i statystyczne są wykorzystywane do obliczenia wartości scoringu. Założeniem jest, że poprzez przyporządkowanie do grupy osób o porównywalnych cechach, które zachowały się w określony sposób, można prognozować podobne postępowanie.
Pożyczkobiorczyni została negatywnie oceniona przez biuro pod względem możliwości spłacenia pożyczki. Wskutek tego zażądała od przedsiębiorstwa dostępu do swoich danych i ich usunięcia. SCHUFA odpowiedziała, udostępniając informacje dotyczące podstawowego procesu wyznaczania scoringu, ale odmówiła wyjaśnienia działania algorytmu, powołując się na ochronę tajemnicy przedsiębiorstwa.
Toczący się spór trafił pod niemiecki sąd, który uznał, że istotne dla sprawy jest ustalenie czy wartości prawdopodobieństwa w zakresie zdolności do wywiązywania się ze zobowiązań płatniczych w przyszłości stanowi zautomatyzowane podejmowanie decyzji w rozumieniu art. 22 ust. 1 RODO. Nie potrafił on rozstrzygnąć swoich wątpliwości, więc skierował pytanie prejudycjalne do TSUE.
Zautomatyzowane decyzje
Jak wskazał TSUE profilowanie połączone z automatycznym procesem decyzyjnym, zgodnie z artykułem 22 RODO, obejmuje m.in. tworzenie przez administratora automatycznych ocen prawdopodobieństwa przy użyciu statystycznych metod analizy danych osobowych, takich jak scoring kredytowy. Kwestionowana decyzja dotyczy odmowy zawarcia umowy, wynikającej z oceny ryzyka kredytowego opartej na konkretnym algorytmie scoringowym. Zautomatyzowane podejmowanie decyzji (w tym oparte na profilowaniu) jest bowiem dozwolone jedynie pod warunkiem spełnienia jednego z trzech kryteriów: jeśli jest niezbędne do zawarcia lub wykonania umowy między administratorem a osobą, jest prawnie dozwolone lub opiera się na udzielonej zgodzie.
TSUE: czy dowiemy się, kto w organizacji przeglądał nasze dane?
Ponadto administrator ma obowiązek zapewnić jasne i rzetelne parametry decyzyjne dotyczące jednostki, w tym korzystanie z właściwych procedur matematycznych czy statystycznych, a także wprowadzenie środków zapobiegających dyskryminacji ze względu na przyjęte kryteria. Administrator musi także zapewnić możliwość ludzkiej interwencji, zgodnie z motywem 71 RODO.
Istotne z punktu widzenia TSUE jest również to, że interpretacja przepisów dotyczących zautomatyzowanego przetwarzania danych nie może wykluczać sytuacji, gdy decyzje są podejmowane nie przez samego administratora, który dokonuje ostatecznego rozstrzygnięcia (np. bank, odmawiający udzielenia kredytu), ale przez zewnętrzny podmiot, który świadczy określone usługi w ramach outsourcingu (choć formalnie nie jest on procesorem).
Na koniec TSUE podkreślił, że:
„art. 22 ust. 1 RODO należy interpretować w ten sposób, że zautomatyzowane wyliczenie przez biuro informacji kredytowej wartości prawdopodobieństwa opartej na danych osobowych dotyczących danej osoby w zakresie jej zdolności do wywiązywania się ze zobowiązań płatniczych w przyszłości stanowi <zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach> w rozumieniu tego przepisu, jeżeli od tej wartości prawdopodobieństwa zależy w decydujący sposób, czy strona trzecia, której wspomnianą wartość prawdopodobieństwa przekazano, nawiąże, wykona lub zakończy stosunek umowny z tą osobą.”
Kierując się taką interpretacją art. 22 ust. 1 RODO, niemiecki sąd będzie musiał ocenić, czy profilowanie w tej sprawie zostało przeprowadzone zgodnie z obowiązującym prawem, a także czy scoring kredytowy został opracowany zgodnie z przepisami prawa.
Scoring kredytowy a zautomatyzowane decyzje
Scoring kredytowy oparty o metody matematyczno-statystyczne wedle TSUE będzie zatem stanowił zautomatyzowaną decyzję w rozumieniu art. 22 RODO, jeśli roztrzygnięcie o udzieleniu kredytu będzie oparte jedynie o ten wynik algorytmu. Samo zagadnienie zautomatyzowanych decyzji na pewno jeszcze się pojawi na agendzie TSUE, choćby w kontekście dalszych prac nad sztuczną inteligencją i jej ramami prawnymi.