违反《通用数据保护条例》(DSGVO)可能会很昂贵。这一点一家直接银行也深有体会,因为它必须支付30万欧元的罚款。
《通用数据保护条例》(简称DSGVO)并非无牙的纸老虎。越来越多的企业因为违反DSGVO而被罚款。当局被要求施加显著的罚款,正如经济律师事务所MTR Legal Rechtsanwälte所指出的,他们提供IT法律和数据保护方面的咨询。
在这个案例中,柏林数据保护与信息自由专员(BInBDI)因自动化决策缺乏透明性对一家银行处以罚款。这指的是未经人为干预、基于算法由IT系统作出的决策。根据DSGVO,此类机制需要遵守特定的透明义务,而这家银行未能履行。
具体而言,涉及到一项由算法处理的贷款申请。申请人必须提供职业、收入和个人信息。算法基于这些及其他数据进行自动化决策,并无任何理由地拒绝了申请。由于拥有固定的高收入和良好的Schufa评分,客户对拒绝决定感到惊讶,因此询问了银行拒绝的原因。
然而,银行只是提供了关于评分方法的一般信息,而没有涉及个别案例。因此,客户无法理解其信用评分为何被评为差以及申请为何被拒绝。然而,他向柏林数据保护专员的投诉成功了。
对于自动化决策,企业有义务提供合理且可追溯的理由。银行应该告知拒绝申请的主要原因。但即使在要求下也没有透明且可追踪地提供信息。因此,据数据保护专员称,这违反了《通用数据保护条例》第22条第3款、第5条第1款字母a和第15条第1款字母h。
MTR Legal Rechtsanwälte咨询 IT法律 和数据保护方面的问题。
请 联系 我们!➤ IT法律律师 – 现在了解更多!
