https://doi.org/10.59851/mj.72.08.9
2023. december 7-én az Európai Unió Bírósága (a továbbiakban: EUB vagy Bíróság) ítéletet hozott a SCHUFA Holding és társai ügyben (a továbbiakban: SCHUFA-ügy)[1]. Az ítélet az automatizált döntéshozatal, valamint a profilalkotás és a GDPR összefüggéseinek egyes kérdéseivel foglalkozik, különös tekintettel arra, hogy milyen jellegű és mértékű információt szükséges az automatizált döntés érintettjével megosztani a döntés mögötti algoritmusok működéséről. Az ítélet e tekintetben mérföldkövet jelentett, azonban mégsem volt teljes körű. Ezt a hiányosságot látszik pótolni a másfél évvel később meghozott Dun & Bradstreet-ítélet.
Jogeset száma: C-203/22. sz. Dun & Bradstreet Austria-ügyben hozott ítélet
Kulcsszavak: automatizált döntéshozatal; GDPR; SCHUFA-ügy; adatvédelem; profilalkotás; mesterséges intelligencia szabályozása; algoritmusok átláthatósága; alapvető jogok; üzleti titok
On 7 December 2023, the Court of Justice of the European Union (hereinafter: the Court) delivered a judgment in the case of SCHUFA Holding and Others (hereinafter: the SCHUFA case). The judgment addressed certain aspects of automated decisionmaking and profiling with respect to the GDPR, with particular regard to the nature and extent of information that needs to be shared with the person affected by the automated decision. The judgment represented a milestone, however, it was not comprehensive. The gap left by this judgment appears to be filled by the Dun & Bradstreet ruling, delivered approximately one and a half years later, which contributes further to framing algorithmic decision-making within a clear legal context.
Keywords: automated decision-making; GDPR; Schufa case; data protection; profiling; AI
Az alapügy tényállása szerint egy mobiltelefon-szolgáltató cég megtagadta a szerződéskötést egy olyan magánszeméllyel (CK-val), akit a hitelképessége ellenőrzésénél fizetőképtelennek ítéltek. A magánszemély által igényelt előfizetés havi 10 eurós költséggel járt volna, a hitelképesség ellenőrzése pedig automatizált döntéshozatallal, vagyis emberi beavatkozás nélkül, pusztán technikai eszközök alkalmazásával történt, amelyet a Bismode Austria (jelenleg: Dun & Bradstreet Austria GmbH) nevű társaság végzett. Az ellenőrzés során egy algoritmus a rendelkezésre álló adatok alapján végzett számítást, és csupán ez a számítás képezte annak a döntésnek az alapját, amely szerint CK hitelképessége nem lett megfelelő. CK erősen sérelmezte a fizetőképességére vonatkozó eredményt, így az osztrák adatvédelmi hatósághoz fordult, és "érthető információkat" kért a Dun & Bradstreettől arra vonatkozóan, hogy mi volt a döntéshozatal alapjául szolgáló logika. Az adatvédelmi hatóság helyt adott ennek a kérelemnek, és kötelezte a céget az információk átadására.
A Dun & Bradstreet megtámadta a hatóság határozatát a szövetségi közigazgatási bíróság előtt, és arra hivatkozott, hogy további információkat nem oszthat meg CK-val, mivel azok üzleti titkok; így csak annyit közölt, hogy az ellenőrzés során "CK bizonyos szociodemográfiai adatait egyenértékű módon összesítették".[2] A szövetségi közigazgatási bíróság 2019. október 23-i határozatában részben megerősítette az adatvédelmi hatóság álláspontját, kötelezve ezzel ismét a társaságot az eredmény alapjául szolgáló logika megosztására, illetve ennek hiányában megfelelő magyarázat adására arra vonatkozóan, hogy miért nem tájékoztatja az érintettet. Tekintettel arra, hogy ez az ítélet jogerőssé vált, CK kérte a végrehajtását, azonban a bécsi önkormányzat mint végrehajtó hatóság elutasította a kérelmét azon az alapon, hogy már elegendő információhoz jutott az érintett. CK ekkor fordult a kérdéseket előterjesztő bécsi közigazgatási bírósághoz.
Az alapügy egyik fő kérdése tehát az volt, hogy - tekintettel az uniós jogi előírásokra, így elsősorban az általános adatvédelmi rendelet (továbbiakban: GDPR)[3] vonatkozó rendelkezéseire - pontosan milyen információk átadására lenne szükség a döntés és a döntési logika megértéséhez. A nemzeti bíróság előtt kirendelt szakértő szakvéleményében azt állította, hogy a Dun & Bradstreetnek a számítást végző algoritmus egyes elemeire vonatkozó adatokat, valamint egy mintaanyagot is át kellene adnia 25 másik érintett adataival ahhoz, hogy az eredmény és az az alapjául szolgáló tények összevethetőek legyenek. További jogkérdésként jelentkezett, hogy a Dun & Bradstreet arra hivatkozva is megtagadta az adatok átadását, hogy az algoritmusra vonatkozó információk üzleti titok tárgyát képezik, ezért kérdéssé vált, hogy milyen viszony áll fent az érintettek hozzáférési joga és az üzleti titok védelme között.
A bécsi közigazgatási bíróság felfüggesztette az eljárást, és az EUB-hoz fordult a GDPR és az üzleti titkok védelméről szóló irányelv[4] értelmezését kérve.
Az előterjesztett kérdések alapvetően a GDPR 12., 15. és 22. cikkeinek és az üzleti titok irányelv 9. cikkének együttes értelmezésére irányultak. A GDPR 22. cikke az
- 532/533 -
automatizált döntéshozatalra vonatkozó szabályokat írja le. Ehhez kapcsolódik a 15. cikk (1) bekezdés h) pontja, amely az érintettek számára biztosítja, hogy amennyiben személyes adataikat automatikus döntéshozatalhoz, profilalkotáshoz használják, érthető információt kapnak az ott alkalmazott logikáról, és arról, hogy milyen várható következményekkel jár egy ilyen adatkezelés. Ezen felül a GDPR 12. cikke azt a követelményt támasztja az érintettek tájékoztatásával kapcsolatban, hogy annak tömörnek, átláthatónak, érthetőnek, könnyen hozzáférhetőnek, világosnak és közérthetőnek kell lennie. Arra azonban a rendelet és a rendelkezésre álló joggyakorlat nem adott választ, hogy automatikus döntéshozatal és profilalkotás esetén milyen kritériumrendszer esetén minősül "érthetőnek" az érintettnek nyújtott információ, valamint arra sem, hogy milyen viszonyban áll a hozzáférés joga az üzleti titok kategóriájába eső információkkal. Ennek következtében a 2016/943 irányelv 9. cikkének értelmezése is szükségessé vált.
Korábban a SCHUFA-ügyben hozott ítéletében az EUB először mondta ki, hogy egy természetes személy jövőbeli fizetőképességére vonatkozó valószínűségi érték automatizált kiszámítása a GDPR 22. cikke szerinti automatizált egyedi döntésnek minősül. Az EUB hangsúlyozta, hogy a 22. cikk olyan szűkítő értelmezése, amely szerint a scoring[5] kizárólag előkészítő jellegű adatkezelési műveletként lenne kezelhető, a szabályozásban joghézaghoz vezetne, és gyengítené az érintettek védelmét. Az ítélet megerősítette továbbá, hogy a GDPR 15. cikk (1) bekezdés h) pontja alapján az érintetteket megilleti a jog az automatizált döntéshozatal logikájára vonatkozó érthető információkhoz való hozzáféréshez.
A C-634/21. sz. ügyben hozott ítélet ugyanakkor nem tért ki részletesen arra, hogy ez a tájékoztatási kötelezettség milyen mélységű és részletezettségű információnyújtást követel meg az adatkezelőtől. Ez a hiányosság bizonytalanságot okozott mind az adatkezelők, mind az érintettek oldalán. A részletszabályok hiányában az adatkezelők saját mérlegelésük alapján határozhatták meg, hogy milyen mértékű és tartalmú tájékoztatást nyújtanak az érintettek számára. A gyakorlat azonban nemcsak az átláthatóság elvével állt ellentétben, hanem a tájékoztatást gyakran formálissá és kevéssé érdemivé tette. A probléma különösen akkor vált kritikussá, amikor az adatkezelők üzleti titokra hivatkozva tagadják meg az algoritmikus döntéshozatal logikájának feltárását, ellehetetlenítve ezzel az érthető magyarázathoz való jog érvényesülését.
Mindez az érintettek részéről is gyakorlati jelentőséggel bír a GDPR-ban biztosított további jogok - így különösen az automatizált döntéssel szembeni tiltakozás, az emberi beavatkozás kérelmezése, valamint a jogorvoslathoz való jog - gyakorlása esetében, ahol előfeltétel a 15. cikk (1) bekezdés h) pontja szerinti, érthető és tényleges információ megismerése. Ennek elmaradása éppen azon információs alapot gyengítheti, amelyre az érintetti jogok gyakorlása épül.
A fenti hiányosságot a Bíróság Dun & Bradstreet-ügyben hozott ítélete igyekezett orvosolni, ahol rámutatott, hogy az "érthető információ" fogalmába minden olyan releváns információ beletartozik, amely a személyes adatok meghatározott eredmény elérése érdekében, automatizált módon történő felhasználásának eljárására és elveire vonatkozik,[6] ugyanakkor a könnyebb megértés érdekében "valós és kézzelfogható" példákkal kell ezeket kiegészíteni.[7]
Az EUB emlékeztetett arra, hogy GDPR 71. preambulumbekezdése szerint magyarázatot kell nyújtani a döntéssel kapcsolatban mind az alapul szolgáló mechanizmusra, mind az eredményre vonatkozóan. Az ítélet ezen megállapítása a ténylegesen alkalmazott eljárások és elvek magyarázatához való jogot emeli ki. Mindebből kiolvasható, hogy a 15. cikk h) pont szerinti hozzáférési jognak való megfelelés érdekében önmagában a jogosultakkal matematikai képletek megosztása vagy a lépések részletes ismertetése nem lehet elégséges, mivel az nem felel meg a "tömör és érthető" megfogalmazás kitételének (12. cikk).[8] Az EUB megállapította, hogy a hozzáférési jog érvényesülésének elsődlegesen az a célja az, hogy a 22. cikk (3) bekezdésében elismert döntéssel kapcsolatos álláspont kifejtéséhez és a kifogás emeléséhez való joggal élhessen az érintett.[9]
Az ítélet szerint az adatkezelőnek az érintett tájékoztatására egy egyszerű módot kell találnia a döntés okairól, a döntés alapjául szolgáló kritériumokról és a logikáról, de így sem feltétlenül köteles az alkalmazott algoritmusok összetett magyarázatára vagy a teljes algoritmus megosztására. Úgy kell tehát leírni az eljárást és az alkalmazott elveket, hogy érthető legyen, és az összetettség ne mentse fel az adatkezelőt e kötelezettsége alól.[10]
Ehhez kapcsolódóan az EUB visszautal egy, a SCHUFA-ügyben tett megállapítására, amely szerint a 15. cikk szerinti hozzáférési jog, valamint a 13. cikk f) pont szerinti és a 14. cikk (2) bekezdés g) pont szerinti, az adatkezelőt terhelő tájékoztatási kötelezettséggel egységet alkot.[11] Az automatizált döntéshozatal esetében azért szükséges ilyen szigorú követelmények támasztása, hogy védelmet nyújtsanak az érintetteknek a felmerülő különleges kockázatokkal szemben.
Emellett az EUB felhívja a figyelmet az átláthatósági követelmények megtartására és a 12. cikk szerinti adat-
- 533/534 -
kezelőt érintő azon kötelezettségre, hogy intézkedéseket tegyen a megértés elősegítése érdekében.
Az ítélet 64. és 65. pontja részletezi a szolgáltatott információk és a tények ellentétességének kérdését. Az EUB szerint a "tényleges" profilalkotás során használt adatok szerinti eredmény és a CK felé szolgáltatott adatok szerinti eredmény különbségei a korábban említett "alkalmazott logikára vonatkozó érthető információk" közé tartoznak.[12] Így a Dun & Bradstreet köteles tömör, átlátható, érthető és könnyen hozzáférhető módon kifejteni azokat az eljárásokat és elveket, amelyek alapján a "tényleges" profilalkotás eredményéhez jutott. A személyes adatok pontosságának ellenőrzését a 15. cikk bevezető mondatához köti az EUB, arra hivatkozással, hogy a hozzáférési jognak lehetővé kell tennie az érintett számára, hogy megbizonyosodjon arról, hogy a rá vonatkozó személyes adatok helyesek, és azokat jogszerűen kezelik.[13]
Az érintetti jogok és mások alapvető jogai, valamint az üzleti titok kérdésében az EUB kiemeli, hogy a személyes adatok védelme nem abszolút jog, vagyis korlátozható, de csak más alapvető jogok érvényesüléséhez szükséges és arányos mértékben.[14] A személyes adatok védelméhez való jog - közelebbről a 15. cikk h) pontja szerinti hozzáférési jog - korlátozása ennek alapján akkor lehetséges, ha a korlátozás tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát.
A GDPR (63) preambulumbekezdése alapján a hozzáférési jog nem érintheti hátrányosan mások jogait és szabadságait, az üzleti titkokat, viszont ez nem eredményezheti minden információ megtagadását a jogosulttól.[15] Nem sérti az üzleti titkot annak hatósággal vagy bírósággal való közlése, ezeknek a szervek feladata ugyanis mérlegelni a jogokat és érdekeket a hozzáférési jog terjedelmének meghatározása miatt. Önmagában az a tény, hogy egy információ üzleti titok, nem jelentheti a hozzáférési jog teljes korlátozását.
Az EUB döntése értelmében a tagállami rendelkezések, amelyek főszabályként teljes mértékben kizárják a GDPR 15. cikke szerinti hozzáférési jog érvényesülését, abban az esetben, ha ez adatkezelő üzleti titkát veszélyezteti, nincs összhangban a GDPR követelményeivel, mivel a jogok és érdekek közötti súlyozás csak esetről esetre határozható meg.[16]
A mások jogaival és szabadságaival való egyensúly megteremtése érdekében a nemzeti bíróság dönthet amellett, hogy közölni szükséges vele harmadik személyek adatait annak érdekében, hogy az ügy teljes ismeretében, és az arányosság elvének szem előtt tartásával súlyozza a fennálló érdekeket.[17] Ilyen esetben a nemzeti bíróság hozhat olyan döntést, amely szerint a személyes adatok ellenérdekű fél számára történő részben vagy egészben hozzáférhetővé tétele nem lépi túl azt a mértéket, amely szükséges az Alapjogi Charta 47. cikkében foglalt jogok gyakorlásához.[18]
A döntés megerősítette, hogy a GDPR keretei között a tájékoztatás és az átláthatóság biztosítása nem pusztán formai követelmény, hanem alapvető jogokat szolgáló garancia.
Az ítélet egyik legfontosabb konzekvenciája, hogy az adatok tömeges tárolása, felhasználása és az algoritmusok általi vagy a mesterséges intelligencia alapú adatkezelések elterjedése közepette elkerülhetetlen a személyes adatok védelmének kérdését tovább vizsgálni az Európai Unióban. A személyes adatokra azért van szükség az egyes szolgáltatások kapcsán, mert így lehet elérni a személyre szabható szolgáltatások egyediesítését. A GDPR a technológiasemlegesség[19] mellett garantálja a személyes adatok védelmét, mivel kötelezettségeket fogalmaz meg az adatkezelőkkel szemben, és jogot formál az egyének számára, hogy kontrollálhassák az adataik kezelését.[20]
Az Európai Unió Adatvédelmi Testülete úgy foglalt állást,[21] hogy a GDPR jelenlegi rendelkezései elegendőek a mesterséges intelligencia/algoritmus általi személyes adatok feldolgozásának a biztonságos keretek között tartásához. A GDPR nem tartalmaz külön az algoritmusokra és MI-rendszerekre vonatkozó szabályokat, ennek oka pedig a technológiasemlegesség, amely a GDPR preambulumában olvasható.[22]
Ebből a szempontból úgy jelen ítélet, minként a korábbi SCHUFA-ítélet is előrelépést jelentenek. A két ítélet kiegészíti egymást, különösen arra tekintettel, hogy a GDPR technológiasemleges megközelítése alapján a jövőben is több helyen szükséges lesz az esetjogra támaszkodni az algoritmusok és a mesterséges intelligencia használatának körében.
A fenti ítéletek meghozatala előtt az egyik legnagyobb ellentét a GDPR és az algoritmusok, illetve a mesterséges intelligencia között abban mutatkozott meg, hogy egy-egy érintettnek nem volt könnyű megérteni az algoritmusok komplexitását, illetve hogy a rendszerek működésére vonatkozó információ gyakran az üzleti titok kategóriájába esik.
A Dun and Bradstreet-ítélet alapján viszont immár világossá vált, hogy a GDPR megfelelő értelmezésével
- 534/535 -
feloldható ez az ellentét. Nincs szükség a működési logika olyan jellegű leírására, amely túl komplexnek bizonyulna az érintettek számára, bár az mindenképp kétséges, hogy az adatkezelők hogyan találják meg azt a nem technikai nyelven leírt bemutatását egy algoritmusnak vagy MI-rendszernek, amivel megfelelhetnek a GDPR követelményeinek.
Mivel a technológiai eszközök részvétele az adatkezelésben jelentős kockázatokkal járhat az érintettek számára, így az ezen a módon végzett adatkezelés során kiemelt figyelmet kell fordítani az adatvédelmi és adatbiztonsági elvárásokra.
Mindkét ítélet előrevetíti a mesterséges intelligenciáról szóló rendelet[23] 86. cikkéből is következő megközelítést és szellemiséget, amely előírja, hogy a mesterséges intelligenciával meghozott döntéseket érthetően és részletesen meg kell magyarázni. Így az EUB jelen ítélete közvetlenül befolyásolja az MI-rendszerek jövőbeli jogi megfelelését. ■
JEGYZETEK
[1] Az Európai Unió Bíróságának 2023. december 7-ei ítélete, SCHUFA Holding és társai (Scoring), C-634/21.
[2] A C-203/22. sz ítélet (a továbbiakban: ítélet) 20. pontja.
[3] AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet, GDPR).
[4] Az Európai Parlament és a Tanács (EU) 2016/943 irányelve (2016. június 8.) a nem nyilvános know-how és üzleti információk (üzleti titkok) jogosulatlan megszerzésével, hasznosításával és felfedésével szembeni védelemről.
[5] Pontszámítás: egy matematikai-statisztikai módszer, amelynek célja valószínűségi becslést adni egy személy jövőbeli viselkedésére, különösen a pénzügyi kockázatok szempontjából. A gyakorlatban leggyakrabban a hitelképesség értékelésére használják.
[6] Ítélet 43. pontja.
[7] Ítélet 45. pontja.
[8] Ítélet 57. pontja.
[9] Ítélet 55. pontja.
[10] Ítélet 60. pontja.
[11] Ítélet 46. pontja.
[12] Ítélet 65. pontja.
[13] Ítélet 53. pontja.
[14] Ítélet 68. pontja.
[15] Ítélet 69. és 70. pontja.
[16] Ítélet 75. pontja.
[17] Ítélet 73. pontja.
[18] Ítélet 75. pontja.
[19] GDPR (15) preambulumbekezdése.
[20] GDPR (6) és (7) preambulumbekezdése.
[21] EUROPEAN DATA PROTECTION BOARD: Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models - 17 December 2024, 19-20., https://www.edpb.europa.eu/system/files/2024-12/edpb_opinion_202428_ai-models_en.pdf
[22] GDPR (15) preambulumbekezdése.
[23] Az Európai Parlament és a Tanács 2024. június 13-i (EU) 2024/ 1689 Rendelete a mesterséges intelligenciára vonatkozó harmonizált szabályok megállapításáról, valamint a 300/2008/EK, a 167/2013/EU, a 168/2013/EU, az (EU) 2018/858, az (EU) 2018/ 1139 és az (EU) 2019/2144 rendelet, továbbá a 2014/90/EU, az (EU) 2016/797 és az (EU) 2020/1828 irányelv módosításáról (a mesterséges intelligenciáról szóló rendelet).
Lábjegyzetek:
[1] A szerző PhD-hallgató, ELTE ÁJK .
Visszaugrás