Avstrija: Meja člena 22 GDPR
Avstrijsko sodišče je odločilo, da je pri presoji pravice glede avtomatiziranega sprejemanja posameznih odločitev, vključno z oblikovanjem profilov ključno, da ima takšna odločitev resnično izkazane vse zahtevane elemente.
Odločitev je bila sprejeta 19. 3. 2026.
Avstrijsko Zvezno upravno sodišče je v zadevi W256 2233303-1 obravnavalo vprašanje, kako daleč sega pravica posameznika do dostopa do informacij o logiki avtomatizirane obdelave osebnih podatkov pri izračunu kreditnih ocen.
Posameznik je od kreditne informacijske agencije zahteval dostop do osebnih podatkov na podlagi člena 15 GDPR. Upravljavec mu je posredoval več različnih kreditnih ocen, med drugim t. i. risk indicator, economic index in KKE score, skupaj z določenimi informacijami o obdelavi podatkov.
Posameznik je menil, da odgovor ni bil popoln. Izpostavil je predvsem pomanjkljiva pojasnila glede izvora podatkov ter nezadostne informacije o metodologiji in logiki, uporabljeni pri izračunu kreditnih ocen. Upravljavec je nasprotno zatrjeval, da je posamezniku zagotovil vse informacije, ki jih zahteva člen 15 GDPR, dodatno razkritje podrobnosti o modelih ocenjevanja pa bi poseglo v njegove poslovne skrivnosti.
Pomembna okoliščina primera je bila, da kreditne ocene niso bile posredovane tretjim osebam in naj ne bi povzročile nobenih pravnih ali dejanskih učinkov za posameznika.
Avstrijski nadzorni organ je v prvotnem postopku presodil, da bi moral upravljavec zagotoviti podrobnejše informacije o logiki kreditnega točkovanja, zato je pritožbi posameznika delno ugodil. Upravljavec se je zoper odločitev pritožil.
Odločitev sodišča
Sodišče je pri presoji izhajalo iz razmerja med členom 15(1)(h) GDPR in členom 22 GDPR. Poudarilo je, da obveznost zagotavljanja “smiselnih informacij o uporabljeni logiki” ni neomejena, temveč jo je treba presojati v povezavi z avtomatiziranim sprejemanjem odločitev iz člena 22 GDPR.
Pri tem se je oprlo tudi na sodno prakso Sodišča EU in pojasnilo, da mora biti za uporabo člena 22 GDPR izpolnjenih več pogojev. Obstajati mora odločitev, ki temelji izključno na avtomatizirani obdelavi, takšna odločitev pa mora za posameznika povzročiti pravne učinke ali nanj podobno pomembno vplivati.
Čeprav je sodišče pritrdilo stališču, da kreditno točkovanje predstavlja avtomatizirano obdelavo osebnih podatkov in bi lahko v določenih okoliščinah pomenilo avtomatizirano odločanje, je ocenilo, da v konkretnem primeru ni bil izpolnjen ključni element dejanskega vpliva na posameznika.
Ugotovljeno je bilo, da kreditne ocene niso bile razkrite tretjim osebam in da posameznik ni izkazal nobenih negativnih posledic, ki bi iz teh ocen izhajale. Posledično po presoji sodišča ni bilo mogoče govoriti o odločitvi, ki bi ustvarjala pravne ali podobno pomembne učinke v smislu člena 22 GDPR.
Ker člen 22 GDPR po oceni sodišča ni bil uporaben, tudi dodatna pojasnila o logiki obdelave iz člena 15(1)(h) GDPR niso bila obvezna. Upravljavec je tako svojo dolžnost glede pravice dostopa izpolnil že s podanimi informacijami.
Sodišče je zato razveljavilo odločitev nadzornega organa in pritožbo posameznika v celoti zavrnilo.
Odločitev sodišča je dostopna tukaj.
Vir: GDPRhub
Naslovna fotografija: Pexels
