Ausztriában egy mobiltelefon-szolgáltató azzal az indokkal tagadta meg egy ügyféltől egy szerződés megkötését, hogy az ügyfél nem rendelkezett megfelelő fizetőképességgel. A gazdasági szereplő e tekintetben az ügyfél hitelképesség-értékelésére támaszkodott, amelyet a Dun & Bradstreet Austria, egy ilyen értékelések nyújtására szakosodott vállalkozás, automatizált módon végzett el. A szerződés havi 10 euró összegű kötelezettséggel jár volna.
Az ezt követő jogvitában egy osztrák bíróság jogerős határozatában megállapította, hogy a Dun & Bradstreet megsértette az általános adatvédelmi rendeletet (GDPR). A Dun & Bradstreet ugyanis nem bocsátotta az ügyfél rendelkezésére a szóban forgó automatizált döntéshozatalhoz „alkalmazott logikára […] vonatkozó érthető információk[at]”. E vállalkozás legalábbis
nem indokolta meg kellőképpen, hogy miért nem tudta közölni ezeket az információkat.
A bíróság, amelyhez az ügyfél e bírósági határozat végrehajtása érdekében fordult, arra keres választ, hogy a Dun & Bradstreetnek mit kell konkrétan tennie e tekintetben. Ezen okból azt kéri a Bíróságtól, hogy értelmezze a GDPR-t és az üzleti titkok védelméről szóló irányelvet.
A Bíróság szerint az adatkezelőnek oly módon kell leírnia az eljárást és a konkrétan alkalmazott elveket, hogy az érintett megérthesse, hogy mely személyes adatait és milyen módon használták fel az automatizált döntéshozatal során.
Az átláthatóság és az érthetőség követelményének való megfelelés érdekében helyénvaló lehet többek között tájékoztatni az érintettet arról, hogy eltérő személyes adatok figyelembevétele milyen mértékben vezetett volna eltérő eredményre. Ezzel szemben
egy adott algoritmus puszta közlése nem minősül kellően tömör és érthető magyarázatnak.
Amennyiben az adatkezelő úgy ítéli meg, hogy a nyújtandó információk harmadik személyek védett adatait vagy üzleti titkokat tartalmaznak, köteles ezeket az állítólagosan védett információkat a felügyeleti hatósággal vagy az illetékes bírósággal közölni. E hatóságok feladata, hogy az érintett említett információkhoz való hozzáférési joga terjedelmének meghatározása érdekében mérlegeljék a szóban forgó jogokat és érdekeket.
A bíróság e tekintetben pontosítja, hogy a GDPR-ral ellentétes az olyan nemzeti rendelkezés alkalmazása, amely főszabály szerint kizárja a szóban forgó hozzáférési jogot, ha e hozzáférés az adatkezelő vagy valamely harmadik fél üzleti titkait veszélyeztetné.
Címlapkép forrása: Shutterstock
