Zgłębiania RODO ciąg dalszy: oto w dzisiejszym wyroku TSUE stwierdził, że osoba podlegająca zautomatyzowanemu przetwarzaniu danych osobowych powinna móc poznać także algorytm profilowania — ale może też się okazać, że wzór matematyczny będzie na tyle niejasny, że administrator powinien jednak wyłuszczyć zasady automatycznego podejmowania decyzji w prostszy i jaśniejszy sposób. Przy okazji rozstrzygnięto także potencjalną kolizję pomiędzy prawem do zachowania w tajemnicy know-how firmy pracującej na danych osobowych i praw osób, których dane są przetwarzane.
wyrok TSUE z 27 lutego 2025 r. w/s Dun & Bradstreet Austria (C-203/22)
1) W przypadku zautomatyzowanego podejmowania decyzji, w tym profilowania, w rozumieniu art. 22 ust. 1 RODO, osoba, której dane dotyczą, może żądać od administratora, tytułem „istotnych informacji o zasadach […] podejmowania [tych decyzji]”, aby ten wyjaśnił jej, w drodze istotnych informacji oraz w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, procedurę i zasady konkretnie zastosowane do zautomatyzowanego wykorzystania danych osobowych dotyczących tej osoby w celu uzyskania określonego wyniku, takiego jak profil zdolności kredytowej.
2) W przypadku gdy administrator uważa, iż informacje, które należy zgodnie z art. 15 ust. 1 lit h) RODO przekazać osobie, której dane dotyczą, zawierają dane osób trzecich chronione tym rozporządzeniem lub tajemnice przedsiębiorstwa w rozumieniu dyrektywy 2016/943 w/s ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem, administrator ten jest zobowiązany do przekazania tych informacji, które miałyby być chronione, właściwemu organowi nadzorczemu lub właściwemu sądowi, na których spoczywa obowiązek wyważenia rozpatrywanych praw i interesów w celu ustalenia zakresu prawa dostępu przysługującego osobie, której dane dotyczą, przewidzianego w art. 15 RODO.
opis stanu faktycznego:
- spór zaczął się od odmowy zawarcia umowy abonamentowej na telefon komórkowy (w wysokości 10 €), przy czym operator powołał się na wynikający z analizy dokonanej przez Bisnode Austria (dziś Dun & Bradstreet Austria GmbH) brak wystarczającej zdolności kredytowej;
- po analizie skargi wniesionej przez niedoszłą abonentkę Österreichische Datenschutzbehörde nakazał D&B udostępnienie informacji o zasadach zautomatyzowanego podejmowania decyzji;
- firma informacje przekazała… aczkolwiek wynikało z nich, ocena kredytowa skarżącej jest wyjątkowo wysoka, toteż — dostrzegając sprzeczność z faktycznym wynikiem profilowania — kobieta wniosła do sądu o nakazanie udzielenia pełnych i prawidłowych informacji;
- finalnie spór trafił do Verwaltungsgericht Wien, który powołał biegłego w celu rozstrzygnięcia wątpliwości co do przyczyn sprzeczności wyniku profilowania z przedstawioną oceną wiarygodności kredytowej konsumentki;
art. 15 ust. 1 lit. h) RODO
Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
art. 22 ust. 1 RODO
Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
- biegły stwierdził, że nie jest w stanie sporządzić ekspertyzy bez oceny m.in. stosowanych algorytmów profilowania i konkretnej wagi poszczególnych kryteriów;
- jednakże D&B odmówiła przekazania tych danych jako know-how biznesu objętych tajemnicą przedsiębiorstwa;
- w ocenie sądu skorzystanie z uprawnienia do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu danych i ich profilowaniu, a także prawa do „interwencji ludzkiej” i wyrażenia własnego stanowiska, wymaga uzyskania prawdziwych i prawidłowych informacji, a więc także zrozumienia zasad profilowania, zatem zwrócił się do TSUE z wnioskiem o wykładnię zasad kolizyjnych pomiędzy art. 22 RODO a prawem do traktowania algorytmów jako prawnie chronionej tajemnicy przedsiębiorstwa;
wyrok TSUE:
- w nieco salomonowym orzeczeniu Trybunał Sprawiedliwości UE przyjął, iż skoro informacje o zautomatyzowanym podejmowaniu decyzji obejmują także „istotne informacje o zasadach ich podejmowania”, to mówiąc o procesie automagicznym — należy wyłuszczyć jego logikę;
- (wcale nie na marginesie TSUE zauważył, iż „istotne” w sensie znaczeniowym są one w polsko- i hiszpańskojęzycznej wersji RODO, podczas gdy tekst francuski, niderlandzki i portugalski koncentruje się na funkcjonalności lub istotności informacji (wersja rumuńska) — ale już po niemiecku i angielsku informacje powinny być także łatwe do zrozumienia, zaś wersja czeska nie pozostawia wątpliwości, że chodzi o „procedury”… w sumie wychodzi na to, że interpretacja prawa unijnego może zależeć od jego tłumaczenia, ale też przecież od semantyki poszczególnych języków);
- oznacza to, że w ramach prawa do informacji o zautomatyzowanym przetwarzaniu danych można żądać podania wszelkich istotnych informacji o procedurze i zasadach przetwarzania w celu osiągnięcia konkretnego rezultatu — a należy do nich także algorytm profilowania (por. wyrok TSUE z 7 grudnia 2023 r. w/s SCHUFA Holding / Scoring, C-634/21);
- nie ma przecież wątpliwości, iż dopiero poznawszy całość mechanizmu profilowania można rozstrzygnąć o prawidłowości wnioskowania — co jest niezbędne do skorzystania z prawa do wyrażenia swojej opinii i zakwestionowania decyzji opartej o profilowaniu;
- jednakże w ocenie TSUE do prawidłowego zastosowania art. 15 ust. 1 lit. f) RODO może nie wystarczyć nawet sam algorytm profilowania, który może mieć postać złożonego wzoru matematycznego, ani nawet szczegółowy opis każdego etapu opracowywania danych — sęk w tym, że cała komunikacja administratora musi być zwięzła, przejrzysta, zrozumiała, jasna i sformułowana prostym językiem, zatem wymóg ten dotyczy także informacji o zautomatyzowanym podejmowaniu decyzji;
- (bo przecież jest jasne, że zarzucenie kogoś szczegółowymi, technicznymi danymi może nic nie wyjaśniać);
- zaś zawsze przekazane informacje muszą być prawdziwe i rzetelne — skoro więc zastosowana procedura doprowadziła do wniosków sprzecznych z treścią wyjaśnień, to jest jasne, że algorytm profilowania niczego nie wyjaśni;
- odnosząc się natomiast do konfliktu pomiędzy prawem do ochrony tajemnicy przedsiębiorstwa i jego know-how a prawami osób, których dane są przetwarzane, TSUE przypomniał, że prawo do ochrony danych osobowych nie jest prawem absolutnym i może ulec ograniczeniu m.in. ze względu na własność intelektualną lub tajemnice handlowe osób trzecich;
- ograniczeniu ale nie wyłączeniu, bo inna interpretacja oznaczałaby, że RODO w ogóle przestaje działać, zatem w przypadku wystąpienia takiego konfliktu organ nadzorczy lub sąd prowadzący sprawę powinien zobowiązać administratora do przekazania jemu informacji stanowiących tajemnicę przedsiębiorstwa, aby następnie — ważąc za i przeciw — rozstrzyga o sprzecznych interesach stron;
- sporu tego nie może przy tym apriorycznie rozstrzygać prawodawstwo krajowe (bo zagadnienie jest kwestią stosowania prawa w odniesieniu do konkretnego przypadku, a nie ogólnych i generalnych reguł, które dałyby się zapisać w postaci abstrakcyjnych norm prawnych — cieszę się, że przy okazji udało mi się popełnić niedługie zdanie o różnicy między używaniem prawa a czytaniem przepisów).