Tyto otázky byste si měli klást, pokud používáte automatické algoritmy, například k posuzování splnění určitých kritérií či rozhodování o požadavcích klientů. Algoritmizace je sice moderní a efektivní způsob pro automatizované řešení, a tudíž i ke snížení nákladů, ale je nezbytné myslet na regulatorní požadavky, které se s ní váží. Jinak hrozí pokuty a další negativní následky.
Pokuta 300.000 euro pro banku
Pravidla používání algoritmů připomněl berlínský dozorový orgán pro ochranu osobních údajů jedné bance, když ji začátkem roku 2023 vyměřil pokutu 300 000 euro právě za netransparentní automatizované rozhodnutí. Banka na svých webových stránkách nabízela kreditní kartu, kterou mohli uživatelé získat po zadání požadovaných údajů. Žádosti posuzoval právě algoritmus, který na základě zadaných dat a dat z externích zdrojů sám, bez lidského zásahu, rozhodoval, zda bude mít uživatel na kreditní kartu nárok či nikoliv.
Se zamítnutím žádosti se však nesmířil uživatel s dobrou bonitou a relativně vysokým pravidelným příjmem. Po bance se dožadoval vysvětlení, proč byla jeho žádost vyřízena negativně. Banka v reakci sice předložila obecné informace o bodovém hodnocení, ale odmítla sdělit, proč byla v jeho případě žádost zamítnuta.
Tohoto zdůvodnění se neúspěšný zájemce o kreditku domohl až prostřednictvím stížnosti, jejímž následkem byla, kromě nařízení poskytnout více informací, právě i tučná pokuta.
Transparentnost jako společný požadavek různých regulací
Princip transparentnosti je základem regulace ochrany soukromí, ochrany osobních údajů, jakož i ochrany spotřebitele a s tím spojené informační povinnosti. Informace v rukou uživatelů jsou totiž prvním předpokladem pro jakoukoliv změnu, iniciativu či kontrolu nad zásahem do jejich práv.
Dotčené osoby, klienty, zaměstnance apod., je nezbytné informovat o aplikovaných pravidlech, procesech a jejich právech.
Princip transparentnosti při zpracování osobních údajů je zakotven v čl. 5 odst. 1 písm. a) nařízení GDPR. Čl. 12 GDPR doplňuje, že správce údajů musí dotčeným osobám poskytnout informace o tom, jak nastavil algoritmy, které na základě vyprofilovaných uživatelů zobrazují určitý obsah nebo jinak modifikují, co se uživateli na webové stránce odehraje či zobrazí. Pokud pak dojde k zamítnutí žádosti prostřednictvím automatizovaného zpracování, pak musí být dotčený subjekt údajů informován i o podkladech, z nichž rozhodnutí vycházelo, a o konkrétních důvodech pro zamítnutí dané žádosti.
Jak se GDPR uplatní na profilování klientů?
Další povinnosti při automatizovaném rozhodován í vymezuje čl. 22 GDPR. Ten výslovně zakazuje, aby byli uživatelé předmětem rozhodování, jež je založené výhradně na automatizovaném zpracování, včetně profilování, a které má pro ně právní účinky nebo se jich obdobným způsobem významně dotýká. Nejedná se o plošný zákaz automatizovaného rozhodování, ale zákaz takového postupu, při němž do žádného z mezikroků rozhodování nebyl zapojen člověk a současně má jeho výstup na danou osobu významné důsledky.
Příkladem může být algoritmus rozhodující o nároku řidiče na uzavření havarijního pojištění či posuzující kvalifikaci uchazeče o zaměstnání. Pokud by bylo v těchto příkladech rozhodnutí založeno výhradně na automatizovaném zpracování údajů, bylo by takové rozhodnutí zakázáno, jelikož možnost uzavřít havarijní pojištění či získat práci sice nemá na danou osobu přímé právní účinky, ale rozhodnutí se dané osoby „obdobným způsobem významně dotýká“.
Výjimky z tohoto zákazu jsou podle čl. 22 odst. 2 GDPR hned tři.
První z nich je rozhodnutí, které je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů. Kritérium nezbytnosti se však musí v tomto ohledu posuzovat přísně, jelikož nesmí existovat jiný méně invazivní způsob, jak k takovému cíli dospět.
Pod druhou výjimkou se skrývá povolení automatizovaného rozhodování právem EU či členského státu, za které lze považovat například monitorování podvodů a daňových úniků podle zvláštních právních předpisů.
Poslední výjimkou je pak výslovný souhlas dotčených osob, tedy souhlas s vyššími nároky na konkrétnost a jednoznačnost udělení subjektem údajů.
Co hrozí? Pokuta a soud
Při využívání algoritmů a nástrojů pro automatizované rozhodování je tak potřeba dbát na jejich transparentnost. Dotčené osoby musí být informovány, na základě jakých kritérií algoritmus dojde ke konečnému verdiktu. Pokud se navíc jedná o automatizované rozhodování, které má pro dotčenou osobu právní nebo obdobně závažné účiny, a do něhož nevstupuje v žádné fázi lidský faktor, je takové automatizované rozhodování až na výjimky zakázáno.
Porušení těchto povinností představuje riziko pokuty až do výše 20 000 000 EUR, nebo (jedná-li se o podnik) až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší.
Automatizované rozhodování o právech, která probíhá v rozporu s GDPR či jinou regulací, může být také napadeno soudní cestou. Neúspěšný zájemce o produkt, nebo naopak klient, jemuž bylo poskytování služeb na základě automatizovaného rozhodnutí ukončeno, se může domáhat i náhrady způsobené škody.