Naruszenia ogólnego rozporządzenia o ochronie danych (RODO) mogą być kosztowne. Przekonał się o tym teraz także bank bezpośredni, który musi zapłacić karę w wysokości 300 000 euro.
Ogólne rozporządzenie o ochronie danych – w skrócie RODO – nie jest papierowym tygrysem bez zębów. Coraz więcej firm przekonuje się o tym, które muszą zapłacić grzywny za naruszenie RODO. Władze są zobowiązane do nakładania kar, które są odczuwalne, jak informuje kancelaria gospodarcza MTR Legal Rechtsanwälte, która m.in. doradza w zakresie prawa IT i ochrony danych.
W opisywanym przypadku Pełnomocnik ds. ochrony danych i wolności informacji w Berlinie (BInBDI) nałożył na bank karę grzywny za brak przejrzystości w automatycznych decyzjach. Chodzi o decyzje podejmowane przez system informatyczny na podstawie algorytmów bez ludzkiej ingerencji. Zgodnie z RODO takie mechanizmy podlegają specjalnym obowiązkom przejrzystości, których bank nie spełnił.
Chodziło konkretnie o wniosek kredytowy, który bank przetworzył na podstawie algorytmów. Wnioskodawca musi podać m.in. dane dotyczące zawodu, dochodów i danych osobowych. Algorytm na podstawie tych i innych danych podjął zautomatyzowaną decyzję i odrzucił wniosek bez dodatkowego uzasadnienia. Klient był zaskoczony odrzuceniem, ponieważ dysponował regularnym wysokim dochodem i dobrym wynikiem w bazie Schufa. Dlatego zapytał w banku, dlaczego wniosek został odrzucony.
Bank podał jednak tylko ogólne informacje o procedurze scoringowej, nie odnosząc się do konkretnego przypadku. Klient nie mógł zatem zrozumieć, na podstawie jakich danych i czynników oceniono jego zdolność kredytową jako niską i wniosek został odrzucony. Jego skarga do Pełnomocnika ds. ochrony danych w Berlinie jednak zakończyła się sukcesem.
W przypadku zautomatyzowanych decyzji przedsiębiorstwa są zobowiązane do ich uzasadnienia w sposób przekonujący i zrozumiały. Bank powinien był poinformować o zasadniczych powodach odmowy. Mimo zapytań nie zrobił tego jednak w sposób przejrzysty i zrozumiały. W ten sposób, według Pełnomocnika ds. ochrony danych, naruszył art. 22 ust. 3, art. 5 ust. 1 lit. a oraz art. 15 ust. 1 lit. h RODO.
MTR Legal Rechtsanwälte doradzają w kwestiach prawa IT i ochrony danych.
Skontaktuj się z nami! auf!
