W grudniu 2023 r. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wydał pierwszy wyrok dotyczący zautomatyzowanego podejmowania decyzji. Sprawa dotyczy SCHUFA, czyli niemieckiej spółki, która zajmuje się oceną wiarygodności kredytowej (prywatnego biura informacji kredytowej). W oparciu o analizę danych i zastosowanie narzędzi statystycznych dokonuje ona wyliczenia prawdopodobieństwa co do tego w jaki sposób zachowa się dana osoba. Wynik ten (score) jest następnie przekazywany np. bankom, które – w oparciu o scoring – decydują o udzieleniu bądź nie kredytu. Orzeczenie stanowi potwierdzenie szerokiej wykładni tego, czym jest decyzja podejmowana w zautomatyzowany sposób, oraz zawiera szereg uwag dotyczących konieczności gwarantowania praw podmiotów danych w sytuacjach, kiedy stosowane są tego typu rozwiązania. Poniżej przedstawiam kilka najważniejszych wniosków, które nasuwają się po lekturze wyroku.
dr Joanna Mazur, analityczka DELab UW
Sprawa przed TSUE dotyczyła sytuacji, w której osoba trzecia odmówiła spółce OQ udzielenia pożyczki. OQ decyzję zakwestionowała, powołując się na fakt oparcia jej na nieprawidłowych danych osobowych i żądając ich usunięcia. W ramach postępowania, które wynikło z tej sytuacji, sąd krajowy zdecydował się skierować do TSUE pytania dotyczące tego, jak należy rozumieć przepisy ogólnego rozporządzenia o ochronie danych (RODO), które dotyczą zautomatyzowanego podejmowania decyzji:
Czy art. 22 ust. 1 [RODO] należy interpretować w ten sposób, że już samo zautomatyzowane wyliczenie wartości prawdopodobieństwa dotyczącego zdolności osoby, której dane dotyczą, do spłaty kredytu w przyszłości stanowi opartą wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, decyzję wywołującą skutki prawne wobec tej osoby lub w podobny sposób istotnie na nią wpływającą, gdy wartość ta, ustalona na podstawie danych osobowych tej osoby, jest przekazywana przez administratora danych innemu administratorowi, a wartość ta ma decydujące znaczenie dla tego innego administratora przy podejmowaniu decyzji o zawarciu, wykonaniu lub rozwiązaniu umowy z osobą, której dane dotyczą? (para. 27)
Odpowiedź TSUE zawiera kilka interesujących elementów. Pierwsza ich grupa odnosi się do samej oceny, czy mamy do czynienia ze zautomatyzowanym podejmowaniem decyzji, druga – do szerszego kontekstu przepisów dotyczących tego zagadnienia w RODO. Poniżej omawiam je w podziale na te dwie podgrupy.
Scoring jako zautomatyzowane podejmowanie decyzji
Trybunał dokonał analizy dotyczącej tego, na ile sytuacja podlegać powinna pod regulację zautomatyzowanego podejmowania decyzji z art. 22 RODO. W tym celu przeanalizowane zostały trzy przesłanki, które muszą być łącznie spełnione, żeby art. 22 miał zastosowanie (para. 43). Pierwsza, czy mamy do czynienia z decyzją, została przez TSUE potwierdzona. Trybunał powołał się przy tym na konieczność szerokiego rozumienia słowa decyzja: pojęcie „decyzji” w rozumieniu art. 22 ust. 1 RODO może zatem […] obejmować szereg czynności mogących w różny sposób wpływać na osobę, której dane dotyczą, pojęcie to jest wystarczająco szerokie, aby objąć wynik obliczenia wypłacalności danej osoby w postaci wartości prawdopodobieństwa dotyczącej zdolności tej osoby do wywiązywania się ze zobowiązań płatniczych w przyszłości (para. 46).
Druga, czyli konieczność, aby decyzja taka opierała się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, została przez TSUE rozstrzygnięta w dużym stopniu przez uznanie, że dana sytuacja stanowi przykład profilowania (para. 47). Dodatkowo Trybunał odwołał się do brzmienia zadanego pytania prejudycjalnego, traktując sposób sformułowania go jako potwierdzający zautomatyzowany charakter ocenianego przetwarzania danych. Tym samym TSUE uniknął dywagacji na temat tego, na ile ostateczne decyzje dotyczące przyznania lub nie kredytu opierają się „wyłącznie” na zautomatyzowanym przetwarzaniu, a skupił na samym fakcie, że decyzja dotycząca scoringu jest zautomatyzowana.
Trzecia przesłanka, czyli konieczność, aby decyzja wywoływała skutki prawne lub podobnie istotnie na daną osobę wpływała, również została przez TSUE uznana za spełnioną: wartość prawdopodobieństwa ustalona przez biuro informacji kredytowej i przekazana bankowi odgrywa decydującą rolę przy udzielaniu kredytu, wyliczenie tej wartości samo w sobie należy zakwalifikować jako decyzję wywołującą wobec osoby, której dane dotyczą, „skutki prawne” lub „istotnie” na nią wpływającą „w podobny sposób” (para. 50).
TSUE podkreślił również, że przeprowadzona wykładnia wiąże się z koniecznością traktowania przepisów RODO jako całości i zagwarantowania, aby prawa podmiotu danych były chronione również w sytuacji, w której scoring dokonywany jest nie przez instytucję, która wydaje ostateczną decyzję (zob. para. 61). Stąd też sam fakt scoringu powinien być traktowany jako „decyzja” w świetle przepisów RODO, i podlegać przepisom dotyczącym zautomatyzowanego podejmowania decyzji.
Stwierdzenie to jest niezwykle istotne również w kontekście polskiego porządku prawnego, w którym prawo bankowe przewiduje prawo do wyjaśnienia decyzji dotyczącej dokonanej oceny zdolności kredytowej wnioskującego, ale jest ono sformułowane w sposób odnoszący się do instytucji udzielających kredytu lub pożyczki: Banki i inne instytucje ustawowo upoważnione do udzielania kredytów na wniosek osoby fizycznej, prawnej lub jednostki organizacyjnej niemającej osobowości prawnej, o ile posiada zdolność prawną, ubiegającej się o kredyt przekazują, w formie pisemnej, wyjaśnienie dotyczące dokonanej przez siebie oceny zdolności kredytowej wnioskującego (art. 70a). Wyrok TSUE wskazuje, że nawet jeśli taka ocena przeprowadzana byłaby przez inne przedsiębiorstwo, i tak podmiot danych powinien mieć możliwość powoływania się na przepisy RODO dotyczące zautomatyzowanego podejmowania decyzji.
Wymogi wobec zautomatyzowanego podejmowania decyzji w RODO
Ponadto, orzeczenie zawiera trzy dodatkowe elementy, na które warto zwrócić uwagę. Po pierwsze, wyrok przynosi również potwierdzenie tego, że art. 22 RODO należy odczytywać jako zasadniczy zakaz stosowania zautomatyzowanego podejmowania decyzji, od którego RODO przewiduje trzy wyjątki (para. 52: Przepis ten ustanawia zasadniczy zakaz, którego naruszenie nie wymaga indywidualnego powołania się przez taką osobę.).
Stąd, aby móc stosować zautomatyzowane podejmowanie decyzji, musi istnieć możliwość powołania się na jeden z wyjątków przewidziany w RODO. Zgodnie z RODO nawet w tych sytuacjach konieczne jest jednak zagwarantowanie odpowiednich środków ochrony praw i wolności oraz uzasadnionych interesów osób, których dane są przetwarzane. TSUE odwołuje się również do motywu 71, który zawiera katalog przykładów takich środków: środki takie powinny obejmować w szczególności spoczywający na administratorze obowiązek stosowania odpowiednich procedur matematycznych lub statystycznych, wdrożenia właściwych środków technicznych i organizacyjnych celem zmniejszenia ryzyka błędów do minimum i ich skorygowania, zabezpieczenia danych osobowych w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegnięcia w szczególności skutkom w postaci dyskryminacji względem niej. Środki te obejmują ponadto co najmniej prawo osoby, której dane dotyczą, do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania podjętej wobec niej decyzji (para. 66). Trybunał najpierw wymienia środki wymienione w motywach, zaś następnie mówi, że „środki te obejmują ponadto co najmniej”. Stąd, drugą interesującą sugestią wynikającą z wyroku jest, że – w związku ze sposobem sformułowania tego akapitu – również środki jedynie wymienione w motywie RODO, a nie w treści art. 22, powinny być wdrożone przez podmiot, który używa zautomatyzowanego podejmowania decyzji. Taka sugestia jest wyraźniejsza w angielskiej wersji wyroku, które stwierdza, że In the light of recital 71 of the GDPR, such measures must include […].
Trzecim elementem wyroku zasługującym na podkreślenie jest waga, którą TSUE przywiązuje do podkreślenia konieczności spełnienia warunków określonych w artykułach 5 i 6 RODO, czyli przepisach dotyczących zasad przetwarzania oraz jego podstaw prawnych, w sytuacji, w której państwa członkowskie wprowadzają w swoich porządkach krajowych możliwość zautomatyzowanego podejmowania decyzji. TSUE podkreśla przy tym, że: w przypadku gdy prawo państwa członkowskiego zezwala, zgodnie z art. 22 ust. 2 lit. b) RODO, na przyjęcie decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, przetwarzanie to powinno nie tylko spełniać warunki określone w tym ostatnim przepisie i w art. 22 ust. 4 tego rozporządzenia, lecz również spełniać wymogi określone w art. 5 i 6 tego rozporządzenia (para. 68). TSUE podkreślił przy tym, że podstawa prawna przewidziana przez prawo państwa członkowskiego nie może ignorować orzecznictwa Trybunału dotyczącego tego, jak należy dane zagadnienia rozumieć, np. nie może z góry zakładać, że interes podmiotu przetwarzającego dane przeważa nad interesem podmiotu danych (para. 69–70) i w oparciu o takie założenie z góry przewidywać możliwość stosowania zautomatyzowanego podejmowania decyzji.
Konkluzja
TSUE w sprawie dość jednoznacznie stanął po stronie szerokiej wykładni praw podmiotów danych związanych z zautomatyzowanym podejmowaniem decyzji: nie tylko w zakresie wykładni treści przesłanek dotyczących tego, co obejmuje treść art. 22, lecz również w odniesieniu do jego systemowego znaczenia zakazu w nim przewidzianego.
Więcej informacji:
Notka o sprawie na stronie noyb.eu.
Post o sprawie na stronie vergassungsblog.de.
Dokumenty dotyczące sprawy na stronie TSUE.
Książka Algorytm jako informacja publiczna w prawie europejskim, której II rozdział dotyczy przepisów RODO na temat zautomatyzowanego podejmowania decyzji.