top of page

Automatizované rozhodování vs. GDPR

Obrázek autora: Josef BátrlaJosef Bátrla

S rychlým rozvojem umělé inteligence se v praxi stále více uplatňuje i automatizované individuální rozhodování. S tím se však pojí přísná pravidla! Abyste neskončili jako německá banka, která dostala pokutu 300 tisíc eur, musíte zejména subjekt údajů důkladně informovat.

Dříve to byl blockchain, pak NFT a dnes je to umělá inteligence. V rámci firemních strategií se v dnešní době nemluví téměř o ničem jiném než o tom, jak tuto „novou technologii“ implementovat do podnikatelských aktivit, jak zrychlit prodej nebo jak si ulehčit práci. Prakticky každý den se objevují nové příklady implementace umělé inteligence a jejího konkrétního využití.


Málo se však pamatuje na to, že v případě osobních údajů existují určité legislativní mantinely, jež platí pro všechny, kteří se rozhodnou tuto technologii využít. O tom se přesvědčila jedna německá banka, jež si za nedodržení pravidel GDPR vysloužila pokutu 300 tisíc eur (přibližně 7,1 milionu korun).


Automatizované individuální rozhodování

Pokud zpracováváte osobní údaje automatizovaně tak, že na základě určitých vstupů (osobních údajů) vám systém generuje rozhodnutí, jež mají právní či obdobný dopad pro subjekt údajů (respektive se ho obdobným způsobem významně dotýkají), pohybujete se v mezích takzvaného automatizovaného individuálního rozhodování, jak jej popisuje čl. 22 GDPR.


Automatizovanému individuálnímu rozhodování se v minulosti věnovala i skupina WP29, která na toto téma vydala již v roce 2017 vodítka. V těchto vodítkách se dočtete spoustu podstatných informací, které blíže vysvětlují požadavky GDPR vztahující se na tuto technologii. Jmenovitě podmínky a předpoklady pro použití automatizovaného individuálního rozhodování, ale také související povinnosti, mezi než patří zejména povinnost poskytnout informace o zpracování.

Využíváte-li automatizované individuální rozhodování, musíte o tom subjekt informovat

Transparentnost

Transparentnost při zpracování osobních údajů je jedním ze základních pilířů GDPR. V rámci automatizovaného individuálního rozhodování to platí obzvláště. Podle WP29 by měl správce subjektu údajů minimálně sdělit skutečnost, že taková zpracování probíhají, dále mu poskytnout smysluplné informace, které se použitého postupu týkají, a také mu vysvětlit význam a předpokládané důsledky zpracování. Pro pochopení významu této povinnosti je třeba si uvědomit, že za poskytnutí (a pochopení informací ze strany subjektu údajů) je prakticky odpovědný správce. Totéž platí zejména pro vysvětlení významu a předpokládaných důsledků zpracování. Zjednodušeně řečeno, správce by se měl postarat o to, aby dobře vysvětlil subjektům údajů jednotlivé dopady automatizovaného individuálního rozhodování. Pokud toto neudělá, porušuje GDPR.

PŘÍKLAD Z VODÍTEK WP29


Aby stanovila výši pojistného motorových vozidel, používá pojišťovací společnost automatizované rozhodování spočívající v monitorování zákazníkova chování za volantem. Pro ilustraci významu a předpokládaných důsledků zpracování vysvětlí, že nebezpečné řízení může vyústit ve vyšší pojistné, přičemž poskytne aplikaci pro srovnání fiktivních řidičů, včetně takových, kteří mají nebezpečné řidičské návyky jako prudké zrychlování a brzdění na poslední chvíli. S pomocí grafiky poskytne tipy, jak zdokonalit své návyky a v důsledku toho získat nižší pojistné.


Vysvětlení negativního dopadu

Výše uvedené se stalo jedné německé bance, která odmítla poskytnout subjektu údajů informace o důvodech, proč zamítla jeho žádost o kreditní kartu. V uvedeném případě totiž banka poskytovala online formulář pro žádost o vystavení kreditní karty a po vyplnění osobních údajů došlo automaticky ke schválení nebo odmítnutí žádosti. Sama banka vyžadovala různé údaje, které se týkaly příjmů, zaměstnání či jiných osobních údajů, a ty pak spojovala s údaji z dalších externích zdrojů. Na základě těchto údajů banka vytvořila kritéria, jež se automatizovaně užívala pro jednotlivé případy.

Za to, že subjekt údajů pochopí informace o zpracování, zodpovídá správce

Právě to se nelíbilo jednomu zákazníkovi, který s ohledem na své pravidelné vysoké příjmy pochyboval o správnosti rozhodnutí, v rámci nějž došlo k automatickému zamítnutí jeho žádosti. Obrátil se tedy na banku s žádostí o poskytnutí dodatečných informací, načež se mu dostalo pouze obecného poučení o procesu bodování, které však nebylo zaměřeno na jeho konkrétní situaci, a nemělo tak pro žadatele informační hodnotu. Zároveň banka odmítla žadateli poskytnout konkrétní informace o tom, proč si myslí, že je žadatel nezpůsobilý pro získání kreditní karty. Tím však žadateli významně ztížili jeho právo takové automatizované individuální rozhodování napadnout.


Tento postup se nezamlouval berlínskému dozorovému úřadu, který jej považuje za nesouladný s GDPR, neboť dle úřadu jsou správci povinni svá automatizovaná individuální rozhodnutí odůvodnit platným a srozumitelným způsobem, a to tak, aby dotčený subjekt údajů pochopil s tím spojené konsekvence. V tomto případě zamítavého rozhodnutí tak banka měla informovat subjekt údajů o databázi a rozhodovacích faktorech, jež vedly ke konkrétnímu zamítnutí.


Banka po celou dobu řízení s úřadem spolupracovala, pochybení uznala a svoje procesy změnila. S přihlédnutím k vysokému obratu banky ji toto pochybení vyšlo na 300 tisíc eur ve formě pokuty.


Pravidla platí i pro AI

Používání umělé inteligence je bezesporu výzvou pro všechny, právníky nevyjímaje. Pamatujte proto na pravidla spojená s automatizovaným individuálním rozhodováním, a to nejen při získávání právního titulu, ale také při poskytování informací.


コメント


bottom of page