В края на изминалата 2023 г. Съдът на Европейския съюз обяви две решения по въпроси, свързани с приложението на Общия регламент относно защитата на данните („ОРЗД“). Макар постановени по повод на конкретни казуси, в решенията си Съдът дава тълкувания, които имат задължителна сила за всички правоприлагащи органи в рамките на Европейския съюз. Поради това и на двете следва да бъде обърнато сериозно внимание, доколкото се отнасят до въпроси, които често изникват в практиката.
Първото решение е свързано с това дали представлява автоматизирано вземане на решение извършването на финансова оценка на потенциален кредитополучател (т. нар. scoring).
Казусът се поражда от бизнес модела на немска частна агенция за икономически справки, чиято дейност е свързана с предоставяне на информация относно кредитоспособността на физически лица – потребители. Агенцията извършва прогноза за поведението на физическото лице – дали би върнало отпуснат му от банка кредит. Прогнозата е основана на определени персонални особености на лицето, като то се причислява към група от други лица със сравними характеристики (например пол, възраст, професия, религия и др.). На база на миналото поведение на тази група лица агенцията предвижда бъдещото поведение на конкретния кредитоискател. Тя поставя оценка и я споделя със своя клиент – банка или кредитна институция.
След извършено подобно прогнозиране от агенцията по отношение на определено физическо лице, банката решава да не му отпусне кредит. От своя страна агенцията за икономически справки отказва да предостави на физическото лице информация как е изчислила конкретната оценка, доколкото твърди, че използваният алгоритъм е търговска тайна.
И преди постановяването на разглежданото решение няма съмнение, че автоматичният отказ на онлайн искания за кредит представлява автоматизирано вземане на решение по смисъла на ОРЗД. В случая обаче отказът не е автоматичен, от алгоритъм, а е взет от представител на кредитната институция. Автоматичен е бил само процесът на извършване на финансовата оценка. Трябвало ли е тогава по отношение на него да се приложат правилата на ОРЗД?
Отговорът на Съда на Европейския съюз е положителен. Банката решава дали да отпусне кредит или не въз основа на вероятностната оценка на агенцията за икономически справки. Поради това тази оценка засяга в значителна степен потребителите и трябва да бъде извършена при спазване на изискванията на ОРЗД.
Съдът припомня и кои са тези изисквания – да е налице правно основание за автоматизираното вземане на решение и на физическите лица (кредитоискатели) да се предостави информация относно използваната при оценката логика. Трябва да се приложат подходящи математически и статистически процедури, за да се гарантира, че рискът от грешки е сведен до минимум, както и че няма дискриминационни последици за потребителя. Задължително е, съгласно ОРЗД, на физическото лице да се осигури право на човешка намеса в процеса.
Второто решение на Съда на Европейския съюз по приложението на ОРЗД, постановено през декември 2023 г., е свързано с въпроси относно налагането на санкции при нарушение на законовите изисквания за обработване на лични данни.
Казусът, довел до решението, също е свързан с немски администратор на лични данни – търговско дружество и ръководената от него корпоративна група, в която всички предприятия обработват лични данни на физически лица, наематели на жилищни и търговски площи. В рамките на извършена проверка е установено, че незаконосъобразно се събират и съхраняват лични данни в електронна архивна система. Основните несъответствия на системата са две – тя не позволява да се проследи дали съхраняването на конкретни данни е необходимо, а също така няма функционалност, която да гарантира заличаването на личните данни при отпадане нуждата от съхранението им. За тези нарушения на администратора е наложена имуществена санкция за близо 15 милиона евро.
В решението си Съдът на Европейския съюз дава две изключително важни тълкувания по приложението на ОРЗД в частта му относно санкционирането на нарушителите, а именно:
За налагане на имуществена санкция по ОРЗД на юридическо лице не е необходимо да се установи конкретното физическо лице, извършило нарушението. Точният извършител съответно може да остане неизвестен, съществен е фактът на извършеното нарушение на правилата относно защита на личните данни.
Това означава също така, че юридическите лица могат да бъдат санкционирани за действията на своите представляващи и управляващи, но също така и за нарушенията на всяко лице, което действа от тяхно име в рамките на търговската им дейност.
За да се стигне до налагане на санкция обаче, действията трябва да са виновно извършени. Съдът приема, че за изпълнение на това изискване не е задължително администраторът да е знаел, че нарушава ОРЗД. Нещо повече, няма правно значение дали управителният орган на юридическото лице е знаел.
Достатъчно е да се установи, че действащият от името на дружеството не може да не е разбирал противоправния характер на прилаганата практика относно обработването на лични данни. Разбира се, това е въпрос, който във всеки един случай ще подлежи на изследване с оглед наличните факти и обстоятелства, свързани с нарушението.
Настоящата статия има единствено информативен характер и не представлява правна консултация или съвет.
За повече информация можете да се обърнете към:
Милеслава Богданова, Старши адвокат
mileslava.bogdanova@kdp-law.com
