Huomautus: Tuomiot eivät liity noyb-tapauksiin
EU:n käänteentekeviä tuomioita "luottoluokittelusta" ja tietosuojasopimusten uudelleentarkastelusta
Euroopan yhteisöjen tuomioistuin (EUT) antoi tänään kaksi käänteentekevää tuomiota saksalaista luottotietotoimistoa SCHUFAa vastaan nostetussa kanteessa, joka on aiemmin nauttinut Saksassa huomattavaa vapautta. EUT vahvisti, että kansallisilla tuomioistuimilla on laajat valtuudet valvoa tietosuojaviranomaisia - mikä vahvistaa rekisteröityjen oikeuksia. Lisäksi tuomioistuin katsoi, että automaattisesti laskettujen luottopisteiden antaminen ei ole yleisen tietosuoja-asetuksen mukaista.
- Yhden SCHUFAa vastaan nostetun kanteen kantajia edustaneen asianajajan lausunto
- EUT:n lehdistötiedote
Mitä luottoluokitukseen kuuluu? SCHUFAn kaltaiset yritykset ovat niin sanottuja luottoluokituslaitoksia. Ne keräävät valtavia määriä henkilötietoja, jotta ne voivat määrittää ihmisille väitetyn luottokelpoisuuden. Pankit ja yritykset käyttävät tätä pistemäärää arvioidessaan, pitäisikö jonkun saada laina tai matkapuhelinsopimus.
Taustaa: Tietojen poistaminen ja automaattinen luottopisteytys. EU:n tuomioistuimen nyt päättämän menettelyn lähtökohtana oli kaksi SCHUFAa vastaan tehtyä kantelua Hessenin tietosuojaviranomaiselle (HBDI). Toisessa tapauksessa (yhdistetyt asiat C-26/22 ja C-64/22) rekisteröity oli pyytänyt maksukyvyttömyystietojen poistamista SCHUFAn tietokannasta sen jälkeen, kun ne oli jo poistettu julkisesta maksukyvyttömyysrekisteristä, josta SCHUFA oli ne ottanut ja tallentanut edelleen. HBDI ei ainoastaan hylännyt tapausta, vaan väitti jopa, että toimivaltainen tuomioistuin ei voi tarkistaa sen päätöstä pääasian osalta. Toinen tapaus (C-634/21) koski kysymystä siitä, saako SCHUFA ylipäätään antaa luottotietopisteitä automaattisesti - vai onko kyseessä "automatisoitu päätös yksittäistapauksissa", joka on suurelta osin kielletty tietosuoja-asetuksessa.
Yhdistetyissä asioissa C-26/22 ja C-64/22 annettu tuomio(Linkki)
Tietosuojaviranomaisten täysimääräinen tuomioistuinvalvonta. EUT:n tuomio lisäsi valtavasti tietosuojaviranomaisiin kohdistuvaa painetta. Joissakin EU:n jäsenvaltioissa, kuten Saksassa, ne ovat tähän asti olettaneet, että rekisteröityjen tekemä GDPR-valitus on vain eräänlainen "vetoomus". Käytännössä tämä on merkinnyt sitä, että vaikka Saksan tietosuojaviranomaiset ovat käyttäneet 100 miljoonan euron vuosibudjettia, ne ovat hylänneet monia valituksia omituisin perusteluin, eikä GDPR:n rikkomuksia ole ajettu takaa. Irlannin kaltaisissa maissa yli 99 prosenttia valituksista jätettiin käsittelemättä, ja Ranskassa asianomaisilta evättiin oikeus osallistua omia oikeuksiaan koskevaan menettelyyn. Jotkin tietosuojaviranomaiset, kuten tässä tapauksessa Hessenin viranomainen, ovat myös väittäneet, että tuomioistuimet eivät saa tarkastella niiden päätöksiä yksityiskohtaisesti.
Lisää oikeuksia rekisteröidyille. EUT on nyt tehnyt lopun tästä lähestymistavasta. Se on todennut, että yleisen tietosuoja-asetuksen 77 artikla on suunniteltu mekanismiksi, jolla turvataan tehokkaasti rekisteröityjen oikeudet ja edut. Lisäksi tuomioistuin on todennut, että yleisen tietosuoja-asetuksen 78 artiklan nojalla kansalliset tuomioistuimet voivat tarkistaa tietosuojaviranomaisen päätökset perusteellisesti. Tähän sisältyy arviointi siitä, ovatko viranomaiset toimineet harkintavaltansa rajoissa.
Raphael Rohrmoser, kantajan asianajaja tässä asiassa: "Euroopan yhteisöjen tuomioistuin on vahvistanut massiivisesti rekisteröityjen oikeuksia. Julkisista rekistereistä peräisin olevien tietojen tallentaminen ei ole enää sallittua kuin rekisterissä itsessään."
Tuomio asiassa C-634/21(Linkki)
Luottoluokitusliiketoiminta horjuvalla pohjalla. Mutta ei siinä vielä kaikki. Tuomiollaan asiassa C-634/21 EUT horjuttaa SCHUFAn (ja muiden luottolaitosten) koko liiketoimintamallia: oletetun luottokelpoisuuden täysin automaattinen laskeminen vaikeaselkoisten algoritmien avulla kuuluu yleisen tietosuoja-asetuksen 22 artiklan mukaisen erityisen suojan piiriin. Kyseisessä säännöksessä kielletään henkilötietojen käyttö täysin automatisoituja päätöksiä varten, joilla on "merkittäviä haitallisia vaikutuksia" rekisteröityihin. Toisin sanoen tietyn laajuisia päätöksiä ei saisi tehdä pelkästään algoritmien avulla.
Marco Blocher: "Se , että kansalaisille annetaan yksinkertaisesti käsittämätön luottopistemäärä ja sitten kieltäydytään automaattisesti sopimuksista, on menneisyyttä EUT:n tuomion ansiosta."
Automaattisen luottopisteytyksen kieltäminen. Luottotoimistoala on toistaiseksi väittänyt, että jopa surkea luottopistemäärä, joka varmasti estäisi henkilöä tekemästä suurta määrää sopimuksia (kuten lainoja, vakuutuksia, vuokra- tai sähköntoimitussopimuksia), ei ole "kielteinen päätös". Heidän mukaansa lopullisen päätöksen tekee se yritys, joka käyttää pistemäärää. EU:n tuomioistuin on eri mieltä ja on nyt todennut, että luottokelpoisuuden määrittäminen voi jo olla tietosuoja-asetuksen 22 artiklassa tarkoitettu päätös. Tämä tarkoittaa, että automaattinen luottopisteytys on nykyisessä muodossaan kielletty luottolaitoksilta kaikkialla EU:ssa. Jos SCHUFA haluaa tulevaisuudessa laskea ihmisten luottokelpoisuuden, se tarvitsee heidän nimenomaisen suostumuksensa. Lisäksi rekisteröityjen on voitava kyseenalaistaa luottotiedot.
Raphael Rohrmoser, kantajan asianajaja tässä asiassa: "Ei pidä aliarvioida sitä, että rekisteröidyt voivat nyt säännöllisesti ryhtyä oikeustoimiin virallisia päätöksiä vastaan. Tämä varmasti vahvistaa GDPR:n mukaisten oikeuksien täytäntöönpanoa."