"Czarna skrzynka" Amazona: algorytm dyskryminuje klientów
noyb złożył dziś kolejną skargę przeciwko Amazon Europe. Gigant e-commerce oferuje klientom możliwość płacenia za produkty w późniejszym terminie poprzez "Monthly Invoice". Klient, który został odrzucony dla tej metody płatności bez podania przyczyn, złożył wniosek o dostęp do Amazon, aby dowiedzieć się, dlaczego został odrzucony. Firma odmówiła udzielenia jakichkolwiek informacji.
System zdecydował się na pełną automatyzację. Zaledwie kilka sekund po potwierdzeniu zamówienia klient otrzymał automatyczny e-mail, w którym odrzucono płatność za pomocą "Monthly Invoice". Amazon wezwał go do przejścia na płatność kartą kredytową, w przeciwnym razie zamówienie zostanie anulowane w ciągu 5 dni. Nie podano powodu odrzucenia, ani obsługa klienta nie odpowiedziała na żadne pytania w tym zakresie.
GDPR wymaga przejrzystości i weryfikowalności. W przypadku zautomatyzowanych decyzji indywidualnych - takich jak decyzja, czy zezwolić na płatność na konto - firma musi dostarczyć istotnych informacji na temat zastosowanej logiki i zakresu przetwarzania danych. W polityce prywatności Amazona można jednak znaleźć jedynie niejasne informacje na temat mechanizmów sprawdzania wiarygodności kredytowej
Zautomatyzowane decyzje muszą być weryfikowalne przez człowieka. Nie jest to oczywiście możliwe w przypadku Amazona, co wyjaśnia ich dział rozliczeń:"Ta zautomatyzowana decyzja może mieć różne przyczyny i nie może być dostosowana ręcznie."Jak na ironię, Amazon uzasadnia to stwierdzeniem, że dział obsługi klienta nie może zobaczyć dokładnego powodu odrzucenia "z powodu ochrony danych". Odmówili również wyjaśnienia, czy informacje wewnętrzne lub negatywny wynik kredytowy zostały wykorzystane do procesu decyzyjnego zaangażowanego w proces.
Nieudane żądanie dostępu ujawniło kolejne naruszenia GDPR. Zamiast otrzymać kopię danych, jak wymaga tego art. 15 ust. 3 GDPR, klient miał ręcznie pobrać 54 foldery z przeważnie niezrozumiałymi tabelami. Nie podano żadnych informacji na temat celów lub podstawy prawnej przetwarzania danych. Amazon odmówił również podania jakichkolwiek informacji na temat źródeł danych lub odbiorców - mimo że GDPR wymaga od administratorów podawania takich informacji. Zapytania od klienta były odrzucane za pomocą nic nieznaczących bloków tekstu.
"Stopień, w jakim Amazon ignoruje unijne prawo ochrony danych, jest niepokojący. Algorytmy podejmują decyzje, których nawet ich pracownicy nie są w stanie zrozumieć i sprawdzić. Odpowiedź Amazona na wniosek o dostęp narusza również całkiem sporo paragrafów obowiązujących przepisów GDPR." - Marco Blocher, prawnik ds. ochrony danych w noyb
Władze Luksemburga w dużej mierze bezczynne. Ponieważ Amazon Europe ma siedzibę w Luksemburgu, krajowa komisja ochrony danych osobowych tego kraju jest odpowiedzialna za rozpatrzenie skargi. noyb złożył już skargę przeciwko Amazonowi w styczniu 2019 roku; do tej pory nie widać żadnej decyzji. Odmawia się informacji o stanie postępowania lub dostępu do akt, ponieważ zagrażałoby to zadaniom organu i naruszało cel postępowania. Mamy nadzieję, że złożona dziś skarga nie zniknie w gąszczu luksemburskiego urzędu.