Σημείωση: Οι δικαστικές αποφάσεις δεν συνδέονται με υποθέσεις noyb
Αποφάσεις ορόσημο του ΔΕΕ σχετικά με την «κατάταξη πιστοληπτικής ικανότητας» και την αναθεώρηση των ΑΠΔ
Το Ευρωπαϊκό Δικαστήριο (ΔΕΕ) εξέδωσε σήμερα δύο αποφάσεις-ορόσημο σε διαδικασία κατά του γερμανικού οργανισμού αναφοράς πιστώσεων SCHUFA, ο οποίος στο παρελθόν απολάμβανε σημαντική ελευθερία στη Γερμανία. Το ΔΕΕ επιβεβαίωσε ότι τα εθνικά δικαστήρια έχουν εκτεταμένες εξουσίες για τον έλεγχο των αρχών προστασίας δεδομένων – ενισχύοντας έτσι τα δικαιώματα των υποκειμένων των δεδομένων. Επιπλέον, το δικαστήριο έκρινε ότι η εκχώρηση των αυτόματα υπολογισμένων πιστωτικών βαθμολογιών δεν είναι σύμφωνη με τον GDPR.
Ποια είναι η δουλειά της κατάταξης πιστώσεων; Εταιρείες όπως η SCHUFA είναι τα λεγόμενα γραφεία αναφοράς πιστώσεων. Συλλέγουν τεράστιες ποσότητες προσωπικών δεδομένων προκειμένου να αποδώσουν στους ανθρώπους μια υποτιθέμενη πιστοληπτική ικανότητα. Αυτή η βαθμολογία χρησιμοποιείται από τράπεζες και εταιρείες για να αξιολογήσουν εάν κάποιος πρέπει να λάβει δάνειο ή συμβόλαιο κινητής τηλεφωνίας.
Ιστορικό: Διαγραφή δεδομένων και αυτοματοποιημένη βαθμολογία πίστωσης. Αφετηρία για την πλέον αποφασισμένη διαδικασία του ΔΕΕ ήταν δύο καταγγελίες κατά της SCHUFA ενώπιον της Αρχής Προστασίας Δεδομένων της Έσσης (HBDI). Σε μία περίπτωση (συνεκτικές υποθέσεις C-26/22 και C-64/22), το υποκείμενο των δεδομένων είχε ζητήσει τη διαγραφή των δεδομένων αφερεγγυότητας από τη βάση δεδομένων SCHUFA αφού είχαν ήδη διαγραφεί από το δημόσιο μητρώο αφερεγγυότητας, όπου ελήφθη από από την SCHUFA και αποθηκεύεται περαιτέρω. Το HBDI όχι μόνο απέρριψε την υπόθεση, αλλά υποστήριξε μάλιστα ότι το αρμόδιο δικαστήριο δεν μπορεί να επανεξετάσει την απόφασή του επί της ουσίας. Η δεύτερη υπόθεση (C-634/21) αφορούσε το ερώτημα εάν η SCHUFA επιτρέπεται να εκδίδει αυτόματα βαθμολογίες πιστώσεων - ή εάν αυτό συνιστά "αυτοματοποιημένη απόφαση σε μεμονωμένες περιπτώσεις", η οποία απαγορεύεται σε μεγάλο βαθμό από τον GDPR.
Η απόφαση στις συνεκδικασθείσες υποθέσεις C-26/22 και C-64/22 ( Σύνδεσμος )
Πλήρης δικαστικός έλεγχος των αρχών προστασίας δεδομένων. Η απόφαση του ΔΕΕ αύξησε μαζικά την πίεση στις αρχές προστασίας δεδομένων (ΑΠΔ). Σε ορισμένα κράτη μέλη της ΕΕ, συμπεριλαμβανομένης της Γερμανίας, μέχρι στιγμής έχουν υποθέσει ότι μια καταγγελία GDPR από υποκείμενα των δεδομένων είναι απλώς ένα είδος «αναφοράς». Στην πράξη, αυτό σημαίνει ότι παρά τον ετήσιο προϋπολογισμό των 100 εκατομμυρίων ευρώ, οι γερμανικές ΑΠΔ έχουν απορρίψει πολλές καταγγελίες με περίεργες αιτιολογήσεις και δεν έχουν επιδιωχθεί οι παραβιάσεις του GDPR. Σε χώρες όπως η Ιρλανδία, πάνω από το 99% των καταγγελιών δεν διεκπεραιώθηκε και στη Γαλλία αρνήθηκε οποιοδήποτε δικαίωμα των θιγόμενων να συμμετάσχουν στη διαδικασία σχετικά με τα δικά τους δικαιώματα. Ορισμένες ΑΠΔ, όπως η αρχή της Έσσης στην παρούσα υπόθεση, υποστήριξαν επίσης ότι απαγορεύεται στα δικαστήρια να αναθεωρούν λεπτομερώς τις αποφάσεις τους.
Περισσότερα δικαιώματα για τα υποκείμενα των δεδομένων. Το ΔΕΕ έχει πλέον βάλει τέλος σε αυτή την προσέγγιση. Έχει αποφανθεί ότι το άρθρο 77 του GDPR έχει σχεδιαστεί ως μηχανισμός για την αποτελεσματική προστασία των δικαιωμάτων και των συμφερόντων των υποκειμένων των δεδομένων. Επιπλέον, το δικαστήριο αποφάσισε ότι το άρθρο 78 του GDPR επιτρέπει στα εθνικά δικαστήρια να διενεργούν πλήρη έλεγχο των αποφάσεων της ΑΠΔ. Αυτό περιλαμβάνει την αξιολόγηση κατά πόσον οι αρχές έχουν ενεργήσει εντός των ορίων της διακριτικής τους ευχέρειας.
Raphael Rohrmoser, δικηγόρος του ενάγοντος σε αυτή την υπόθεση: "Το Ευρωπαϊκό Δικαστήριο έχει ενισχύσει μαζικά τα δικαιώματα των υποκειμένων των δεδομένων. Η αποθήκευση δεδομένων από δημόσια μητρώα δεν επιτρέπεται πλέον παρά στο ίδιο το μητρώο."
Η απόφαση στην υπόθεση C-634/21 ( Σύνδεσμος )
Πιστωτική κατάταξη επιχείρηση σε ασταθές έδαφος. Αλλά δεν είναι μόνο αυτό. Με την απόφασή του στην υπόθεση C-634/21, το ΔΕΕ ανακινεί ολόκληρο το επιχειρηματικό μοντέλο της SCHUFA (και άλλων πιστωτικών γραφείων): ο πλήρως αυτοματοποιημένος υπολογισμός της υποτιθέμενης πιστοληπτικής ικανότητας με χρήση αδιαφανών αλγορίθμων εμπίπτει στην ειδική προστασία του άρθρου 22 GDPR. Η διάταξη αυτή απαγορεύει τη χρήση προσωπικών δεδομένων για πλήρως αυτοματοποιημένες αποφάσεις που έχουν «σημαντική αρνητική επίδραση» στα υποκείμενα των δεδομένων. Με άλλα λόγια, αποφάσεις συγκεκριμένης εμβέλειας δεν πρέπει να λαμβάνονται μόνο από αλγόριθμους.
Μάρκο Μπλόχερ: «Η απλή ανάθεση στους πολίτες μιας ακατανόητης πιστωτικής βαθμολογίας και στη συνέχεια η αυτόματη άρνηση συμβάσεων αποτελεί παρελθόν χάρη στην απόφαση του ΔΕΕ».
Απαγόρευση της αυτοματοποιημένης βαθμολόγησης πιστώσεων. Ο κλάδος των πρακτορείων πιστώσεων έχει υποστηρίξει μέχρι στιγμής ότι ακόμη και ένα τρομερό πιστωτικό σκορ, το οποίο σίγουρα θα εμπόδιζε ένα άτομο από τη σύναψη μεγάλου αριθμού συμβάσεων (όπως δάνεια, ασφάλειες, ενοικιάσεις ή συμβάσεις προμήθειας ηλεκτρικής ενέργειας), δεν είναι «αρνητική απόφαση». Σύμφωνα με αυτούς, η τελική απόφαση λαμβάνεται από την εταιρεία χρησιμοποιώντας τη βαθμολογία. Το ΔΕΕ έχει διαφορετική άποψη και έχει πλέον αποφανθεί ότι η απόδοση πιστοληπτικής ικανότητας μπορεί ήδη να συνιστά απόφαση βάσει του άρθρου 22 του ΓΚΠΔ. Αυτό σημαίνει ότι η αυτοματοποιημένη αξιολόγηση πιστοληπτικής ικανότητας με την τρέχουσα μορφή της απαγορεύεται για τους πιστωτικούς οργανισμούς σε ολόκληρη την ΕΕ. Εάν η SCHUFA θέλει να υπολογίσει την πιστοληπτική ικανότητα των ανθρώπων στο μέλλον, θα χρειαστεί τη ρητή συγκατάθεσή τους. Επιπλέον, πρέπει να είναι δυνατό για τα υποκείμενα των δεδομένων να αμφισβητήσουν μια πιστωτική βαθμολογία.
Raphael Rohrmoser, δικηγόρος του ενάγοντος σε αυτήν την υπόθεση: "Δεν πρέπει να υποτιμάται ότι τα υποκείμενα των δεδομένων μπορούν πλέον να λαμβάνουν τακτικά νομικά μέτρα κατά των επίσημων αποφάσεων. Αυτό σίγουρα θα ενισχύσει την επιβολή των δικαιωμάτων GDPR."
