Overtrædelser af databeskyttelsesforordningen (GDPR) kan blive dyre. Det måtte en direkte bank også erfare, da den skal betale en bøde på 300.000 euro.
Databeskyttelsesforordningen – forkortet GDPR – er ikke en tandløs papir-tiger. Det må flere og flere virksomheder erfare, når de bliver beskattet for overtrædelser af GDPR. Myndighederne er forpligtet til at pålægge bøder, som er mærkbare, ifølge advokatfirmaet MTR Legal Rechtsanwälte, som blandt andet rådgiver i IT-ret og databeskyttelse.
I den foreliggende sag har Berlins kommissær for databeskyttelse og informationsfrihed (BInBDI) pålagt en bøde til en bank på grund af manglende gennemsigtighed ved automatiserede beslutninger. Der er tale om beslutninger, der træffes af et IT-system baseret på algoritmer uden menneskelig indgriben. I henhold til GDPR gælder der specielle gennemsigtighedskrav for sådanne mekanismer, som banken ikke har overholdt.
Konkret drejede det sig om en låneansøgning, som banken behandlede på basis af algoritmer. Ansøgeren skal bl.a. give oplysninger om erhverv, indkomst og personlige data. Algoritmen traf på baggrund af disse og andre data en automatiseret beslutning og afviste ansøgningen uden yderligere begrundelse. Kunden var overrasket over afslaget, da han har en regelmæssig høj indkomst og en god Schufa-score. Han spurgte derfor banken, hvorfor ansøgningen blev afvist.
Banken gav dog kun generelle oplysninger om scoringsproceduren uden at tage stilling til det enkelte tilfælde. Kunden kunne derfor ikke forstå, på hvilke data og faktorer hans kreditværdighed blev dårligt vurderet og ansøgningen afvist. Hans klage til Berlins databeskyttelseskommissær havde dog succes.
Ved automatiserede beslutninger er virksomheder forpligtede til at begrunde dem grundigt og forståeligt. Banken skulle have informeret om de væsentligste grunde til afslaget. Dette gjorde den dog heller ikke på forespørgsel gennemsigtigt og forståeligt. Dermed har den ifølge databeskyttelseskommissæren overtrådt art. 22 stk. 3, art. 5 stk. 1 lit. a og art. 15 stk. 1 lit. h GDPR.
MTR Legal Rechtsanwälte rådgiver i spørgsmål om IT-ret og databeskyttelse.
