Порушення Загального регламенту про захист даних (GDPR) можуть бути дорогими. Це також повинно було визнати один з прямих банків, який змушений заплатити штраф у розмірі 300 000 євро.
Загальний регламент про захист даних – коротко GDPR – це не беззубий паперовий тигр. Все більше компаній змушені в цьому переконатися, оскільки вони зобов’язані сплачувати штрафи за порушення GDPR. При цьому влада зобов’язана накладати штрафи, які відчутні, зазначає юридична компанія MTR Legal Rechtsanwälte, яка, серед іншого, консультує з питань IT права та захисту даних.
У даному випадку берлінський уповноважений з питань захисту даних та свободи інформації (BInBDI) наклав штраф на банк за відсутність прозорості при автоматизованому прийнятті рішень. Зокрема, йдеться про рішення, які приймаються без людського втручання IT-системою на основі алгоритмів. Відповідно до GDPR для таких механізмів діють спеціальні обов’язки щодо прозорості, які банк не виконав.
Конкретно йшлося про заявку на кредит, яку банк обробляв на основі алгоритмів. При цьому заявник повинен, зокрема, надати відомості про професію, дохід та особисті дані. Алгоритм на основі цих і інших даних прийняв автоматизоване рішення і відхилив заявку без подальшого обґрунтування. Клієнт був здивований відмовою, оскільки мав регулярний високий дохід і хороший рейтинг ШУФА. Тому він запитав у банку, чому було відмовлено.
Проте банк надав лише загальні відомості про процедуру скорингу, не звертаючись до конкретного випадку. Тож клієнт не міг зрозуміти, на основі яких даних та факторів його платоспроможність оцінювалась погано і чому заявка була відхилена. Його скарга до берлінського уповноваженого з питань захисту даних, однак, була успішною.
У випадку автоматизованих рішень компанії зобов’язані подавати ці обґрунтування обґрунтовано і зрозуміло. Банк повинен був повідомити про основні причини відмови. Однак банк цього не зробив, навіть на запит, прозоро і зрозуміло. Таким чином він порушив, за словами уповноваженого з захисту даних, ст. 22 п. 3, ст. 5 п. 1 пп. а та ст. 15 п. 1 пп. h GDPR.
Юристи MTR Legal консультують з питань IT права та захисту даних.
Зв’яжіться з нами !➤ Адвокат з IT-права – дізнайтеся більше зараз!
