Kada algoritam odlučuje o vašoj kreditnoj sposobnosti – imate pravo da znate zašto. U nedavno donetoj presudi u predmetu „Dun and Bradstreet Austria“ (C-203/22), Evropski sud pravde („ESP“) precizirao je obim prava na pristup informacijama o logici koja stoji iza automatizovanih odluka. Ova presuda donosi važne smernice za tumačenje člana 15(1)(h) Opšte uredbe o zaštiti podataka (General Data Protection Regulation – „GDPR“) u kontekstu automatizovanog odlučivanja, naročito kada je reč o kreditnom „scoringu“ i sličnim procenama.

Kako je pitanje transparentnosti algoritma dospelo pred ESP?

Do spora je došlo kada je austrijski operater mobilne telefonije odbio da zaključi ugovor sa fizičkim licem zbog, kako je obrazloženo, negativne procene kreditne sposobnosti. Prilikom provere kreditne sposobnosti, operater je koristio usluge specijalizovane kompanije koja se bavi pružanjem usluga procene kreditnog rizika i sličnih podataka. Lice na koje se podaci odnose podnelo je zahtev austrijskom nadzornom organu za zaštitu podataka (Data Protection Authority – „DPA“), sa zahtevom za pružanjem informacija o osnovu negativne procene i primenjenoj logici algoritma čijom je primenom doneta negativna odluka.

DPA je naložio toj kompaniji da dostavi tražene informacije, ali je kompanija izjavila žalbu protiv odluke nadležnom upravnom sudu. Sud je delimično potvrdio zahtev DPA, ocenivši da obaveza iz člana 15(1)(h) GDPR-a nije adekvatno ispunjena. U nastavku postupka, kompanija je tvrdila da je već dostavila tražene informacije, dok je podnosilac zahteva smatrao da pristup podacima nije bio potpun i nastavio da osporava rešenje pred nadležnim organima.

Zbog složenosti pitanja o tome koje informacije i u kom obimu moraju biti pružene, nadležni upravni sud je uputio ESP-u prethodna pitanja radi tumačenja relevantnih odredbi GDPR-a, pre svega člana 15(1)(h).

Presuda ESP: Kada poslovna tajna može ograničiti pravo na informacije?

ESP je utvrdio da pravo lica na koje se odnose podaci obuhvata i pravo na jasne i razumljive informacije o logici automatizovane odluke. Sud je naveo da je svrha ove obaveze da korisniku omogući razumevanje ključnih elemenata procesa odlučivanja — uključujući korišćene metode, kriterijume i način na koji su oni vrednovani. Potrebno je pronaći ravnotežu između dostupnosti informacija i zaštite poslovne tajne, tako da objašnjenje bude dovoljno jasno i sadržajno, ali da ne otkriva tehničke detalje algoritma koji uživaju poseban režim zaštite.

Sud je doneo sledeće zaključke:

• pravo na informacije mora omogućiti licu na koje se podaci odnose da razume i proveri da li su podaci na kojima se odluka zasniva tačni, kao i da li je sama odluka opravdana u odnosu na te podatke;
• pravo na informacije nije apsolutno i može biti ograničeno radi zaštite poslovne tajne ili prava trećih lica, ali se u tim slučajevima relevantne informacije moraju staviti na raspolaganje nadležnim organima ili sudu, koji odlučuju o obimu pristupa;
• nacionalni propisi koji automatski isključuju pristup informacijama zbog zaštite poslovne tajne nisu u skladu sa GDPR-om, jer nije dozvoljeno unapred propisivati ograničenja bez individualne procene svakog slučaja.

Ova presuda, između ostalog, potvrđuje da pravo na „značajne informacije o logici“ automatizovanih odluka ima ključnu ulogu u ostvarivanju drugih prava iz člana 22(3) GDPR-a, kao što su pravo na ljudsku intervenciju, ispravku i osporavanje odluke.

Transparentnost i poverenje u digitalnoj eri: Praktični značaj presude ESP

Presuda donosi jasne i obavezujuće smernice za kompanije koje koriste algoritme i automatizovane sisteme donošenja odluka, posebno u oblastima kao što su kreditno ocenjivanje, osiguranje i tržište rada. Kompanijama je jasno naloženo da korisnicima pružaju pristupačne i razumljive informacije o funkcionisanju automatizovanih procesa koji značajno utiču na njihove živote. Transparentnost nije samo pravna obaveza, već i ključni faktor za izgradnju poverenja i fer odnosa u poslovanju.

Istovremeno, ova odluka jača položaj građana tako što im omogućava da razumeju i, kada je potrebno, ospore odluke donete bez ljudske intervencije. Time se podstiče veća kontrola nad ličnim podacima u doba digitalizacije i automatizacije.

Domet odluke ESP u Srbiji: Uticaj na praksu i ponašanje kompanija

Praksa evropskih sudova, iako formalno neobavezujuća za Srbiju, ima značajan uticaj na tumačenje i primenu domaćeg Zakona o zaštiti podataka o ličnosti. S obzirom na usklađenost našeg zakonodavstva sa principima GDPR-a, opravdano je očekivati da bi u ovakvim slučajevima Poverenik za informacije od javnog značaja i zaštitu podataka, kao i domaći sudovi, primenjivali sličnu logiku kao Evropski sud pravde.

U skladu sa tim, kompanije u Srbiji trebalo bi da prilagode svoje prakse kako bi uskladile zaštitu poslovnih tajni sa pravima pojedinaca na pristup informacijama, čime bi se dodatno unapredio nivo zaštite ličnih podataka u digitalnom okruženju.

Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.