Brudd på personvernforordningen (GDPR) kan bli kostbart. Det måtte nå også en direktebank erfare, da den må betale en bot på 300.000 euro.
Personvernforordningen – forkortet GDPR – er ingen tannløs papirtiger. Det må stadig flere bedrifter erfare som blir straffet for brudd på GDPR. Myndighetene er pålagt å ilegge bøter som er merkbare, ifølge advokatfirmaet MTR Legal som blant annet gir råd innen IT-rett og personvern.
I den aktuelle saken har Berlin ombudsmann for databeskyttelse og informasjonsfrihet (BInBDI) ilagt en bot mot en bank på grunn av manglende åpenhet ved automatiserte avgjørelser. Dette betyr avgjørelser som tas av et IT-system med algoritmer uten menneskelig innblanding. I henhold til GDPR har slike mekanismer spesifikke krav til åpenhet som banken ikke tok hensyn til.
Spesifikt handlet det om en lånesøknad som banken behandlet basert på algoritmer. Søker må her blant annet oppgi informasjon om yrke, inntekt og personalia. Algoritmen tok en automatisk avgjørelse basert på disse og andre data, og avviste søknaden uten ytterligere begrunnelse. Kunden ble overrasket over avslaget da han hadde en jevn høy inntekt og en god kredittscore. Han spurte derfor banken om årsaken til avslaget.
Banken gav imidlertid kun generell informasjon om scoringsmetoden uten å gå inn på enkeltcaset. Kunden kunne dermed ikke forstå på hvilket grunnlag hans kredittverdighet ble vurdert som dårlig og søknaden ble avslått. Hans klage til databeskyttelsesombudet i Berlin hadde imidlertid suksess.
Ved automatiserte avgjørelser er bedrifter forpliktet til å begrunne dem grundig og forståelig. Banken burde ha informert om de vesentlige grunnene for avslaget. Dette gjorde den imidlertid ikke på en transparent og forståelig måte, selv ved forespørsel. Dermed har den i henhold til databeskyttelsesombudet brutt art. 22 avsn. 3, art. 5 avsn. 1 lit. a og art. 15 avsn. 1 lit. h GDPR.
MTR Legal advokater gir råd i spørsmål om IT-rett og personvern.
