Wyrok Trybunału Sprawiedliwości Unii Europejskiej w sprawie dotyczącej zautomatyzowanego podejmowania decyzji przy ocenie wiarygodności kredytowej: jakie lekcje przynosi w zakresie stosowania takich rozwiązań?

W grud­niu 2023 r. Try­bu­nał Spra­wie­dli­wo­ści Unii Euro­pej­skiej (TSUE) wydał pierw­szy wyrok doty­czą­cy zauto­ma­ty­zo­wa­ne­go podej­mo­wa­nia decy­zji. Spra­wa doty­czy SCHUFA, czy­li nie­miec­kiej spół­ki, któ­ra zaj­mu­je się oce­ną wia­ry­god­no­ści kre­dy­to­wej (pry­wat­ne­go biu­ra infor­ma­cji kre­dy­to­wej). W opar­ciu o ana­li­zę danych i zasto­so­wa­nie narzę­dzi sta­ty­stycz­nych doko­nu­je ona wyli­cze­nia praw­do­po­do­bień­stwa co do tego w jaki spo­sób zacho­wa się dana oso­ba. Wynik ten (sco­re) jest następ­nie prze­ka­zy­wa­ny np. ban­kom, któ­re – w opar­ciu o sco­ring – decy­du­ją o udzie­le­niu bądź nie kre­dy­tu. Orze­cze­nie sta­no­wi potwier­dze­nie sze­ro­kiej wykład­ni tego, czym jest decy­zja podej­mo­wa­na w zauto­ma­ty­zo­wa­ny spo­sób, oraz zawie­ra sze­reg uwag doty­czą­cych koniecz­no­ści gwa­ran­to­wa­nia praw pod­mio­tów danych w sytu­acjach, kie­dy sto­so­wa­ne są tego typu roz­wią­za­nia. Poni­żej przed­sta­wiam kil­ka naj­waż­niej­szych wnio­sków, któ­re nasu­wa­ją się po lek­tu­rze wyroku.

dr Joan­na Mazur, ana­li­tycz­ka DELab UW

Spra­wa przed TSUE doty­czy­ła sytu­acji, w któ­rej oso­ba trze­cia odmó­wi­ła spół­ce OQ udzie­le­nia pożycz­ki. OQ decy­zję zakwe­stio­no­wa­ła, powo­łu­jąc się na fakt opar­cia jej na nie­pra­wi­dło­wych danych oso­bo­wych i żąda­jąc ich usu­nię­cia. W ramach postę­po­wa­nia, któ­re wyni­kło z tej sytu­acji, sąd kra­jo­wy zde­cy­do­wał się skie­ro­wać do TSUE pyta­nia doty­czą­ce tego, jak nale­ży rozu­mieć prze­pi­sy ogól­ne­go roz­po­rzą­dze­nia o ochro­nie danych (RODO), któ­re doty­czą zauto­ma­ty­zo­wa­ne­go podej­mo­wa­nia decyzji:

^{Czy art. 22 ust. 1 [RODO] nale­ży inter­pre­to­wać w ten spo­sób, że już samo zauto­ma­ty­zo­wa­ne wyli­cze­nie war­to­ści praw­do­po­do­bień­stwa doty­czą­ce­go zdol­no­ści oso­by, któ­rej dane doty­czą, do spła­ty kre­dy­tu w przy­szło­ści sta­no­wi opar­tą wyłącz­nie na zauto­ma­ty­zo­wa­nym prze­twa­rza­niu, w tym pro­fi­lo­wa­niu, decy­zję wywo­łu­ją­cą skut­ki praw­ne wobec tej oso­by lub w podob­ny spo­sób istot­nie na nią wpły­wa­ją­cą, gdy war­tość ta, usta­lo­na na pod­sta­wie danych oso­bo­wych tej oso­by, jest prze­ka­zy­wa­na przez admi­ni­stra­to­ra danych inne­mu admi­ni­stra­to­ro­wi, a war­tość ta ma decy­du­ją­ce zna­cze­nie dla tego inne­go admi­ni­stra­to­ra przy podej­mo­wa­niu decy­zji o zawar­ciu, wyko­na­niu lub roz­wią­za­niu umo­wy z oso­bą, któ­rej dane doty­czą? (para. 27)}

Odpo­wiedź TSUE zawie­ra kil­ka inte­re­su­ją­cych ele­men­tów. Pierw­sza ich gru­pa odno­si się do samej oce­ny, czy mamy do czy­nie­nia ze zauto­ma­ty­zo­wa­nym podej­mo­wa­niem decy­zji, dru­ga – do szer­sze­go kon­tek­stu prze­pi­sów doty­czą­cych tego zagad­nie­nia w RODO. Poni­żej oma­wiam je w podzia­le na te dwie podgrupy.

Sco­ring jako zauto­ma­ty­zo­wa­ne podej­mo­wa­nie decyzji

Try­bu­nał doko­nał ana­li­zy doty­czą­cej tego, na ile sytu­acja pod­le­gać powin­na pod regu­la­cję zauto­ma­ty­zo­wa­ne­go podej­mo­wa­nia decy­zji z art. 22 RODO. W tym celu prze­ana­li­zo­wa­ne zosta­ły trzy prze­słan­ki, któ­re muszą być łącz­nie speł­nio­ne, żeby art. 22 miał zasto­so­wa­nie (para. 43). Pierw­sza, czy mamy do czy­nie­nia z decy­zją, zosta­ła przez TSUE potwier­dzo­na. Try­bu­nał powo­łał się przy tym na koniecz­ność sze­ro­kie­go rozu­mie­nia sło­wa decy­zja: poję­cie „decy­zji” w rozu­mie­niu art. 22 ust. 1 RODO może zatem […] obej­mo­wać sze­reg czyn­no­ści mogą­cych w róż­ny spo­sób wpły­wać na oso­bę, któ­rej dane doty­czą, poję­cie to jest wystar­cza­ją­co sze­ro­kie, aby objąć wynik obli­cze­nia wypła­cal­no­ści danej oso­by w posta­ci war­to­ści praw­do­po­do­bień­stwa doty­czą­cej zdol­no­ści tej oso­by do wywią­zy­wa­nia się ze zobo­wią­zań płat­ni­czych w przy­szło­ści (para. 46).

Dru­ga, czy­li koniecz­ność, aby decy­zja taka opie­ra­ła się wyłącz­nie na zauto­ma­ty­zo­wa­nym prze­twa­rza­niu, w tym pro­fi­lo­wa­niu, zosta­ła przez TSUE roz­strzy­gnię­ta w dużym stop­niu przez uzna­nie, że dana sytu­acja sta­no­wi przy­kład pro­fi­lo­wa­nia (para. 47). Dodat­ko­wo Try­bu­nał odwo­łał się do brzmie­nia zada­ne­go pyta­nia pre­ju­dy­cjal­ne­go, trak­tu­jąc spo­sób sfor­mu­ło­wa­nia go jako potwier­dza­ją­cy zauto­ma­ty­zo­wa­ny cha­rak­ter oce­nia­ne­go prze­twa­rza­nia danych. Tym samym TSUE unik­nął dywa­ga­cji na temat tego, na ile osta­tecz­ne decy­zje doty­czą­ce przy­zna­nia lub nie kre­dy­tu opie­ra­ją się „wyłącz­nie” na zauto­ma­ty­zo­wa­nym prze­twa­rza­niu, a sku­pił na samym fak­cie, że decy­zja doty­czą­ca sco­rin­gu jest zautomatyzowana.

Trze­cia prze­słan­ka, czy­li koniecz­ność, aby decy­zja wywo­ły­wa­ła skut­ki praw­ne lub podob­nie istot­nie na daną oso­bę wpły­wa­ła, rów­nież zosta­ła przez TSUE uzna­na za speł­nio­ną: war­tość praw­do­po­do­bień­stwa usta­lo­na przez biu­ro infor­ma­cji kre­dy­to­wej i prze­ka­za­na ban­ko­wi odgry­wa decy­du­ją­cą rolę przy udzie­la­niu kre­dy­tu, wyli­cze­nie tej war­to­ści samo w sobie nale­ży zakwa­li­fi­ko­wać jako decy­zję wywo­łu­ją­cą wobec oso­by, któ­rej dane doty­czą, „skut­ki praw­ne” lub „istot­nie” na nią wpły­wa­ją­cą „w podob­ny spo­sób” (para. 50).

TSUE pod­kre­ślił rów­nież, że prze­pro­wa­dzo­na wykład­nia wią­że się z koniecz­no­ścią trak­to­wa­nia prze­pi­sów RODO jako cało­ści i zagwa­ran­to­wa­nia, aby pra­wa pod­mio­tu danych były chro­nio­ne rów­nież w sytu­acji, w któ­rej sco­ring doko­ny­wa­ny jest nie przez insty­tu­cję, któ­ra wyda­je osta­tecz­ną decy­zję (zob. para. 61). Stąd też sam fakt sco­rin­gu powi­nien być trak­to­wa­ny jako „decy­zja” w świe­tle prze­pi­sów RODO, i pod­le­gać prze­pi­som doty­czą­cym zauto­ma­ty­zo­wa­ne­go podej­mo­wa­nia decyzji.

Stwier­dze­nie to jest nie­zwy­kle istot­ne rów­nież w kon­tek­ście pol­skie­go porząd­ku praw­ne­go, w któ­rym pra­wo ban­ko­we prze­wi­du­je pra­wo do wyja­śnie­nia decy­zji doty­czą­cej doko­na­nej oce­ny zdol­no­ści kre­dy­to­wej wnio­sku­ją­ce­go, ale jest ono sfor­mu­ło­wa­ne w spo­sób odno­szą­cy się do insty­tu­cji udzie­la­ją­cych kre­dy­tu lub pożycz­ki: Ban­ki i inne insty­tu­cje usta­wo­wo upo­waż­nio­ne do udzie­la­nia kre­dy­tów na wnio­sek oso­by fizycz­nej, praw­nej lub jed­nost­ki orga­ni­za­cyj­nej nie­ma­ją­cej oso­bo­wo­ści praw­nej, o ile posia­da zdol­ność praw­ną, ubie­ga­ją­cej się o kre­dyt prze­ka­zu­ją, w for­mie pisem­nej, wyja­śnie­nie doty­czą­ce doko­na­nej przez sie­bie oce­ny zdol­no­ści kre­dy­to­wej wnio­sku­ją­ce­go (art. 70a). Wyrok TSUE wska­zu­je, że nawet jeśli taka oce­na prze­pro­wa­dza­na była­by przez inne przed­się­bior­stwo, i tak pod­miot danych powi­nien mieć moż­li­wość powo­ły­wa­nia się na prze­pi­sy RODO doty­czą­ce zauto­ma­ty­zo­wa­ne­go podej­mo­wa­nia decyzji.

Wymo­gi wobec zauto­ma­ty­zo­wa­ne­go podej­mo­wa­nia decy­zji w RODO

Ponad­to, orze­cze­nie zawie­ra trzy dodat­ko­we ele­men­ty, na któ­re war­to zwró­cić uwa­gę. Po pierw­sze, wyrok przy­no­si rów­nież potwier­dze­nie tego, że art. 22 RODO nale­ży odczy­ty­wać jako zasad­ni­czy zakaz sto­so­wa­nia zauto­ma­ty­zo­wa­ne­go podej­mo­wa­nia decy­zji, od któ­re­go RODO prze­wi­du­je trzy wyjąt­ki (para. 52: Prze­pis ten usta­na­wia zasad­ni­czy zakaz, któ­re­go naru­sze­nie nie wyma­ga indy­wi­du­al­ne­go powo­ła­nia się przez taką oso­bę.).

Stąd, aby móc sto­so­wać zauto­ma­ty­zo­wa­ne podej­mo­wa­nie decy­zji, musi ist­nieć moż­li­wość powo­ła­nia się na jeden z wyjąt­ków prze­wi­dzia­ny w RODO. Zgod­nie z RODO nawet w tych sytu­acjach koniecz­ne jest jed­nak zagwa­ran­to­wa­nie odpo­wied­nich środ­ków ochro­ny praw i wol­no­ści oraz uza­sad­nio­nych inte­re­sów osób, któ­rych dane są prze­twa­rza­ne. TSUE odwo­łu­je się rów­nież do moty­wu 71, któ­ry zawie­ra kata­log przy­kła­dów takich środ­ków: środ­ki takie powin­ny obej­mo­wać w szcze­gól­no­ści spo­czy­wa­ją­cy na admi­ni­stra­to­rze obo­wią­zek sto­so­wa­nia odpo­wied­nich pro­ce­dur mate­ma­tycz­nych lub sta­ty­stycz­nych, wdro­że­nia wła­ści­wych środ­ków tech­nicz­nych i orga­ni­za­cyj­nych celem zmniej­sze­nia ryzy­ka błę­dów do mini­mum i ich sko­ry­go­wa­nia, zabez­pie­cze­nia danych oso­bo­wych w spo­sób uwzględ­nia­ją­cy poten­cjal­ne ryzy­ko dla inte­re­sów i praw oso­by, któ­rej dane doty­czą, oraz zapo­bie­gnię­cia w szcze­gól­no­ści skut­kom w posta­ci dys­kry­mi­na­cji wzglę­dem niej. Środ­ki te obej­mu­ją ponad­to co naj­mniej pra­wo oso­by, któ­rej dane doty­czą, do uzy­ska­nia inter­wen­cji ludz­kiej ze stro­ny admi­ni­stra­to­ra, do wyra­że­nia wła­sne­go sta­no­wi­ska i do zakwe­stio­no­wa­nia pod­ję­tej wobec niej decy­zji (para. 66). Try­bu­nał naj­pierw wymie­nia środ­ki wymie­nio­ne w moty­wach, zaś następ­nie mówi, że „środ­ki te obej­mu­ją ponad­to co naj­mniej”. Stąd, dru­gą inte­re­su­ją­cą suge­stią wyni­ka­ją­cą z wyro­ku jest, że – w związ­ku ze spo­so­bem sfor­mu­ło­wa­nia tego aka­pi­tu – rów­nież środ­ki jedy­nie wymie­nio­ne w moty­wie RODO, a nie w tre­ści art. 22, powin­ny być wdro­żo­ne przez pod­miot, któ­ry uży­wa zauto­ma­ty­zo­wa­ne­go podej­mo­wa­nia decy­zji. Taka suge­stia jest wyraź­niej­sza w angiel­skiej wer­sji wyro­ku, któ­re stwier­dza, że In the light of reci­tal 71 of the GDPR, such measu­res must inc­lu­de […].

Trze­cim ele­men­tem wyro­ku zasłu­gu­ją­cym na pod­kre­śle­nie jest waga, któ­rą TSUE przy­wią­zu­je do pod­kre­śle­nia koniecz­no­ści speł­nie­nia warun­ków okre­ślo­nych w arty­ku­łach 5 i 6 RODO, czy­li prze­pi­sach doty­czą­cych zasad prze­twa­rza­nia oraz jego pod­staw praw­nych, w sytu­acji, w któ­rej pań­stwa człon­kow­skie wpro­wa­dza­ją w swo­ich porząd­kach kra­jo­wych moż­li­wość zauto­ma­ty­zo­wa­ne­go podej­mo­wa­nia decy­zji. TSUE pod­kre­śla przy tym, że: w przy­pad­ku gdy pra­wo pań­stwa człon­kow­skie­go zezwa­la, zgod­nie z art. 22 ust. 2 lit. b) RODO, na przy­ję­cie decy­zji opar­tej wyłącz­nie na zauto­ma­ty­zo­wa­nym prze­twa­rza­niu, prze­twa­rza­nie to powin­no nie tyl­ko speł­niać warun­ki okre­ślo­ne w tym ostat­nim prze­pi­sie i w art. 22 ust. 4 tego roz­po­rzą­dze­nia, lecz rów­nież speł­niać wymo­gi okre­ślo­ne w art. 5 i 6 tego roz­po­rzą­dze­nia (para. 68). TSUE pod­kre­ślił przy tym, że pod­sta­wa praw­na prze­wi­dzia­na przez pra­wo pań­stwa człon­kow­skie­go nie może igno­ro­wać orzecz­nic­twa Try­bu­na­łu doty­czą­ce­go tego, jak nale­ży dane zagad­nie­nia rozu­mieć, np. nie może z góry zakła­dać, że inte­res pod­mio­tu prze­twa­rza­ją­ce­go dane prze­wa­ża nad inte­re­sem pod­mio­tu danych (para. 69–70) i w opar­ciu o takie zało­że­nie z góry prze­wi­dy­wać moż­li­wość sto­so­wa­nia zauto­ma­ty­zo­wa­ne­go podej­mo­wa­nia decyzji.

Kon­klu­zja

TSUE w spra­wie dość jed­no­znacz­nie sta­nął po stro­nie sze­ro­kiej wykład­ni praw pod­mio­tów danych zwią­za­nych z zauto­ma­ty­zo­wa­nym podej­mo­wa­niem decy­zji: nie tyl­ko w zakre­sie wykład­ni tre­ści prze­sła­nek doty­czą­cych tego, co obej­mu­je treść art. 22, lecz rów­nież w odnie­sie­niu do jego sys­te­mo­we­go zna­cze­nia zaka­zu w nim przewidzianego.

Wię­cej informacji:

Not­ka o spra­wie na stro­nie noyb.eu.
Post o spra­wie na stro­nie vergassungsblog.de.
Doku­men­ty doty­czą­ce spra­wy na stro­nie TSUE.
Książ­ka Algo­rytm jako infor­ma­cja publicz­na w pra­wie euro­pej­skim, któ­rej II roz­dział doty­czy prze­pi­sów RODO na temat zauto­ma­ty­zo­wa­ne­go podej­mo­wa­nia decyzji.