Rzecznik TSUE: prawo dostępu do danych nie obejmuje algorytmu

Z opinii Rzecznika Generalnego z 16 marca 2023 r. wynika bardzo wiele istotnych wniosków w zakresie scoringu, podejmowania zautomatyzowanej decyzji oraz podstaw prawnych takiego działania.

Pytanie prejudycjalne zadane Trybunału Sprawiedliwości Unii Europejskiej dotyczyło:

  • czy art. 22 ust. 1 RODO należy interpretować w ten sposób, że już samo zautomatyzowane wyliczenie wartości prawdopodobieństwa dotyczącego zdolności osoby, której dane dotyczą, do obsługi kredytu w przyszłości stanowi opartą wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, decyzję wywołującą skutki prawne wobec tej osoby lub w podobny sposób istotnie na nią wpływającą, gdy wartość ta, ustalona na podstawie danych osobowych tej osoby jest przekazywana przez administratora danych innemu administratorowi, a wartość ta ma istotne znaczenie dla tego innego administratora przy podejmowaniu decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z osobą, której dane dotyczą?

 

  • czy art. 6 ust. 1 i art. 22 RODO należy interpretować w ten sposób, że stoją one na przeszkodzie regulacji w prawie krajowym, zgodnie z którą wykorzystanie wartości prawdopodobieństwa dotyczącego określonego przyszłego zachowania osoby fizycznej – w tym przypadku dotyczącego wypłacalności osoby fizycznej i jej gotowości do zapłaty z uwzględnieniem informacji o jej wierzytelnościach – w celu podjęcia decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z tą osobą (scoring) jest dopuszczalne tylko wtedy, gdy są spełnione pewne dalsze warunki, które zostały bardziej szczegółowo określone w uzasadnieniu odesłania?

Pewna osoba fizyczna nie uzyskała kredytu z powodu oceny zdolności kredytowej przeprowadzonej przez spółkę SCHUFA.

Subskrypcja 30 dni
Przez 30 dni masz dostęp do zaawansowanej wyszukiwarki:
249
 PLN z VAT
  • Aktualizowanej Bazy Orzeczeń Sądów i Trybunałów
  • Eksperckich tez wybranych orzeczeń
  • Decyzji Polskiego Organu Nadzorczego
  • Decyzji Europejskich Organów Nadzorczych
  • Wytycznych i Opinii EDPB oraz EDPS
  • Konkretnych argumentów w postępowaniu administracyjnym
Wybieram
Subskrypcja 360 dni
Przez 360 dni masz dostęp do wszystkich funkcjonalności subskrypcji 30 dni
2365
 PLN z VAT
2988
  • Dedykowany newsletter zawierający najważniejsze wyroki opublikowane w danym miesiącu wraz z tezami
  • Indywidualnych konsultacji z założycielem serwisu Judykatura.pl w kwestiach związanych z RODO (3 konsultacje w ramach obowiązującej subskrypcji)
Wybieram
Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Ta ostatnia jest spółką prawa prywatnego, która prowadzi biuro informacji kredytowej, dostarczając swoim klientom informacji na temat zdolności kredytowej konsumentów.

W tym celu SCHUFA przeprowadza oceny zdolności kredytowej, w których ustala, na podstawie pewnych cech osoby, w oparciu o metodę matematyczno-statystyczną, prognozę dotyczącą prawdopodobieństwa wystąpienia zachowania, takiego jak spłata kredytu.

SCHUFA uważa, że nie jest zobowiązana do ujawnienia swoich metod obliczeniowych, ponieważ są one objęte tajemnicą zawodową i handlową. Ponadto SCHUFA uważa, że udziela informacji jedynie swoim kontrahentom, którzy podejmują faktyczne decyzje dotyczące umów kredytu.

W decyzji wydanej na skutek tej skargi HBDI uznał, że nie ma podstaw do podjęcia dalszych działań przeciwko spółce, ponieważ spełniała ona wymogi niemieckiej federalnej ustawy o ochronie danych.

Sąd ten uważa, że dla potrzeb postępowania głównego istotne jest ustalenie, czy działalność podmiotów świadczących usługi w zakresie informacji kredytowej, w ramach której wyliczają one wartości scoringu dotyczące osób fizycznych i przekazują je, bez dalszych zaleceń lub komentarzy, osobom trzecim, wchodzi w zakres stosowania art. 22 ust. 1 RODO.

W odniesieniu do rzekomego ryzyka zastosowania drugiego środka ochrony prawnej dla osoby, której dane dotyczą, należy zauważyć, że wbrew temu, co podnosi SCHUFA w swoich uwagach, okoliczność, że skarżąca najpierw wszczęła postępowanie przed sądami powszechnymi, a następnie przed odsyłającym sądem administracyjnym, nie stoi na przeszkodzie dopuszczalności wniosku o wydanie orzeczenia w trybie prejudycjalnym. W tych dwóch postępowaniach skarżąca skorzystała ze środków ochrony prawnej przewidzianych w art. 78 i 79 RODO, czyli w przepisach, które gwarantują prawo do skutecznego środka ochrony prawnej przeciwko odpowiednio organowi nadzorczemu i administratorowi. Jako że te środki ochrony prawnej współistnieją w sposób autonomiczny, a jeden nie jest zależny od drugiego, mogą one być stosowane równolegle(9). Nie można zatem zarzucić skarżącej żadnej nieprawidłowości w obronie jej praw chronionych przez RODO.

Rzecznik Generalny TSUE wskazał:

Wręcz przeciwnie, jak już wyjaśniłem, w świetle art. 78 i 79 RODO oczywiste jest, że RODO nie stoi na przeszkodzie takiemu systemowi środków ochrony prawnej, pozostawiając państwu członkowskiemu odpowiedzialność za wyznaczanie właściwych sądów i określanie zasad postępowań sądowych, przy pełnym poszanowaniu zasady autonomii proceduralnej.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
49.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

W tym względzie należy zauważyć, że „scoring” przeprowadzony przez spółkę SCHUFA mieści się w definicji prawnej zawartej w art. 4 pkt 4 RODO, ponieważ procedura ta wykorzystuje dane osobowe do oceny niektórych aspektów dotyczących osób fizycznych w celu analizy lub przewidywania okoliczności dotyczących ich sytuacji ekonomicznej, wiarygodności i prawdopodobnego zachowania.

Chociaż RODO nie definiuje terminu „skutki prawne” ani wyrażenia „w podobny sposób istotnie”, to jednak użyte sformułowanie wyraźnie wskazuje, że tylko skutki o poważnym znaczeniu będą objęte tym przepisem. W tym względzie należy na wstępie zwrócić uwagę, że motyw 71 RODO wyraźnie wymienia „automatyczne odrzucenie elektronicznego wniosku kredytowego” jako typowy przykład decyzji wpływającej „znacząco” na osobę, której dane dotyczą.

W rezultacie uważam, że biorąc pod uwagę sytuację, w jakiej znajduje się skarżąca, przesłanki tego przepisu są spełnione w niniejszej sprawie, niezależnie od tego, czy nacisk zostanie położony na prawne czy ekonomiczne konsekwencje odmowy udzielenia kredytu.

W konsekwencji należy uznać, że wyliczenie wartości scoringu, jako czynność wykonywana przez spółkę SCHUFA, „opiera się wyłącznie na zautomatyzowanym przetwarzaniu”.

Jak już bowiem wskazałem, „decyzja” w rozumieniu art. 22 ust. 1 RODO może wywoływać „skutki prawne” albo wpływać na osobę, której dane dotyczą „w podobny sposób”, co oznacza, że dana „decyzja” może wywoływać skutki niekoniecznie prawne, lecz raczej ekonomiczne i społeczne

Rzecznik Generalny TSUE wskazał:

w mojej ocenie nie sposób udzielić kategorycznej odpowiedzi na to pytanie, gdyż kwalifikacja zależy od okoliczności każdego konkretnego przypadku. Ściślej rzecz ujmując, kluczowe znaczenie ma sposób, w jaki zorganizowana jest procedura podejmowania decyzji. Procedura ta obejmuje zazwyczaj kilka etapów, takich jak profilowanie, wyliczenie wartości scoringu i sama decyzja kredytowa.

W przypadku, gdy scoring ma być przeprowadzany bez jakiejkolwiek ingerencji ludzkiej, która, w razie potrzeby, mogłaby zweryfikować jego wynik i prawidłowość decyzji podejmowanej w stosunku do osoby ubiegającej się o kredyt, logiczne wydaje się uznanie, że sam scoring stanowi „decyzję”, o której mowa w art. 22 ust. 1 RODO.

Zważywszy, że, po pierwsze, art. 22 ust. 1 RODO wymaga, aby rzeczona decyzja opierała się „wyłącznie” na zautomatyzowanym przetwarzaniu(18), a po drugie, że brzmienie przepisu zasadniczo stanowi granicę jakiejkolwiek wykładni, wydaje się konieczne, aby zautomatyzowane przetwarzanie pozostało jedynym elementem uzasadniającym podejście instytucji finansowej wobec osoby ubiegającej się o kredyt.

Sąd odsyłający wyjaśnia również, że chociaż osoba trzecia nie musi uzależniać swojej decyzji wyłącznie od wartości scoringu, „zazwyczaj czyni to jednak w znacznym stopniu”. Sąd ten dodaje, że „można odmówić udzielenia kredytu pomimo zasadniczo wystarczającej wartości scoringu (z innych powodów, takich jak brak zabezpieczenia lub wątpliwości co do powodzenia inwestycji, która ma być finansowana), ale niewystarczająca wartość scoringu prowadzi do odmowy udzielenia kredytu w niemalże każdym przypadku, przynajmniej w obszarze kredytów konsumenckich, nawet jeżeli inwestycja wydaje się poza tym opłacalna”.

Rzecznik Generalny TSUE wskazał:

moim zdaniem już te wymagania wykluczają ewentualny obowiązek ujawniania algorytmu, ze względu na jego złożoność. Przydatność przekazania szczególnie złożonej formuły bez dołączenia niezbędnych wyjaśnień byłaby bowiem wątpliwa. W tym względzie należy zwrócić uwagę na motyw 58 RODO, z którego wynika, że zgodność z wymogami wymienionymi powyżej jest szczególnie istotna „[w sytuacji, gdy] złożoność technologiczna działań sprawia, że osobie, której dane dotyczą, trudno jest dowiedzieć się i zrozumieć, czy dotyczące jej dane osobowe są zbierane, przez kogo oraz w jakim celu”.

Z przedstawionych powodów uważam, że obowiązek dostarczenia „istotnych informacji o zasadach [podejmowania decyzji]” należy rozumieć w ten sposób, że obejmuje on wystarczająco szczegółowe wyjaśnienia dotyczące metody zastosowanej do wyliczenia wartości scoringu oraz przyczyn, które doprowadziły do określonego wyniku. Ogólnie rzecz biorąc, administrator danych powinien przekazać osobie, której dane dotyczą ogólne informacje, w szczególności na temat czynników branych pod uwagę w procesie podejmowania decyzji oraz na temat ich wagi na poziomie zbiorczym, które są również przydatne do zakwestionowania wszelkich decyzji w rozumieniu art. 22 ust. 1 RODO.

W świetle powyższych rozważań uważam, że należy wykluczyć art. 22 ust. 2 lit. b) RODO jako podstawę prawną przyjęcia krajowego środka legislacyjnego, takiego jak ten przewidziany w § 31 BDSG.

Związek „sprawowania władzy publicznej” z motywami 45, 55 i 56 RODO wskazuje raczej, że przepis ten odnosi się, w pierwszej kolejności do organów publicznych w ścisłym znaczeniu, jak również do osób prawnych sprawujących część władzy publicznej, a w drugiej kolejności do osób prawnych prawa prywatnego, które przetwarzają dane w interesie publicznym, na przykład w dziedzinach „zdrowia publicznego”, „ochrony socjalnej” i „zarządzania usługami opieki zdrowotnej”, wyraźnie wymienionych w motywie 45. Innymi słowy, przepis ten dotyczy klasycznych zadań państwa.

Wykładnia ta wydaje mi się wciąż aktualna, gdyż przepis ten został zredagowany w niemal identyczny sposób jak przepis, który go zastąpił, czyli art. 6 ust. 1 lit. f) RODO(49). Tymczasem, jak sugeruje sąd odsyłający, wydaje się, że prawodawca krajowy miał właśnie taki cel, ponieważ w zakresie, w jakim § 31 BDSG zezwala na stosowanie wartości scoringu w sektorze finansowym, interesy gospodarcze sektora finansowego są traktowane priorytetowo w stosunku do prawa do ochrony danych osobowych, bez uwzględnienia szczególnych okoliczności konkretnego przypadku. Takie podejście w sposób niedopuszczalny rozszerzyłoby zakres stosowania art. 6 RODO.

Newsletter

W świetle powyższych rozważań Rzecznik Generalny proponuję Trybunałowi, by na pytania przedstawione przez Verwaltungsgericht Wiesbaden (sąd administracyjny w Wiesbaden, Niemcy) odpowiedział następująco:

artykuł 22 ust. 1 RODO należy interpretować w ten sposób, że zautomatyzowane wyliczenie wartości prawdopodobieństwa dotyczącej zdolności osoby, której dane dotyczą, do obsługi kredytu w przyszłości już stanowi opartą wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, decyzję wywołującą skutki prawne wobec tej osoby lub w podobny sposób istotnie na nią wpływającą, gdy wartość ta, ustalona na podstawie danych osobowych tej osoby, jest przekazywana przez administratora danych innemu administratorowi, a wartość ta, zgodnie z ustaloną praktyką, ma istotne znaczenie dla tego ostatniego administratora przy podejmowaniu decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z osobą, której dane dotyczą.

artykuł 6 ust. 1 i art. 22 RODO należy interpretować w ten sposób, że nie stoją one na przeszkodzie przepisom prawa krajowego dotyczącym profilowania, jeżeli profilowanie to jest inne niż przewidziane w art. 22 ust. 1 tego rozporządzenia. Jednakże w tym przypadku przepisy krajowe muszą spełniać warunki określone w art. 6 RODO. W szczególności muszą one opierać się na odpowiedniej podstawie prawnej, której sprawdzenie należy do sądu krajowego.