Profilowanie w kontekście oceny zdolności kredytowej – kara dla banku
300 tys. euro – tyle wyniosła administracyjna kara pieniężna dla niemieckiego banku, który dopuścił się naruszenia ochrony danych w związku z profilowaniem danych klienta. Bank nie spełnił bowiem obowiązków względem swojego klienta w związku z oceną jego zdolności kredytowej.
Profilowanie a ocena zdolności kredytowej
Sprawa dotyczyła niemieckiego banku, który automatycznie odrzucił wniosek swojego klienta o wydanie karty kredytowej. Bank podjął tę decyzję, dokonując profilowania klienta (oceniając jego zdolność kredytową na podstawie takich danych osobowych jak dane o dochodach i zawodzie). Klient miał zastrzeżenia do decyzji, a nie mógł poznać jej uzasadnienia. Bank poinformował go jedynie o ogólnych zasadach scoringu, nie odnosząc ich jednak do konkretnego przypadku. W szczególności bank nie podał na podstawie jakich danych odmówił wydania karty kredytowej. Dlatego klient złożył skargę do berlińskiego organu nadzorczego.
Profilowanie to dodatkowe uprawnienia dla podmiotu danych
Obowiązkiem administratora w związku ze zautomatyzowanym przetwarzaniem danych w tym profilowaniem jest wdrożenie właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów podmiotu danych. Chodzi tu o prawo do:
-
uzyskania interwencji ludzkiej ze strony administratora,
-
wyrażenia własnego stanowiska,
-
zakwestionowania tej decyzji.
W przypadku odrzucenia wniosku bank powinien poinformować klienta oprzyczynach odrzucenia przy podejmowaniu zautomatyzowanej decyzji w sprawie wniosku o wydanie karty kredytowej. Chodzi tu konkretnie o:
-
podstawę danych,
-
czynniki decyzyjne,
-
kryteria odrzucenia w indywidualnym przypadku.
Bank nie poinformował klienta o profilowaniu
Jak ustalił niemiecki organ nadzorczy, bank tych uprawnień wobec swojego klienta nie zrealizował. Uzasadnienie odmowy przyznania karty kredytowej było bowiem lakoniczne i właściwie uniemożliwiało klientowi zakwestionowanie decyzji banku. Administratorowi zarzucono też naruszenie reguły przejrzystości i nieudzielenie informacji o zautomatyzowanym przetwarzaniu danych (art. 15 ust. 1 lit. h RODO).
Na żądanie osoby, której dane dotyczą, należy podać informacje o:
-
zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu,
-
zasadach ich podejmowania,
-
znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla podmiotu danych.
- Zgoda na przetwarzanie danych osobowych do celów reklamy behawioralnej – jak powinna wyglądać
- Kiedy należy sporządzić ocenę skutków dla ochrony danych w związku z wdrożeniem sztucznej inteligencji
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
- Santander Bank Polska z wysoką karą UODO za niezgłoszenie naruszenia ochrony danych
- Linie lotnicze nie informują o usunięciu danych osobowych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
