2023. december 7-én az Európai Unió Bírósága (EUB) előzetes döntéshozatali eljárásban C‑634/21. ügyszámon ítéletet hozott, amelyben az Európai Unió általános adatvédelmi rendelete, a GDPR automatizált döntéshozatalra vonatkozó előírásait meglehetősen kiterjesztően értelmezte. Az ítélet minden bizonnyal nagy hatással lesz a joggyakorlatra a személyes adatok kezelésén alapuló automatikus döntések megítélésével kapcsolatban. Mielőtt rátérnék az ítélet bemutatására, először is röviden tekintsük át a GDPR értelmezett rendelkezéseit és az összefüggő magyar joggyakorlatot.
Az automatizált döntéshozatal szabályai a GDPR-ban
A GDPR tartalmazza több helyen az automatizált döntéshozatal kifejezést, viszont a fogalmát nem határozza meg. Az Európai Adatvédelmi Testület elődjének tekinthető ún. 29. cikk szerint működő Adatvédelmi Munkacsoport WP251-es számú 2017-ben kiadott iránymutatása szerint az automatizált döntéshozatal az a képesség, hogy technológiai eszközök segítségével, emberi beavatkozás nélkül hoznak döntéseket. A kizárólag automatizált döntéshozatalban tehát nincs emberi részvétel a döntési folyamatban. A gép által meghozott döntést a legtöbb esetben az adatok valamilyen automatikus értékelésének kell megelőznie.
A GDPR-ban fontos elem továbbá a profilalkotás fogalma, amely – az automatizált döntéshozatallal ellentétben – már konkrétan szerepel a rendeletben. Ezek szerint a profilalkotás célja egy természetes személy személyes jellemzőinek értékelése. A profilalkotás tehát egy természetes személyről való információgyűjtést és a jellemzőik vagy a viselkedési mintáik értékelését jelenti annak érdekében, hogy bizonyos kategóriába vagy csoportba sorolja őt. A besorolás célja lehet az érintett érdeklődési körének, a tőle várható magatartásnak, vagy bizonyos képességeinek értékelése. Később a felállított személyiségprofilt megannyi további célra lehet felhasználni, így például az alapján személyre szabott üzeneteket, vagy szolgáltatásokat lehet eljuttatni az érintettnek, vagy értékelni lehet a viselkedését és előre lehet jelezni bizonyos várható magatartásait adott helyzetben.
A GDPR 22. cikke az automatizált döntéshozatallal és profilalkotással kapcsolatosan külön előírásokat tartalmaz azokra az esetekre amikor a kizárólag automatizált adatkezelésen alapuló döntés az érintett személyre nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Ezekben az esetekben az érintett jogosult arra, hogy ne terjedjenek ki rá az ilyen döntések. Ez gyakorlatilag egy általános tilalom, amely az érintett személyek magánszférájára komoly behatással járó és kizárólag automatizált adatkezelésen alapuló döntéshozatali folyamatok alkalmazását tiltja. A tiltást azonban csak azokban az esetekben kell alkalmazni, amikor az joghatással, vagy hasonló jelentős hatással jár az érintett természetes személyre nézve és azt kizárólag egy automatizmust hozzá, emberi beavatkozás nélkül. A GDPR megfogalmazása tehát egyértelművé teszi, hogy ezek az előírások csak az emberek magánszférájára komoly behatást jelentő esetekre terjednek ki.
Joghatás lehet olyasmi is, ami befolyásolja a személy jogállását vagy szerződésen alapuló jogait, például olyan automatizált döntések, amik eredményeként szerződést mondanak fel, a törvény által biztosított szociális ellátást ítélnek oda vagy tagadnak meg. A homályosabban megfogalmazott hasonlóképpen jelentős hatásra példa lehet egy online hitelkérelem automatikus elutasítása, emberi beavatkozás nélkül folytatott online munkaerő-toborzás vagy egyetemi felvételi.
A GDPR tájékoztatási kötelezettséget ír elő az adatkezelő részére a kizárólag automatizált adatkezelésen alapuló, joghatással vagy hasonlóan jelentős hatással járó döntéshozatallal és ezen alapuló profilalkotással kapcsolatban. Ennek keretében – az általános előírások mellett – a következő három információt kell közölni az érintettel:
-Tájékoztatni kell az ilyen típusú adatkezelés tényéről;
-érdemi tájékoztatást kell adni az alkalmazott logikáról;
-és végül arról is, hogy az adatkezelés milyen jelentőséggel és milyen várható következményekkel bír az érintettre nézve.
A kapcsolódó eddigi magyar joggyakorlat
A GDPR 22. cikkének értelmezésére korábban a magyar joggyakorlatban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elhíresült Budapest Bank döntése kapcsán volt példa (ügyszám: NAIH-85-3/2022). A határozat szerint a bank közel négy éven keresztül olyan mesterséges intelligencia alapú hangelemző megoldásokat alkalmazott, amely automatikusan elemezte az ügyfélszolgálatra betelefonáló valamennyi érintett hangját. Ennek során a telefonáló és az ügyintéző közötti beszélgetést leiratozta, annak főbb jellemzőit (hossza, szavak száma, szünetek ideje stb.) mérte. Kiszűrte a beszélgetésekben előre meghatározott kulcsszavak, kifejezések előfordulását, valamint vizsgálta a beszéd jellemzőit (hangerő, hangmagasság, hangtónus stb.). Ezek alapján az ügyfelek érzelmi állapotára vont le következtetéseket. A szoftver ezek alapján a hívás eredményességére és megfelelőségére vonatkozó értékeléseket végzett, amelyekről statisztikákat készített és vizuálisan is ábrázolt. Az eredmények alapján kiválasztott hívásokat a bank magasabb beosztású kollégája megvizsgálta és megállapította, melyik elégedetlen ügyfelet szükséges visszahívni. A bank az elemzéseket a hívások minőségellenőrzéséhez, az ügyintézők munkája értékeléséhez, egyéni fejlesztés meghatározásához és a folyamatok hatékonyságának javításához használta.
A NAIH a fenti adatkezeléssel kapcsolatban több jogsértést állapított meg a határozatában, többek között az adatkezelés jogalapjának hiányosságait, az érintetti jogok közül a tiltakozás lehetőségének hiányát és az érintettek elégtelen tájékoztatását. Témánk szempontjából érdemes megemlíteni, hogy a NAIH megállapította, hogy bár automatizált döntéshozatal (a visszahívandók listájának szoftver általi összeállításakor) megvalósult, azonban a joghatás vagy hasonló jelentős mértékű hatás nem érte a döntés érintettjeit. Ilyen döntés – a lista alapján visszahívandó személyek meghatározása – már emberi beavatkozással történt, így a hatóság nem állapította meg a GDPR 22. cikk (1) bekezdés alkalmazhatóságát.
Az EUB értelmezése az automatizált egyedi döntésekről
A fentiek után tekintsük át, hogy az EUB milyen tényállás alapján és hogyan értelmezte a GDPR 22. cikkét. Az EUB előtti eljárásnak az volt az előzménye, hogy egy magánszemély panaszt nyújtott be a SCHUFA Holding AG (SCHUFA) nevű német vállalat ellen Hessen tartomány adatvédelmi biztosához.
A SCHUFA szolgáltatásának lényege, hogy a szerződéses partnerei számára információkat nyújt magánszemélyek fizetőképességéről. Ennek érdekében matematikai és statisztikai eljárások segítségével az adott személy bizonyos jellemzői alapján minden egyes érintett személyhez egy értéket („score”) rendel. A megállapított score‑értékeket arra használják, hogy előre jelezzék például azt, hogy az adott személy mennyire megbízható egy kölcsön visszafizetését illetően. Ezt más, hasonló jellemzőkkel rendelkező személyek csoportjához való hozzárendelése alapján végzik.
Egy hitelintézet megtagadta a kölcsönnyújtást a SCHUFA által összeállított kedvezőtlen információkat követően a panaszos esetében. A panaszos kérte a SCHUFA‑t, hogy biztosítson számára hozzáférést a rá vonatkozó adatokhoz, és törölje az állítása szerint hibás adatokat. A SCHUFA azonban csak a score‑értékét és annak kiszámításának általános módszerét közölte vele, a kérelem többi része, így például az alkalmazott logika kapcsán pedig üzleti titokra hivatkozott. A panaszos ezek után terjesztette elő a panaszát a SCHUFA ellen a hesseni adatvédelmi biztosnál. A biztos elutasította a panaszt azzal az indokkal, hogy a SCHUFA tevékenysége megfelel a fizetőképességre vonatkozó valószínűségi érték használatára vonatkozó német jogszabályoknak.
Az adatvédelmi biztos határozatával szemben a panaszos keresetet nyújtott be a wiesbadeni közigazgatási bírósághoz (Verwaltungsgericht Wiesbaden). A bíróság a GDPR 22. cikkének értelmezését kérte az EUB-től előzetes döntéshozatali eljárásban.
Az ügyben 2023. december 7-én meghozott ítéletében az EUB három olyan feltételt emelt ki, amelyeknek teljesülniük kell ahhoz, hogy egy adatkezelés automatizált egyedi döntéshozatalnak minősüljön:
- a személyes adatok alapján döntést kell hozni;
- a döntés kizárólag automatizált feldolgozáson alapulhat, ideértve a profilalkotást is;
- és az egyénre nézve joghatással kell járnia, vagy más módon az egyénre hasonlóan jelentős hatást kell kiváltania.
Az EUB szerint a SCHUFA vizsgált tevékenysége kapcsán mindezek a feltételek teljesültek.
Az EUB értelmezése szerint az automatizált egyedi döntés fogalmába beletartoznak az olyan cselekmények, mint a hitelbírálati pontszám kiszámítása, mivel ez jelentős befolyással bír az egyénre nézve. Az EUB megállapította azt is, hogy a hitelezők nagymértékben támaszkodnak a scoring során kiszámított pontszámra, mivel amikor a fogyasztó hitelkérelmet nyújt be egy bankhoz, a scoring során megállapított kedvezőtlen érték szinte minden esetben azt eredményezni, hogy a bank elutasítja a hitelkérelmet. A banki ügyintéző tehát további valós mérlegelés nélkül, formálisan elfogadja az algoritmus által kiszámított érték alapján javasolt döntést.
A bíróság hangsúlyozta, hogy ha a SCHUFA scoring eljárása nem tartozna a GDPR 22. cikkének hatálya alá, akkor nem lenne köteles érdemi tájékoztatást adni az egyénnek a döntés logikájáról. Az EUB megjegyezte, hogy a hitelező valószínűleg nem rendelkezik ezekkel az információkkal, és nem tudná átadni azokat az egyénnek. Ez pedig olyan joghézagot eredményezne, amely miatt az egyén nem részesülhet hatékony védelemben, nem lenne számára átlátható az őt érintő döntés alapját adó adatkezelés.
Az EUB arra is kitért, hogy amennyiben a SCHUFA adatkezelésére a GDPR 22. cikk alkalmazandó, úgy az tiltja az ilyen döntések automatizált meghozatalát fő szabály szerint. A tilalom csak abban az esetben oldható fel, ha az automatizált egyedi döntéshozatal:
- az érintett és az adatkezelő közötti szerződés megkötéséhez vagy teljesítéséhez szükséges, vagy
- ezt az EU vagy a tagállamok jogszabályai engedélyezik, vagy
- ahhoz az érintett előzetesen kifejezett hozzájárulását adta.
Ebben az ügyben a kérdést előterjesztő német bíróság arra a következtetésre jutott, hogy az ilyen típusú automatikus egyedi döntések meghozatalára vonatkozó általános tiltást feloldó egyetlen alkalmazható eltérés az uniós vagy a tagállami jog, tehát a fentiek közül a második lehetőség lehet.
Mivel az adatvédelemről szóló német szövetségi törvény 31. §-a meghatározza a scoring használatának szabályait, ezért a német bíróság úgy találta, hogy a scoring előállításával kapcsolatos automatikus adatkezelések ezen a jogszabályon alapulhatnak, ezért az jogszerű lehet. Az EUB minden esetre megjegyezte, hogy a kérdést előterjesztő német bíróság feladata annak megállapítása, hogy ezek a szabályok az automatizált egyedi döntéshozatal alkalmazását engedélyező tagállami jogszabálynak, azaz a GDPR 22. cikk szerinti tilalom alóli mentességnek minősülnek-e.
Az EUB döntésének következményei
Az EUB tehát a GDPR 22. cikkének alkalmazhatóságát kifejezetten kiterjesztően értelmezte. A meglehetősen progresszív felfogás alapján, tehát hiába hozza meg a konkrét végső döntést a hitel- vagy kölcsönnyújtással kapcsolatban a hitelintézet emberi munkatársa, a döntés alapját adó scoring érték kiszámítására vonatkozó eljárás akkor is automatizált egyedi döntéshozatalnak fog minősülni. Ennek oka, hogy a döntési folyamat végén álló emberi hitelügyintéző szinte minden esetben elfogadja, tehát gyakorlatilag csak formálisan jóváhagyja az algoritmusok által javasoltakat. Az EUB ezzel kapcsolatban kifejezetten utalt az adatkezelésnek az érintett számára való átláthatóságára. Az adatkezelő tehát nem mentheti ki magát az alkalmazott logikáról való tájékoztatás alól, csupán arra való hivatkozással, hogy a konkrét döntést a hitel- vagy kölcsönnyújtásról ember hozza meg, ha ez az ember már valós mérlegelést szinte egyáltalán nem végez.
Kritikaként fogalmazható meg az EUB döntésével kapcsolatban, hogy ha pl. egy hitelreferencia-ügynökség olyan pontszámot ad ki, amelyre a végső döntést hozók nem támaszkodnak nagymértékben – például azért, mert a hitelezők jelentős súlyt tulajdonítanak más tényezőknek –, akkor a pontszám kiadására nem vonatkozna a 22. cikk.
Az is elgondolkodtató, hogy a NAIH Budapest Bank határozatában a 22. cikk alkalmazásának hiánya vajon az EUB döntésének fényében is megállná-e a továbbiakban a helyét. Véleményem szerint ennek kapcsán azt lett volna szükséges vizsgálni (pl. statisztikai alapon), hogy az ügyfelek visszahívásáról való végső emberi döntést valóban mérlegelik, vagy arra szintén minden esetben sor kerül, ha azt a szoftver javasolja. Ezen kérdés eldöntése azonban merően hipotetikus, hiszen a NAIH döntését már jogerősen jóváhagyta közigazgatási perben a Fővárosi Törvényszék is.
Az mindenesetre elmondható, hogy az EUB fontos szempontokkal gazdagította a GDPR értelmezését és rávilágított arra, hogy az algoritmusok által végzett adatkezelés akkor is kiszolgáltatott helyzetbe hozhatja az egyént, ha a folyamatok végén a formális döntést mégsem egy gép, hanem egy emberi lény hozza meg.
__________________________________________________________
Készült a Mesterséges Intelligencia Nemzeti Laboratórium és a 138965. számú NKFIH pályázat keretében, valamint az Európai Unió RRF-2.3.1-21-2022-00004 projekt, az Innovációs és Technológiai Minisztérium, a Nemzeti Kutatási, Fejlesztési és Innovációs Hivatal támogatásával.
__________________________________________________________
Az írás a szerző véleményét tartalmazza, és nem értelmezhető a TK hivatalos állásfoglalásaként.