Забележка: Решенията не са свързани с делата noyb
Знакови решения на Съда на ЕС относно "кредитното класиране" и преразглеждането на споразуменията за предоставяне на информация
Днес Съдът на Европейския съюз (СЕС) постанови две знакови решения по производства срещу германската агенция за кредитна информация SCHUFA, която преди това се е ползвала със значителна свобода в Германия. Съдът на ЕС потвърди, че националните съдилища разполагат с широки правомощия за контрол на органите за защита на данните - по този начин се укрепват правата на субектите на данни. Освен това съдът постанови, че присвояването на автоматично изчислени кредитни точки не е в съответствие с ОРЗД.
Какъв е бизнесът на кредитното класиране? Дружества като SCHUFA са така наречените агенции за кредитна информация. Те събират огромни количества лични данни, за да определят на хората предполагаема кредитоспособност. Тази оценка се използва от банките и компаниите, за да преценят дали някой трябва да получи заем или договор за мобилен телефон.
Контекст: Изтриване на данни и автоматизирана кредитна оценка. Отправна точка за вече решеното производство пред Съда на ЕС бяха две жалби срещу SCHUFA пред Хесенския орган за защита на данните (HBDI). В единия случай (обединени дела C-26/22 и C-64/22) субектът на данни е поискал заличаване на данни за несъстоятелност от базата данни на SCHUFA, след като те вече са били заличени от публичния регистър за несъстоятелност, откъдето са били взети от SCHUFA и съхранявани по-нататък. HBDI не само отхвърля делото, но дори твърди, че компетентният съд не може да преразгледа решението му по същество. Второто дело (C-634/21) се отнасяше до въпроса дали SCHUFA изобщо има право автоматично да издава кредитни оценки - или това представлява "автоматизирано решение в отделни случаи", което до голяма степен е забранено от ОРЗД.
Решението по съединени дела C-26/22 и C-64/22(връзка)
Пълен съдебен контрол на органите за защита на данните. Решението на Съда на ЕС масово увеличи натиска върху органите за защита на данните (ОЗД). В някои държави - членки на ЕС, включително Германия, досега те приемаха, че жалбата на субектите на данни по GDPR е просто един вид "петиция". На практика това означава, че въпреки годишния бюджет от 100 млн. евро германските ОЗД са отхвърлили много жалби със странни обосновки и нарушенията на GDPR не са били преследвани. В държави като Ирландия над 99 % от жалбите не са били разгледани, а във Франция е било отказано всякакво право на засегнатите лица да участват в процедура относно собствените им права. Някои ОЗД, като например органът на Хесен в настоящия случай, също твърдят, че на съдилищата е забранено да преразглеждат подробно техните решения.
Повече права за субектите на данни. Съдът на ЕС вече е сложил край на този подход. Той постанови, че член 77 от ОРЗД е замислен като механизъм за ефективна защита на правата и интересите на субектите на данни. Освен това съдът е постановил, че член 78 от ОРЗД позволява на националните съдилища да извършват пълен преглед на решенията на ОЗД. Това включва преценка дали органите са действали в рамките на своята дискреционна власт.
Рафаел Рормозер, адвокат на ищеца по това дело: "Съдът на Европейския съюз значително укрепи правата на субектите на данни. Съхраняването на данни от публични регистри вече е позволено само в самия регистър"
Решението по дело C-634/21(Връзка)
Бизнесът с кредитни класации е на разклатена основа. Но това не е всичко. С решението си по дело C-634/21 Съдът на ЕС разтърсва целия бизнес модел на SCHUFA (и други кредитни агенции): напълно автоматизираното изчисляване на предполагаема кредитоспособност с помощта на непрозрачни алгоритми попада под специалната защита на член 22 от ОРЗД. Тази разпоредба забранява използването на лични данни за напълно автоматизирани решения, които имат "значително неблагоприятно въздействие" върху субектите на данни. С други думи, решения с определен обхват не трябва да се вземат само с помощта на алгоритми.
Марко Блохер: "Простото присвояване на неразбираем кредитен рейтинг на гражданите и след това автоматичното отказване на договори е в миналото благодарение на решението на Съда на ЕС."
Забрана на автоматизираното оценяване на кредитоспособността. Индустрията на кредитните агенции досега твърдеше, че дори ужасен кредитен рейтинг, който със сигурност би попречил на дадено лице да сключи голям брой договори (като например заеми, застраховки, договори за наем или доставка на електроенергия), не е "отрицателно решение". Според тях окончателното решение се взема от дружеството, което използва оценката. Съдът на ЕС е на друго мнение и вече постанови, че присъждането на кредитоспособност вече може да представлява решение по член 22 от ОРЗД. Това означава, че автоматизираното оценяване на кредитоспособността в сегашния му вид е забранено за кредитните агенции в целия ЕС. Ако в бъдеще SCHUFA иска да изчислява кредитоспособността на хората, ще се нуждае от тяхното изрично съгласие. Освен това субектите на данни трябва да имат възможност да оспорват кредитна оценка.
Рафаел Рормозер, адвокат на ищеца по това дело: "Не бива да се подценява фактът, че субектите на данни вече могат редовно да предприемат правни действия срещу официални решения. Това със сигурност ще засили прилагането на правата по ОРЗД"