Εκτίμηση της φερεγγυότητας φυσικού προσώπου στο πλαίσιο αυτοματοποιημένης λήψης απόφασης, εμπορικό απόρρητο και προσωπικά δεδομένα τρίτων (ενδιαφέρουσα απόφαση ΔΕΕ)
Προστασία προσωπικών δεδομένων – “Scoring” – Πρόσβαση στις σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται για την κατάρτιση προφίλ – Έλεγχος της ακρίβειας των παρεχομένων πληροφοριών
Επιμέλεια: Γεώργιος Π. Κανέλλος
Με τη δημοσιευθείσα στις 27.02.2025 απόφασή του, το Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ) αποφάνθηκε ότι, σε περίπτωση αυτοματοποιημένης αξιολόγησης της πιστοληπτικής ικανότητας, το φυσικό πρόσωπο, υποκείμενο των δεδομένων, δικαιούται να λάβει εξηγήσεις σχετικά με τον τρόπο με τον οποίο ελήφθη η απόφαση σε σχέση με το ίδιο.
Σύμφωνα με το ΔΕΕ, η παρεχόμενη εξήγηση πρέπει να επιτρέπει στο υποκείμενο των δεδομένων να κατανοήσει και να αμφισβητήσει την αυτοματοποιημένη απόφαση.
Ιστορικό της υπόθεσης
Στην Αυστρία, πάροχος κινητής τηλεφωνίας αρνήθηκε να συνάψει σύμβαση με μία πελάτισσα με την αιτιολογία ότι η πιστοληπτική της ικανότητα δεν ήταν επαρκής. Ο πάροχος στηρίχθηκε εν προκειμένω στην αξιολόγηση της πιστοληπτικής ικανότητας της πελάτισσας που διενεργήθηκε με αυτοματοποιημένο τρόπο από την αυστριακή εταιρία με την επωνυμία Dun & Bradstreet, επιχείρηση που ειδικεύεται στην παροχή τέτοιων αξιολογήσεων. Η σύμβαση θα περιλάμβανε μηνιαία πληρωμή 10 ευρώ.
Στην ένδικη διαφορά που ακολούθησε, αυστριακό δικαστήριο έκρινε, τελεσίδικα, ότι η Dun & Bradstreet είχε παραβιάσει τον Γενικό Κανονισμό για την Προστασία Δεδομένων (ΓΚΠΔ). Η Dun & Bradstreet δεν είχε παράσχει στον πελάτη «σημαντικές πληροφορίες σχετικά με τη λογική που ακολουθείται» στην εν λόγω αυτοματοποιημένη λήψη αποφάσεων. Σε κάθε περίπτωση, η επιχείρηση δεν είχε αιτιολογήσει επαρκώς τους λόγους για τους οποίους δεν ήταν σε θέση να παράσχει τις πληροφορίες αυτές.
Το δικαστήριο ενώπιον του οποίου προσέφυγε η πελάτισσα για τους σκοπούς της αναγκαστικής εκτέλεσης της εν λόγω δικαστικής απόφασης διερωτήθηκε τί πρέπει να κάνει η Dun & Bradstreet στην πράξη εν προκειμένω. Ως εκ τούτου, το δικαστήριο αυτό παρέπεμψε την υπόθεση στο Δικαστήριο, ζητώντας καθοδήγηση σχετικά με την ερμηνεία του ΓΚΠΔ και της οδηγίας για την προστασία του εμπορικού απορρήτου(link is external).
Απόφαση του Δικαστηρίου της Ευρωπαϊκής Ένωσης
Με την απόφασή του αυτή, το Δικαστήριο έκρινε ότι ο υπεύθυνος επεξεργασίας οφείλει να περιγράφει τη διαδικασία και τις αρχές που πράγματι εφαρμόζει κατά τρόπο ώστε το υποκείμενο των δεδομένων να μπορεί να κατανοήσει ποια από τα προσωπικά δεδομένα του χρησιμοποιήθηκαν στο πλαίσιο της αυτοματοποιημένης λήψης απόφασης.
Προκειμένου να πληρούνται οι απαιτήσεις της διαφάνειας και της ακρίβειας, θα μπορούσε ιδίως να είναι σκόπιμο να ενημερώνεται το υποκείμενο των δεδομένων σχετικά με τον βαθμό στον οποίο μια μεταβολή των προσωπικών δεδομένων που ελήφθησαν υπόψη θα είχε οδηγήσει σε διαφορετικό αποτέλεσμα. Αντιθέτως, η απλή κοινοποίηση ενός αλγορίθμου δεν συνιστά επαρκώς συνοπτική και κατανοητή εξήγηση.
Όταν ο υπεύθυνος επεξεργασίας θεωρεί ότι οι πληροφορίες που πρέπει να παρασχεθούν περιέχουν προστατευόμενα δεδομένα τρίτων ή εμπορικά μυστικά, ο υπεύθυνος επεξεργασίας οφείλει να παράσχει τις εν λόγω φερόμενες ως προστατευόμενες πληροφορίες στην αρμόδια εποπτική αρχή ή στο αρμόδιο δικαστήριο. Εναπόκειται στην εν λόγω αρχή ή το δικαστήριο να σταθμίσει τα επίμαχα δικαιώματα και συμφέροντα προκειμένου να καθορίσει την έκταση του δικαιώματος πρόσβασης του υποκειμένου των δεδομένων στις εν λόγω πληροφορίες.
Το Δικαστήριο διευκρίνισε συναφώς ότι ο ΓΚΠΔ αποκλείει την εφαρμογή εθνικής διατάξεως η οποία αποκλείει, κατά κανόνα, το εν λόγω δικαίωμα προσβάσεως όταν αυτό θα έθετε σε κίνδυνο εμπορικό απόρρητο του υπευθύνου επεξεργασίας ή τρίτου.
Γίνεται υπόμνηση ότι η διαδικασία εκδόσεως προδικαστικής αποφάσεως παρέχει στα δικαστήρια των κρατών μελών τη δυνατότητα να υποβάλουν στο Δικαστήριο, στο πλαίσιο της ένδικης διαφοράς της οποίας έχουν επιληφθεί, ερώτημα σχετικό με την ερμηνεία του δικαίου της Ένωσης ή με το κύρος πράξεως οργάνου της Ένωσης. Το Δικαστήριο δεν αποφαίνεται επί της διαφοράς που εκκρεμεί ενώπιον του εθνικού δικαστηρίου. Στο εθνικό δικαστήριο εναπόκειται να επιλύσει τη διαφορά αυτή, λαμβάνοντας υπόψη την απόφαση του Δικαστηρίου. Η απόφαση αυτή δεσμεύει, ομοίως, άλλα εθνικά δικαστήρια ενώπιον των οποίων ανακύπτει παρόμοιο ζήτημα.
Το πλήρες κείμενο(link is external) της απόφασης είναι διαθέσιμο στην ιστοσελίδα CURIA
