Παραβάσεις του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) μπορεί να είναι δαπανηρές. Αυτό έπρεπε να το ανακαλύψει και μια άμεση τράπεζα, η οποία πρέπει να πληρώσει πρόστιμο 300.000 ευρώ.
Ο Γενικός Κανονισμός Προστασίας Δεδομένων – εν συντομία GDPR – δεν είναι ένα απλό και ανίσχυρο κείμενο. Πληθαίνουν οι επιχειρήσεις που το ανακαλύπτουν αναγκαστικά, πληρώνοντας για παραβάσεις του GDPR. Οι αρχές είναι υποχρεωμένες να επιβάλλουν πρόστιμα που να είναι αισθητά, σύμφωνα με την νομική εταιρεία MTR Legal Rechtsanwälte που παρέχει συμβουλές, μεταξύ άλλων, στο δίκαιο ΤΠΕ και προστασία δεδομένων.
Στην προκείμενη περίπτωση, ο επίτροπος για την προστασία δεδομένων και ελευθερία πληροφοριών του Βερολίνου (BInBDI) επέβαλε πρόστιμο σε μια τράπεζα λόγω έλλειψης διαφάνειας σε αυτοματοποιημένες αποφάσεις. Πρόκειται για αποφάσεις που λαμβάνονται χωρίς ανθρώπινη παρέμβαση από ένα σύστημα IT βάσει αλγορίθμων. Σύμφωνα με τον GDPR, ισχύουν για αυτά τα συστήματα ειδικές υποχρεώσεις διαφάνειας, οι οποίες δεν τηρήθηκαν από την τράπεζα.
Συγκεκριμένα, αφορούσε μια αίτηση δανείου που επεξεργάστηκε η τράπεζα βάσει αλγορίθμων. Ο αιτών πρέπει μεταξύ άλλων να παρέχει στοιχεία σχετικά με το επάγγελμα, το εισόδημα και τα προσωπικά του δεδομένα. Ο αλγόριθμος αποφάσισε αυτοματοποιημένα βάσει αυτών και άλλων δεδομένων και απέρριψε την αίτηση χωρίς άλλη αιτιολόγηση. Ο πελάτης ξαφνιάστηκε με την απόρριψη, καθώς διαθέτει τακτικά υψηλό εισόδημα και καλό σκορ Schufa. Ζήτησε έτσι εξηγήσεις από την τράπεζα για το λόγο της απόρριψης.
Η τράπεζα έδωσε μόνο γενικές πληροφορίες για τη διαδικασία λήψης αποφάσεων, χωρίς να εξετάσει την κάθε περίπτωση. Ο πελάτης δεν μπορούσε να κατανοήσει με ποιες ακριβώς πληροφορίες και παράγοντες αξιολογήθηκε αρνητικά η πιστοληπτική του ικανότητα και απορρίφθηκε η αίτηση του. Όμως η καταγγελία του στην αρχή προστασίας δεδομένων του Βερολίνου ήταν επιτυχής.
Σε αυτοματοποιημένες αποφάσεις, οι επιχειρήσεις είναι υποχρεωμένες να τις αιτιολογούν εμπεριστατωμένα και κατανοητά. Η τράπεζα έπρεπε να ενημερώσει για τους ουσιώδεις λόγους της απόρριψης. Αυτό όμως δεν το έπραξε με διαφάνεια και σαφήνεια, ακόμη και μετά από αίτημα. Έτσι, σύμφωνα με τον επίτροπο προστασίας δεδομένων, παραβίασε τα άρθρα 22 παρ. 3, 5 παρ. 1 στοιχ. α’ και 15 παρ. 1 στοιχ. η’ του GDPR.
MTR Legal Rechtsanwälte παρέχουν συμβουλές σε θέματα δικαίου ΤΠΕ και προστασίας δεδομένων.
Επικοινωνήστε μαζί μας τώρα!➤ Δικηγόρος IT-Δίκαιο – μάθετε περισσότερα τώρα!
