Megjegyzés: Az ítéletek nem kapcsolódnak a noyb-ügyekhez
Az EUB mérföldkőnek számító ítéletei a "hitelminősítésről" és az adatvédelmi megállapodások felülvizsgálatáról
Az Európai Bíróság (EUB) ma két mérföldkőnek számító ítéletet hozott a német SCHUFA hitelminősítő intézet elleni eljárásban, amely korábban jelentős szabadságot élvezett Németországban. Az EUB megerősítette, hogy a nemzeti bíróságok széleskörű hatáskörrel rendelkeznek az adatvédelmi hatóságok ellenőrzésére - ezáltal megerősítve az érintettek jogait. A bíróság továbbá kimondta, hogy az automatikusan kiszámított hitelpontszámok hozzárendelése nincs összhangban a GDPR-ral.
Mi az üzlet a hitelminősítéssel? Az SCHUFA-hoz hasonló cégek úgynevezett hitelminősítő ügynökségek. Óriási mennyiségű személyes adatot gyűjtenek annak érdekében, hogy az embereknek állítólagos hitelképességet rendeljenek hozzá. Ezt a pontszámot a bankok és a vállalatok arra használják, hogy felmérjék, kaphat-e valaki hitelt vagy mobiltelefon-szerződést.
Háttérinformációk: Adattörlés és automatizált hitelpontozás. Az EUB által most eldöntött eljárás kiindulópontja a hesseni adatvédelmi hatóság (HBDI) előtt az SCHUFA ellen benyújtott két panasz volt. Az egyik ügyben (egyesített ügyek: C-26/22 és C-64/22) az érintett a fizetésképtelenséggel kapcsolatos adatok törlését kérte az SCHUFA adatbázisából, miután azokat már törölték a nyilvános fizetésképtelenségi nyilvántartásból, ahonnan az SCHUFA átvette és tovább tárolta. A HBDI nemcsak elutasította az ügyet, hanem még azzal is érvelt, hogy az illetékes bíróság nem vizsgálhatja felül érdemben a határozatát. A második ügy (C-634/21) arra a kérdésre vonatkozott, hogy az SCHUFA egyáltalán jogosult-e automatikusan hitelminősítést kiadni - vagy ez "egyedi esetekben automatizált döntésnek" minősül-e, amit a GDPR nagyrészt tilt.
A C-26/22. és C-64/22. sz. egyesített ügyekben hozott ítélet(Link)
Az adatvédelmi hatóságok teljes körű bírósági felülvizsgálata. Az EUB ítélete tömegesen növelte az adatvédelmi hatóságokra (DPA-k) nehezedő nyomást. Egyes uniós tagállamokban, köztük Németországban, eddig úgy vélték, hogy az érintettek GDPR szerinti panasza csupán egyfajta "beadvány". A gyakorlatban ez azt jelentette, hogy a német adatvédelmi hatóságok az éves 100 millió eurós költségvetésük ellenére sok panaszt bizarr indoklással utasítottak el, és a GDPR megsértését nem üldözték. Olyan országokban, mint Írország, a panaszok több mint 99%-át nem dolgozták fel, Franciaországban pedig megtagadták az érintettek minden jogát, hogy részt vegyenek a saját jogaikat érintő eljárásban. Egyes adatvédelmi hatóságok, mint például a jelen esetben a hesseni hatóság, azzal is érveltek, hogy a bíróságok nem vizsgálhatják felül részletesen a döntéseiket.
Több jog az érintettek számára. Az EUB most véget vetett ennek a megközelítésnek. Úgy döntött, hogy a GDPR 77. cikkét az érintettek jogainak és érdekeinek hatékony védelmére szolgáló mechanizmusként tervezték. Emellett a bíróság kimondta, hogy a GDPR 78. cikke lehetővé teszi a nemzeti bíróságok számára az adatvédelmi hatósági határozatok teljes körű felülvizsgálatát. Ez magában foglalja annak értékelését, hogy a hatóságok a mérlegelési jogkörük keretein belül jártak-e el.
Raphael Rohrmoser, a felperes ügyvédje ebben az ügyben: "Az Európai Bíróság tömegesen megerősítette az érintettek jogait. A közhiteles nyilvántartásokból származó adatok tárolása már csak magában a nyilvántartásban megengedett."
A C-634/21. sz. ügyben hozott ítélet(Link)
Ingatag lábakon áll a hitelminősítési üzletág. De ez még nem minden. A C-634/21. sz. ügyben hozott ítéletével az EUB az SCHUFA (és más hitelügynökségek) teljes üzleti modelljét megingatja: a feltételezett hitelképesség teljesen automatizált, átláthatatlan algoritmusok segítségével történő kiszámítása a GDPR 22. cikkének különleges védelme alá tartozik. Ez a rendelkezés megtiltja a személyes adatok felhasználását olyan teljesen automatizált döntésekhez, amelyek "jelentős hátrányos hatással" járnak az érintettekre. Más szóval, bizonyos mértékű döntéseket nem szabad kizárólag algoritmusok segítségével meghozni.
Marco Blocher: " Az, hogy a polgároknak egyszerűen egy érthetetlen hitelpontszámot rendelnek hozzá, majd automatikusan elutasítják a szerződéseket, az EUB ítéletének köszönhetően a múlté"
Az automatizált hitelpontozás betiltása. A hitelügynökségi ágazat eddig azzal érvelt, hogy még egy borzalmas hitelpontszám is, amely minden bizonnyal megakadályozná, hogy egy személy számos szerződést (például hitel, biztosítás, bérleti díj vagy áramszolgáltatási szerződés) kössön, nem minősül "negatív döntésnek". Szerintük a végső döntést a pontszámot használó cég hozza meg. Az EUB más álláspontot képvisel, és most úgy döntött, hogy a hitelképesség megítélése már az általános adatvédelmi rendelet 22. cikke szerinti döntésnek minősülhet. Ez azt jelenti, hogy az automatizált hitelpontozás a jelenlegi formájában az egész EU-ban tilos a hitelügynökségek számára. Ha az SCHUFA a jövőben ki akarja számítani az emberek hitelképességét, akkor kifejezett hozzájárulásra lesz szüksége. Ezenkívül az érintettek számára lehetővé kell tenni, hogy megtámadhassák a hitelpontozást.
Raphael Rohrmoser, a felperes ügyvédje ebben az ügyben: "Nem szabad alábecsülni, hogy az érintettek mostantól rendszeresen jogi lépéseket tehetnek a hivatalos döntések ellen. Ez minden bizonnyal erősíteni fogja a GDPR szerinti jogok érvényesítését"."
