Każdy z nas jest profilowany nawet wtedy, gdy nie do końca zdaje sobie z tego sprawę. Bank na podstawie zautomatyzowanej oceny decyduje o naszej zdolności kredytowej, algorytmy na stronach internetowych decydują, jakie reklamy wyświetlić, aplikacja muzyczna podpowiada utwory, które mogą nam się spodobać. Mało kto zdaje sobie sprawę, co ma wpływ na jego ocenę. Jest to szczególnie problematyczne, gdy na tej podstawie przedsiębiorca podejmuje decyzję o odmowie udostępnienia jakiejś usługi.
Taka sytuacja spotkała klientkę austriackiego operatora tele komunikacyjnego, której nie chciano przedłużyć umowy. Firma, która na zlecenie telekomu przeprowadziła ocenę zdolności kredytowej, uznała, że klientka nie będzie w stanie płacić 10 euro miesięcznie. Kobieta na podstawie art. 15 RODO (patrz: infografika) zażądała informacji na temat zasad profilowania. Otrzymała je. Problem polegał na tym, że zgodnie z ujawnionymi kryteriami profilowania Austriaczka powinna mieć bardzo wysoką zdolność kredytową. Dlatego też zażądała szczegółowych informacji na temat dokładnych zasad zautomatyzowanej oceny. Sąd poprosił Trybunał Sprawiedliwości Unii Europejskiej o pomoc w rozstrzygnięciu, jak szczegółowe dane powinna wskazać firma profilująca.
Wyczerpujące informacje
Rzecznik generalny TSUE Jean Richard de la Tour w swojej opinii z jednej strony podkreśla, że przekazane informacje muszą być na tyle dokładne, by klient mógł sam sprawdzić poprawność wyników profilowania. Z drugiej strony jednak podkreśla, że chodzi wyłącznie o informacje proste i łatwe do zrozumienia, a nie techniczne, zrozumiałe dla ekspertów.
„Oznacza to, w pierwszej kolejności, że osoba ta powinna móc uzyskać zwięzłe, łatwo dostępne i łatwe do zrozumienia oraz sformułowane jasnym i prostym językiem informacje o metodzie i kryteriach zastosowanych przy podejmowaniu tej decyzji. W drugiej kolejności informacje te powinny być dostatecznie wyczerpujące i uwzględniające kontekst, aby umożliwić tej osobie sprawdzenie ich prawidłowości oraz tego, czy istnieje możliwa do obiektywnego zweryfikowania spójność i związek przyczynowy między, z jednej strony, zastosowaną metodą i zastosowanymi kryteriami, a z drugiej strony, wynikiem zautomatyzowanego podejmowania decyzji” – można przeczytać w uzasadnieniu opinii.
Wojciech Klicki, prawnik z Fundacji Panoptykon, uważa, że to oznacza obowiązek przekazania bardzo szczegółowych informacji – nie tylko dokładnych kryteriów stosowanych przy profilowaniu, lecz także ich znaczenia.
– Skoro bowiem osoba profilowana ma mieć możliwość weryfikacji końcowych wyników, to musi wiedzieć, w jaki sposób zostały one uzyskane – przekonuje Wojciech Klicki.
Panoptykon już kilka lat temu próbował się dowiedzieć, jakie metody stosują polskie banki, dlatego poprosił wolontariuszy, by zażądali od swoich kredytodawców wskazania kryteriów stosowanych podczas scoringu. Odpowiedzi niewiele wyjaśniały. Banki podawały jedynie ogólne kryteria, jak np. wysokość wynagrodzenia, bez wyjaśnienia, jakie jest ich znaczenie przy ocenie kredytowej.
Najnowsza opinia zdaniem Klickiego może zmienić ten stan rzeczy.
– Wnioski rzecznika można uznać za wręcz rewolucyjne. Moim zdaniem wynika z nich, że administrator nie może stosować algorytmów, których działania nie jest w stanie wyjaśnić. Skoro bowiem w opinii stwierdzono wprost, że administrator ma obowiązek w zrozumiały sposób poinformować, jakie kryteria i metody zostały użyte podczas zautomatyzowanej oceny, to nie może stosować algorytmów, których sam nie rozumie – ocenia prawnik.
Oznaczałoby to, że do profilowania nie można używać tak zwanych black boxów, czyli oprogramowania, którego proces działania nie jest dokładnie znany. Podobnie jak to, że firmy w Polsce nie mogłyby używać oprogramowania narzuconego im przez zagraniczne spółki matki, którego zasady funkcjonowania są objęte tajemnicą.
Godzenie różnych interesów
Inni zapytani przez nas eksperci uważają natomiast, że w rzeczywistości opinia jest wyważona i nie będzie miała zbyt dużego wpływu na praktykę.
– W gruncie rzeczy daje tylko ogólnikowe wskazówki co do zasad wyważania interesów administratora i podmiotu danych. Administrator powinien wiedzieć, jak działa używany przez niego algorytm, ale w praktyce często podejmuje się zautomatyzowane decyzje na podstawie wyników otrzymanych od innego podmiotu oferującego scoring lub też np. używa się algorytmów sztucznej inteligencji, których sposób działania jest często nieprzejrzysty. Dlatego trudno w wielu przypadkach podać zastosowane „metodę i kryteria”, jak chce rzecznik – komentuje dr hab. Arwid Mednis, wykładowca WPiA UW i wspólnik w kancelarii Kobylańska Lewoszewski Mednis. – Algorytmy scoringowe to zwykle bardzo rozbudowane mechanizmy zawierające wiele cech, zmiennych i wag i trudno określić, która cecha i które zmienne zadecydowały o określonym wyniku.
Emocje studzi również dr Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński. Opinię ocenia jako salomonową, zaznaczając, że co do zasady zgadza się z tym salomonowym podejściem. – Obecnie wszyscy jesteśmy narażeni na zalew informacji związanych z przetwarzaniem naszych danych osobowych: od informacji przy gromadzeniu danych aż po informacje o naruszeniach. To powoduje w naturalny sposób zobojętnienie osób, które te informacje otrzymują. Tymczasem, jak wynika z badań Krajowego Instytutu Mediów, w 2022 r. jedynie 6,5 proc. użytkowników deklarowało, że czyta regulaminy serwisów społecznościowych – zauważa prawnik.
– Stąd moim zdaniem konieczność podawania tych informacji w sposób zwięzły, jasny i łatwo zrozumiały, jak proponuje rzecznik – dodaje, zwracając uwagę na fragment opinii, zgodnie z którym informacje powinny być z jednej strony wystarczające do zweryfikowania poprawności oceny, ale z drugiej nie należy ujawniać „algorytmów wykorzystywanych przy zautomatyzowanym podejmowaniu decyzji”.
Przed organem bez tajemnic
Rzecznik generalny kładzie duży nacisk na to, by informacje na temat profilowania były przedstawiane w sposób łatwy do zrozumienia dla kogoś, kto nie dysponuje specjalistyczną wiedzą.
– Administrator nie musi więc dostarczać wysoce technicznych informacji (np. pełnych szczegółów algorytmu), jeśli nie są one zrozumiałe dla osoby bez spe cjalistycznej wiedzy. I to ma sens – przyznaje dr Łukasz Olejnik, niezależny konsultant cyberbezpieczeństwa.
– Jednak nie oznacza to, że osoby z dużą wiedzą techniczną nie mają prawa domagać się bardziej szczegółowych wyjaśnień. Informacje muszą być istotne, zrozumiałe i umożliwiać osobie, której dane dotyczą, sprawdzenie prawidłowości decyzji oraz zrozumienie, na jakich kryteriach się ona opierała. Jeśli o mnie chodzi, to mam doktorat z informatyki oraz LLM z prawa IT. Więc nie ma problemu ze zrozumieniem szczegółów technicznych. Bardzo chętnie przyjmę wszelkie detale. Z pewnością je zrozumiem – zaznacza ekspert.
Administrator na pewno nie musi ujawniać informacji, które stanowią tajemnicę przedsiębiorstwa. To zrozumiałe, gdyż to właśnie know-how coraz częściej stanowią podstawową wartość firm. O ile jednak te informacje mogą zostać utajnione przed klientami, to już nie przed organem, który ma rozstrzygnąć ewentualną skargę. W polskich realiach oznacza to, że prezes Urzędu Ochrony Danych Osobowych musi otrzymać szczegółowe i techniczne dane.
– Tylko w ten sposób administrator nie będzie sędzią we własnej sprawie, a niezależny organ będzie mógł ocenić, czy administrator zasadnie odmówił podmiotowi danych informacji – zauważa Wojciech Klicki. ©℗
orzecznictwo
Podstawa prawna
Opinia rzecznika generalnego Trybunału Sprawiedliwości UE z 12 września 2024 r. w sprawie C-203/22