"Svart låda" Amazon: algoritm diskriminerar kunder
noyb lämnade in ytterligare ett klagomål mot Amazon Europe idag. E-handelsjätten erbjuder kunder möjligheten att betala för produkter senare via "Monthly Invoice". En kund som utan motivering nekades att använda denna betalningsmetod skickade en begäran om tillgång till Amazon för att få reda på varför han nekades. Företaget vägrade att lämna ut någon information.
Systemet beslutades vara helt automatiserat. Bara sekunder efter att beställningen bekräftats fick kunden ett automatiskt e-postmeddelande där betalningen med "Monthly Invoice" avvisades. Amazon uppmanade honom att byta till kreditkortsbetalning, annars skulle beställningen annulleras inom 5 dagar. Någon anledning till avslaget angavs inte och kundtjänsten svarade inte heller på några frågor i detta avseende.
GDPR kräver transparens och verifierbarhet. När det gäller automatiserade individuella beslut - t.ex. om man ska tillåta betalning på konto eller inte - måste ett företag tillhandahålla meningsfull information om den logik som är inblandad och omfattningen av den underliggande databehandlingen. I Amazons integritetspolicy finns dock endast vag information om eventuella kreditprövningsmekanismer.
Automatiserade beslut måste kunna verifieras av människor. Detta är uppenbarligen inte möjligt med Amazon, vilket deras faktureringsavdelning klargör:"Detta automatiserade beslut kan ha olika orsaker och kan inte anpassas manuellt." Ironiskt nog rättfärdigar Amazon detta genom att säga att kundtjänsten inte kan se den exakta orsaken till avslaget "av dataskyddsskäl". De vägrade också att klargöra om intern information eller en negativ kreditvärdighet användes för den aktuella beslutsprocessen.
En misslyckad begäran om åtkomst avslöjade ytterligare GDPR-överträdelser. I stället för att få en kopia av uppgifterna, vilket krävs enligt artikel 15.3 i GDPR, skulle kunden manuellt ladda ner 54 mappar med mestadels obegripliga tabeller. Det fanns ingen information om ändamålen med eller den rättsliga grunden för databehandlingen. Amazon vägrade också att lämna ut någon information om datakällor eller mottagare - trots att GDPR kräver att personuppgiftsansvariga tillhandahåller sådan information. Förfrågningar från kunden avfärdades med obetydliga textblock.
"Det är oroande i vilken utsträckning Amazon ignorerar EU:s dataskyddslagstiftning. Algoritmer fattar beslut som inte ens deras egna anställda kan förstå och kontrollera. Amazons svar på begäran om tillgång bryter också mot i stort sett varje stycke i de tillämpliga GDPR-bestämmelserna." - Marco Blocher, dataskyddsjurist på noyb
Luxemburgs myndighet i stort sett inaktiv. Eftersom Amazon Europe ligger i Luxemburg är det landets nationella dataskyddskommission som ansvarar för att hantera klagomålet. noyb har redan lämnat in ett klagomål mot Amazon i januari 2019; hittills finns inget beslut i sikte. Information om statusen för förfarandet eller tillgång till filer vägras eftersom detta skulle äventyra myndighetens uppgifter och försämra syftet med förfarandet. Vi hoppas att det klagomål som lämnas in i dag inte försvinner i den luxemburgska myndighetens snårskog.
