Notera: Domarna är inte kopplade till noyb-ärenden
EU-domstolens vägledande avgöranden om "credit ranking" och omprövning av dataskyddsåtaganden
EU-domstolen har idag meddelat två vägledande domar i mål mot det tyska kreditupplysningsföretaget SCHUFA, som tidigare åtnjutit stor frihet i Tyskland. EU-domstolen bekräftade att nationella domstolar har omfattande befogenheter att granska dataskyddsmyndigheter - och därmed stärka de registrerades rättigheter. Vidare slog domstolen fast att tilldelningen av automatiskt beräknade kreditbetyg inte är förenlig med GDPR.
Vad är det för verksamhet med kreditvärdering? Företag som SCHUFA är så kallade kreditupplysningsföretag. De samlar in stora mängder personuppgifter för att kunna tilldela människor en påstådd kreditvärdighet. Denna poäng används av banker och företag för att bedöma om någon ska få ett lån eller ett mobiltelefonabonnemang.
Bakgrund: Radering av uppgifter och automatiserad kreditbedömning. Utgångspunkten för det nu avgjorda förfarandet i EU-domstolen var två klagomål mot SCHUFA hos den hessiska dataskyddsmyndigheten (HBDI). I det ena fallet (förenade målen C-26/22 och C-64/22) hade den registrerade begärt att insolvensuppgifter skulle raderas från SCHUFA:s databas efter att de redan hade raderats från det offentliga insolvensregistret, där de hämtades av SCHUFA och lagrades vidare. HBDI inte bara avvisade målet utan hävdade även att den behöriga domstolen inte kan ompröva sitt beslut i sak. Det andra målet (C-634/21) gällde frågan om SCHUFA överhuvudtaget får utfärda kreditupplysningar automatiskt - eller om detta utgör ett "automatiserat beslut i enskilda fall", vilket i stort sett är förbjudet enligt GDPR.
Domen i de förenade målen C-26/22 och C-64/22(länk)
Fullständig domstolsprövning av dataskyddsmyndigheter. EU-domstolens dom innebar en kraftig ökning av trycket på dataskyddsmyndigheterna (DPA). I vissa EU-länder, däribland Tyskland, har de hittills antagit att ett GDPR-klagomål från registrerade endast är en slags "framställning". I praktiken har detta inneburit att de tyska dataskyddsmyndigheterna, trots en årlig budget på 100 miljoner euro, har avvisat många klagomål med bisarra motiveringar och att överträdelser av GDPR inte har förföljts. I länder som Irland har mer än 99% av klagomålen inte behandlats och i Frankrike har de berörda personerna nekats rätten att delta i förfarandet rörande sina egna rättigheter. Vissa dataskyddsmyndigheter, t.ex. myndigheten i Hessen i det aktuella fallet, har också hävdat att domstolarna är förbjudna att granska deras beslut i detalj.
Fler rättigheter för registrerade. EU-domstolen har nu satt stopp för detta synsätt. Den har slagit fast att artikel 77 i GDPR är utformad som en mekanism för att effektivt skydda de registrerades rättigheter och intressen. Dessutom har domstolen slagit fast att artikel 78 i GDPR gör det möjligt för nationella domstolar att göra en fullständig prövning av dataskyddsmyndighetens beslut. Detta innefattar en bedömning av huruvida myndigheterna har agerat inom ramen för sitt utrymme för skönsmässig bedömning.
Raphael Rohrmoser, advokat för käranden i detta mål: "EU-domstolen har kraftigt stärkt de registrerades rättigheter. Det är inte längre tillåtet att lagra uppgifter från offentliga register annat än i själva registret."
Domen i mål C-634/21(Länk)
Kreditvärderingsverksamhet på skakig grund. Men det är inte allt. Med sin dom i mål C-634/21 skakar EU-domstolen om hela SCHUFA:s (och andra kreditinstituts) affärsmodell: den helt automatiserade beräkningen av förmodad kreditvärdighet med hjälp av ogenomskinliga algoritmer omfattas av det särskilda skyddet i artikel 22 i GDPR. Enligt denna bestämmelse är det förbjudet att använda personuppgifter för helt automatiserade beslut som har en "betydande negativ inverkan" på de registrerade. Med andra ord bör beslut av en viss omfattning inte fattas av enbart algoritmer.
Marco Blocher: "Att helt enkelt tilldela medborgare en obegriplig kreditvärdighet och sedan automatiskt neka kontrakt är tack vare EU-domstolens dom ett minne blott."
Ett förbud mot automatiserad kreditbedömning. Kreditupplysningsbranschen har hittills hävdat att inte ens en usel kreditvärdighet, som med all säkerhet skulle hindra en person från att ingå ett stort antal avtal (t.ex. lån, försäkringar, hyres- eller elavtal), är ett "negativt beslut". Enligt dem fattas det slutliga beslutet av det företag som använder poängen. EU-domstolen är av en annan uppfattning och har nu slagit fast att kreditvärdighetsbedömningen redan kan utgöra ett beslut enligt artikel 22 i GDPR. Detta innebär att automatiserad kreditbedömning i sin nuvarande form är förbjuden för kreditupplysningsföretag i hela EU. Om SCHUFA i framtiden vill beräkna människors kreditvärdighet behöver de deras uttryckliga samtycke. Dessutom måste det vara möjligt för de registrerade att ifrågasätta en kreditvärdering.
Raphael Rohrmoser, advokat för den klagande i detta mål: "Det ska inte underskattas att de registrerade nu regelbundet kan vidta rättsliga åtgärder mot myndighetsbeslut. Detta kommer säkerligen att stärka efterlevnaden av GDPR-rättigheterna."
