A tavalyi év végén hozott az Európai Unió Bírósága egy olyan ítéletet, amelyről kevés szó esik, azonban az abban foglaltak annál nagyobb jelentőséggel bírhatnak egyes vállalkozások működésére nézve. Az alábbiakban röviden összefoglaljuk az ügyet és az ítélet főbb tanulságait.
A SCHUFA Holding AG nevű német társaság az ügyfeleinek (jellemzően vállalkozásoknak) egyes magánszemélyek fizetőképességével kapcsolatban adott információkat olyan módon, hogy matematikai és statisztikai módszerekkel a magánszemélyekről elemzést készített arra vonatkozóan, hogy milyen valószínűséggel fognak fizetési késedelembe esni, nem fizetni. Másszóval, a SCHUFA profilalkotást végzett egyes magánszemélyek fizetőképessége tekintetében és ezen profilalkotás eredményét (a fizetőképességi gond valószínűségét) értékesítette az ügyfelei számára. (A SCHUFA az adatok egy részét közhiteles nyilvántartásokból szerezte.)
A SCHUFA egy ügyfele – támaszkodva a SCHUFA által részére átadott előrejelzésre (valószínűségi értékre) – elutasította egy személy kölcsönigényét. Ezen magánszemély tájékoztatást kért a SCHUFA-tól azzal kapcsolatban, hogy milyen adatokat kezel róla. A SCHUFA válaszul megküldte az érintettre vonatkozó valószínűségi értéket, annak kiszámítási módját (az arról való információ kiadását pedig megtagadta, hogy a számítás milyen adatok alapján, milyen súlyozással történt). A társaság hozzátette, hogy nem hozott semmilyen döntést az adatok alapján, csupán átadta a valószínűségi értéket az ügyfelének és az ügyfél hozott az alapján döntést.
Az ügyben eljáró német bíróság az Európai Unió Bíróságához fordult azzal a kérdéssel, hogy olyan esetben is lehet-e szó a GDPR szerinti automatizált döntéshozatalról, ha a valószínűségi érték alapján a döntést egy harmadik fél hozza meg (azaz nem a SCHUFA, hanem annak ügyfele). Másszóval, arra a kérdésre kellett válaszolni, hogy amennyiben a SCHUFA vállalkozás ügyfele felhasználja a kapott előrejelzést arra, hogy eldöntse köt-e szerződést az adott magánszeméllyel, akkor az minősülhet-e az ő szemszögéből a GDPR szerinti automatizált döntéshozatalnak.
A GDPR az automatizált döntéshozatalról a következő rendelkezést tartalmazza (22. cikk (1) bekezdés):
„Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.”
Ez a nem szokványosan megfogalmazott, három együttes feltétel fennállását megkövetelő főszabály lényegében azt jelenti, hogy tilos az olyan, kizárólag automatizált adatkezelésen alapuló döntéshozatal, amelynek hatálya az érintettre nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. A 22. cikk (2) bekezdése három esetben enged kivételt az idézett főszabály alól. Jelesül, a tilalom nem alkalmazandó abban az esetben, ha a döntés:
a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.
Abban az esetben, ha nem áll fenn a kivételek egyike sem, akkor automatikusan jogellenes az ilyen típusú adatkezelés. Ha fennáll valamelyik kivétel (amit szükséges előzetesen, az adatkezelés megkezdése előtt gondosan megvizsgálni), akkor az adatkezelőnek további követelményeket kell teljesítenie. Így tájékoztatást kell nyújtania az érintett részére az automatizált döntéshozatal tényéről, az alkalmazott logikáról és arról, hogy az ilyen adatkezelés az érintettre nézve milyen jelentőséggel és várható következményekkel bír. Úgyszintén, az adatkezelő köteles tájékoztatni az érintettet arról, hogy emberi beavatkozást kérhet, kifejezheti álláspontját, valamint a döntéssel szemben kifogást nyújthat be, és ezen jogokat megfelelően biztosítania kell az adatkezelőnek. (Érdemes hozzátenni, hogy a kivételek valamelyike alapján hozott döntések nem alapulhatnak a személyes adatok különleges kategóriáin, kivéve, az érintett kifejezett hozzájárulását adta az adatkezeléshez vagy ha az adatkezelés jelentős közérdek miatt szükséges uniós vagy tagállami jog alapján, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.)
Az Európai Unió Bírósága a kérdésre azt a választ adta, hogy
„az általános adatvédelmi rendelet 22. cikkének (1) bekezdését úgy kell értelmezni, hogy valamely üzleti információkat nyújtó vállalat által egy magánszemély személyes adatain alapuló, az adott személy jövőbeli fizetési kötelezettségeinek teljesítésével kapcsolatos képességére vonatkozó valószínűségi érték automatizált megállapítása az említett rendelkezés értelmében vett „automatizált egyedi döntésnek” minősül, amennyiben döntően ettől a valószínűségi értéktől függ, hogy egy harmadik személy, akivel ezt a valószínűségi értéket közlik, létrehoz-e, teljesít-e vagy megszüntet-e valamely szerződéses kapcsolatot az adott személlyel.”
A lényeget kiemelve, az Európai Unió Bírósága kimondta, hogy ha a SCHUFA ügyfele „döntően” a kapott valószínűségi érték alapján döntött arról, hogy szerződést köt-e az őt kölcsönkérelemmel megkereső személlyel, akkor a GDPR 22. cikk (1) bekezdése szerinti automatizált döntéshozatalt végzett.
Kérdés, hogy a „döntően” kitétel pontosan hogyan értelmezendő, mit jelent a gyakorlatban, milyen jellemzők, sajátosságok vizsgálata alapján juthatunk arra a következtetésre, hogy a valószínűségi értéket kézhez kapó vállalkozás döntően arra alapozza azt, hogy elutasít-e pl. egy hitelkérelmet.
Véleményünk szerint a döntés óvatosságra int. Például, ha egy bank egy természetes személy hitelképességéről egy az egyben automatikusan (vagy „döntően”) a mástól kapott valószínűségi érték alapján dönt, akkor a bank – akár köt szerződést az adott személlyel, akár nem – a GDPR 22. cikke szerinti automatizált döntéshozatalt végez, annak minden jogi következményével.
Abban az esetben, ha a folyamatba érdemi emberi beavatkozás van beépítve, akkor nem beszélhetünk automatizált döntéshozatalról. Így, ha a banknál a folyamat végén egy természetes személy dönt arról, hogy nyújt-e a bank kölcsönt az illető személynek vagy sem, akkor nem lesznek alkalmazandóak a GDPR automatizált döntéshozatalra vonatkozó szabályai. Fontos azonban azt hangsúlyozni, hogy az emberi beavatkozásnak érdeminek, valós átgondoláson, mérlegelésen alapulónak kell lennie, nem lehet csak látszólagos, „eljátszott”, mert akkor megállapítható az automatizált döntéshozatal.
A döntés felvet még egy kérdést. Még nem lépett hatályba az Európai Unió ún. MI (mesterséges intelligencia) rendelete (a végső szöveg magyar változata itt található:
https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138-FNL-COR01_HU.pdf),
azonban felvetődik a kérdés, hogy az MI rendelet, mint lex posteriori felül fogja-e írni, vagy felülírhatja-e a SCHUFA döntés lényeges tartalmát. A válasz egyértelmű nem.
Az MI rendelet (10) Preambulum bekezdése szerint „E rendeletnek nem célja, hogy befolyásolja a személyes adatok kezelésére vonatkozó meglévő uniós jogszabályok alkalmazását, az említett jogi eszközöknek való megfelelés ellenőrzéséért felelős független felügyeleti hatóságok feladatait és hatáskörét is beleértve.”.
Ez annyit jelent, hogy még abban az esetben is, ha az MI rendelet az MI rendszerek kockázat szempontú besorolása körében meg is engedi a gépi profilalkotást – ami az automatizált döntéshozatal része –, a GDPR SCHUFA döntés szerinti értelmezése érintetlenül marad. Ezt kifejezetten megerősíti az említett preambulum bekezdés, amely szerint „E rendelet nem érinti továbbá az MI-rendszerek szolgáltatóinak és alkalmazóinak adatkezelői vagy adatfeldolgozói szerepkörükben fennálló – a személyes adatok védelmére vonatkozó uniós vagy nemzeti jogból fakadó kötelezettségeit, amennyiben az MI-rendszerek tervezése, fejlesztése vagy használata személyes adatok kezelésével jár. Helyénvaló továbbá egyértelművé tenni, hogy az érintetteket továbbra is megilleti az említett uniós jog által számukra biztosított valamennyi jog és garancia, beleértve az egyedi ügyekben történő, kizárólagosan automatizált döntéshozatalhoz, többek között a profilalkotáshoz kapcsolódó jogokat is.”.
A GDPR 25. cikkében foglalt beépített és alapértelmezett adatvédelem elve értelmében az adatkezelőnek egy mesterséges intelligencián alapuló szoftver alkalmazásának megtervezésekor, használatakor bizonyos kérdéseket fel kell tennie magának, amelyeket röviden az alábbiakban foglalunk össze:
a) Mi az adatkezelés legitim célja? Figyelemmel kell lenni arra is, hogy a használat ne forduljon át olyan célból történő adatkezelésbe, amely az adatkezelés eredeti céljával nem összeegyeztethető.
b) Mi az adatkezelés jogalapja?
c) Hogyan biztosított az adatok pontossága már az adatgyűjtési fázisától kezdődően? Ennek hiányában téves döntéseket fog hozni még egy egyébként kiváló algoritmussal működő szoftver is, így a torzítások elkerülése érdekében fontos megfelelő intézkedéseket tenni, megbízható információkat tartalmazó forrásokat használni. Külön kiemelendő, hogy az adatkezelési célhoz mérten relevánsnak és reprezentatívnak kell lennie az adatoknak, amelyeket betáplálnak a szoftverbe.
d) Hogyan felelek meg a célhoz kötöttség elvének? Kizárólag azon adatok kezelésére kerülhet sor, amelyek kezelése a jogszerű cél eléréséhez szükséges, figyelmet fordítva a gyűjtött személyes adatok mennyiségén túl a személyes adatok típusára is.
e) Hogyan biztosítom az átláthatóságot? Az érintettek kapjanak megfelelő tájékoztatást a személyes adataik kezelésével kapcsolatban, amelynek azért is van alapvető jelentősége, mert csak megfelelő tájékoztatás esetén van abban a helyzetben az érintett, hogy gyakorolni tudja a jogait.
f) Mennyi ideig kezelem az adatokat? Megfelelő módon határozza meg az adatkezelő az adatok kezelésének időtartamát és integrálja a rendszerbe a törlési, illetve anonimizálási beállításokat, amely anonimizálás tekintetében – a technika gyors fejlődésére is figyelemmel – lényeges, hogy az adatkezelő külön figyelmet fordítson arra, hogy az adatok újra megszemélyesíthetővé vál(hat)nak-e és ha igen, akkor a szükséges intézkedéseket megtegye.
g) Készítettem-e adatvédelmi hatásvizsgálatot? Az adatkezelő az adatkezelés által az érintettek jogaira és szabadságaira gyakorolt kockázatokat tárja fel, elemezze ki és tegye meg mindazon intézkedéseket, amelyek az adatkezelés jogszerűségének hatékony és folyamatos biztosításához szükségesek (amely szükségképpen jelenti a szoftver működésének folyamatos figyelemmel kísérését is). Az MI használatát a technológia elérhetősége önmagában nem indokolja, és nem nélkülözhető a szükségesség, arányosság vizsgálata. Előbbi esetében igazolandó, hogy miért nem lehet az adott legitim célt kevésbé invazív eszközökkel elérni, utóbbi tekintetében értékelendő többek között az adatok pontatlanságából, a modell torzításából, esetleges diszkriminatív működéséből adódó kockázat is.
h) Sor került-e tesztelési fázisra? Kiemelten fontos, hogy az éles alkalmazás előtt sor kerüljön tesztelésre, amely során az adatkezelő meg tudja figyelni és kellőképpen ki tudja szűrni a rendszer hiányosságait. Az MI a betáplált adatoktól és a benne futó algoritmus sajátosságaitól függően adott esetben diszkriminálhat bizonyos jellemzőknek meg nem felelő természetes személyeket, amelynek megvalósulása esetén nem beszélhetünk jogszerű adatkezelésről, hiszen az adatkezelés nem felel meg a jogszerűség és tisztességes eljárás elvének (hiába jogszerű az adatkezelés célja, gyűjti be a rendszer csak a szükséges adatokat, pontosak az adatok és megfelelő az őrzési idő).
i) Sor kerül-e automatizált döntéshozatalra? Ha igen, akkor a 22. cikk szerinti jogokat is biztosítani kell. Egyebekben érdemes lehet érdemi emberi felügyeletet beiktatni a szoftver működésének folyamatába annak érdekében, hogy egy konkrét személy korrigálni tudjon egy olyan döntést, amely valamilyen okból kifolyólag nem megfelelő, például, ha diszkriminatív döntés lenne (amely esetben az MI az emberi döntéshozatalt segítő, nem azt kiváltó eszköz lenne).
j) Biztosítottak-e az érintetti jogok?
k) Milyen módon tudom biztosítani a modell működésének folyamatos ellenőrzését és javítani az esetleges hibákat?
Az MI szolgáltatás/szoftver IT gondozója általi együttműködés esetén Irodánk jogi segítséget tud nyújtani a fent írtak szerint felmerülő kérdések kezeléséhez.