הפרות של תקנת הגנת המידע הכללית (DSGVO) עלולות להיות יקרות. גם בנק ישיר היה צריך לגלות זאת, כשהוטל עליו קנס בסך 300,000 יורו.
תקנת הגנת המידע הכללית – בקיצור DSGVO – אינה נמר מנייר חסר שיניים. עוד ועוד חברות נאלצות להתמודד עם עובדה זו כשהן נדרשות לשלם קנסות עקב הפרות של DSGVO. הרשויות מחויבות להטיל קנסות אשר יורגשו, כך אומרת פירמת עורכי הדין MTR Legal, המייעצת בין היתר בנושאי IT והגנת המידע.
במקרה הנוכחי, הממונה על הגנת המידע וחופש המידע בברלין (BInBDI) הטיל קנס על בנק עקב חוסר שקיפות בהחלטות אוטומטיות. הכוונה להחלטות המתקבלות ללא מעורבות אנושית, על ידי מערכת IT המבוססת על אלגוריתמים. לפי ה-DSGVO חלות חובות שקיפות מיוחדות על מנגנונים כאלה, והבנק לא עמד בהן.
העניין הספציפי היה בקשת אשראי שהבנק עיבד בהתבסס על אלגוריתמים. המבקש נדרש בין היתר למסור פרטים על מקצועו, הכנסתו ונתוניו האישיים. האלגוריתם קיבל החלטה אוטומטית על בסיס נתונים אלה ודחה את הבקשה ללא נימוק נוסף. הלקוח התפלא על הדחייה, משום שיש לו הכנסה גבוהה קבועה וציון שופה טוב. לכן שאל את הבנק מדוע הבקשה נדחתה.
עם זאת, הבנק סיפק רק מידע כללי על תהליך הניקוד ולא התייחס למקרה הספציפי. הלקוח לא הצליח להבין על בסיס אילו נתונים וגורמים נקבע ניקוד האשראי שלו ושלבקשתו נדחתה. תלונתו לממונה על הגנת המידע בברלין זכתה להצלחה.
בהחלטות אוטומטיות מחויבות החברות לנמק אותן באופן מוצק וברור. הבנק היה אמור לספק מידע על הסיבות העיקריות לדחייה. אך גם לפי בקשה לא עשה זאת בשקיפות ובאופן מובן. על כן, לטענת הממונה על הגנת המידע, הוא הפר את סעיף 22 פסקה 3, סעיף 5 פסקה 1 פריט a וסעיף 15 פסקה 1 פריט h של DSGVO.
MTR Legal מייעצים בשאלות בנושא דיני IT והגנת המידע.
