Poznámka: Rozsudky nie sú spojené s prípadmi noyb
Prelomové rozsudky SDEÚ o "úverovom poradí" a preskúmaní DPA
Súdny dvor Európskej únie (SDEÚ) dnes vydal dva prelomové rozsudky v konaní proti nemeckej úverovej referenčnej agentúre SCHUFA, ktorá sa v Nemecku predtým tešila značnej slobode. SDEÚ potvrdil, že vnútroštátne súdy majú rozsiahle právomoci na kontrolu orgánov na ochranu údajov - čím sa posilnili práva dotknutých osôb. Okrem toho súd rozhodol, že prideľovanie automaticky vypočítaných kreditných bodov nie je v súlade s GDPR.
V čom spočíva podnikanie v oblasti úverového hodnotenia? Spoločnosti ako SCHUFA sú takzvané úverové referenčné agentúry. Zhromažďujú obrovské množstvo osobných údajov s cieľom priradiť ľuďom údajnú úverovú bonitu. Toto skóre používajú banky a spoločnosti na posúdenie, či by mal niekto dostať pôžičku alebo zmluvu na mobilný telefón.
Kontext: Vymazávanie údajov a automatizované hodnotenie úverovej bonity. Východiskom pre konanie, o ktorom teraz rozhodol Súdny dvor EÚ, boli dve sťažnosti proti spoločnosti SCHUFA na hesenský úrad na ochranu údajov (HBDI). V jednom prípade (spojené veci C-26/22 a C-64/22) dotknutá osoba žiadala o vymazanie údajov o platobnej neschopnosti z databázy SCHUFA po tom, ako už boli vymazané z verejného registra úpadcov, odkiaľ ich SCHUFA prevzala a ďalej uchovávala. HBDI nielenže zamietol žalobu, ale dokonca tvrdil, že príslušný súd nemôže preskúmať jeho rozhodnutie vo veci samej. Druhý prípad (C-634/21) sa týkal otázky, či SCHUFA vôbec môže automaticky vydávať úverové hodnotenia - alebo či ide o "automatizované rozhodovanie v individuálnych prípadoch", ktoré GDPR vo veľkej miere zakazuje.
Rozsudok v spojených veciach C-26/22 a C-64/22(odkaz)
Úplné súdne preskúmanie orgánov na ochranu údajov. Rozsudok SDEÚ masívne zvýšil tlak na orgány na ochranu údajov (OOÚ). V niektorých členských štátoch EÚ vrátane Nemecka doteraz predpokladali, že sťažnosť dotknutých osôb podľa GDPR je len akýmsi "podnetom". V praxi to znamenalo, že napriek ročnému rozpočtu vo výške 100 miliónov EUR nemecké orgány na ochranu údajov mnohé sťažnosti zamietli s bizarným odôvodnením a porušenia GDPR sa nesledovali. V krajinách, ako je Írsko, sa viac ako 99 % sťažností nespracovalo a vo Francúzsku bolo dotknutým osobám odopreté akékoľvek právo zúčastniť sa na konaní týkajúcom sa ich vlastných práv. Niektoré orgány na ochranu údajov, ako napríklad hesenský orgán v tomto prípade, tiež tvrdili, že súdy majú zakázané podrobne preskúmavať ich rozhodnutia.
Viac práv pre dotknuté osoby. SDEÚ teraz ukončil tento prístup. Rozhodol, že článok 77 GDPR je navrhnutý ako mechanizmus na účinnú ochranu práv a záujmov dotknutých osôb. Okrem toho súd rozhodol, že článok 78 GDPR umožňuje vnútroštátnym súdom vykonávať úplné preskúmanie rozhodnutí orgánov na ochranu údajov. To zahŕňa posúdenie, či orgány konali v medziach svojej diskrečnej právomoci.
Raphael Rohrmoser, právny zástupca žalobcu v tejto veci: "Európsky súdny dvor masívne posilnil práva dotknutých osôb. Ukladanie údajov z verejných registrov už nie je povolené inak ako v samotnom registri."
Rozsudok vo veci C-634/21(odkaz)
Podnikanie v oblasti úverového hodnotenia na vratkej pôde. To však nie je všetko. Svojím rozsudkom vo veci C-634/21 SDEÚ otriasa celým obchodným modelom spoločnosti SCHUFA (a ďalších úverových agentúr): plne automatizovaný výpočet údajnej úverovej bonity pomocou neprehľadných algoritmov spadá pod osobitnú ochranu podľa článku 22 GDPR. Toto ustanovenie zakazuje používanie osobných údajov na plne automatizované rozhodnutia, ktoré majú "významný nepriaznivý vplyv" na dotknuté osoby. Inými slovami, rozhodnutia určitého rozsahu by sa nemali prijímať len pomocou algoritmov.
Marco Blocher: "Jednoduché pridelenie nezrozumiteľného kreditného skóre občanom a následné automatické odmietnutie zmlúv je vďaka rozsudku SDEÚ minulosťou."
Zákaz automatizovaného hodnotenia úverovej bonity. Odvetvie úverových agentúr doteraz tvrdilo, že ani hrozné kreditné skóre, ktoré by určite zabránilo človeku uzavrieť veľké množstvo zmlúv (ako sú napríklad úvery, poistenie, nájomné zmluvy alebo zmluvy o dodávkach elektriny), nie je "negatívnym rozhodnutím". Podľa nich konečné rozhodnutie prijíma spoločnosť, ktorá skóre používa. SDEÚ zastáva iný názor a teraz rozhodol, že priradenie úverovej bonity už môže predstavovať rozhodnutie podľa článku 22 GDPR. To znamená, že automatizovaný credit scoring v jeho súčasnej podobe je pre úverové agentúry v celej EÚ zakázaný. Ak bude chcieť SCHUFA v budúcnosti vypočítať úverovú bonitu ľudí, bude potrebovať ich výslovný súhlas. Okrem toho musí byť možné, aby dotknuté osoby mohli kreditné skóre napadnúť.
Raphael Rohrmoser, právnik žalobcu v tejto veci: "Nemalo by sa podceňovať, že dotknuté osoby môžu teraz pravidelne podnikať právne kroky proti úradným rozhodnutiam. To určite posilní presadzovanie práv vyplývajúcich z nariadenia GDPR."
