Trybunał Sprawiedliwości Unii Europejskiej wydał 27 lutego 2025 r. orzeczenie w sprawie dotyczącej zautomatyzowanego podejmowania decyzji (w tym tzw. scoringu) dotyczącej zdolności kredytowej osoby fizycznej. Kierunek interpretacji TSUE ma znaczenie w ocenie korzystania z systemów sztucznej inteligencji i ujawnienia logiki stojącej za podejmowanymi decyzjami.

Trybunał odniósł się w orzeczeniu do dwóch kwestii. Po pierwsze, jak należy realizować prawo osoby fizycznej do informacji z art. 15 ust. 1 lit. h RODO o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO. Interpretacja sądu ma znaczenie dla korzystania systemów automatyzujących podejmowanie decyzji, która zgodnie z brzmieniem art. 22 ust. 4 RODO wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Po drugie, w jakim zakresie i komu podmiot stosujący algorytm podejmujący zautomatyzowane decyzje ma przekazać informacje w zakresie działania algorytmu? W tym aspekcie TSUE odwołał się do Dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/943 z dnia 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem.

Realizacja prawa osoby fizycznej

W pkt 50 orzeczenia TSUE wskazał, że „zgodnie z art. 15 ust. 1 lit. h RODO prawo osoby fizycznej do uzyskania istotnych informacji o zasadach zautomatyzowanego podejmowania decyzji obejmuje wszelkie istotne informacje dotyczące procedur i zasad wykorzystywania danych osobowych”. Następnie wskazał, że obowiązek przejrzystości wymaga, aby „informacje te były przekazywane w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie” oraz podkreślił, że „złożoność operacji w ramach zautomatyzowanego podejmowania decyzji, nie zwalnia administratora z obowiązku udzielenia wyjaśnień”.

W pkt 59 orzeczenia TSUE odniósł się do prawidłowego zrozumienia zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formy przekazywanych osobie fizycznej informacji. Według trybunału w Luksemburgu wymogów tych nie może spełniać „ani zwykłe przekazanie złożonego wzoru matematycznego, takiego jak algorytm, ani szczegółowy opis wszystkich etapów zautomatyzowanego podejmowania decyzji, ponieważ żaden z tych sposobów nie stanowi wystarczająco zwięzłego i zrozumiałego wyjaśnienia”. Podmiot stosujący algorytm nie tylko nie ma zatem obowiązku przekazania osobie fizycznej pełnych informacji dotyczących działania algorytmu, lecz powinien przekazać te informacje w formie zrozumiałej dla postronnej osoby.

Oczywistym wyzwaniem dla organizacji na tle tak sformułowanego orzeczenia jest wdrożenie polityki informacyjnej, w której wyważone będą stopień ogólności oraz spełnienie celów informacyjnych. Jest to istotne w celu uniknięcia potencjalnego postępowania administracyjnego lub sądowego. Takie postępowania narażają na szwank reputację i zwiększają ryzyko ujawnienia informacji stanowiących tajemnicę przedsiębiorstwa w przypadku postępowań wywołanych w celu pozyskania informacji poufnych.

Wpływ na biznes

Orzeczenie odnosi się do relacji pomiędzy realizacją prawa osoby fizycznej do informacji o zautomatyzowanym podejmowaniu decyzji a prawem przedsiębiorcy do zachowania informacji poufnych/tajemnicy przedsiębiorstwa, ponieważ dane i logika stojąca za systemem podejmującym decyzje mogą stanowić tajemnicę przedsiębiorstwa.

Wskazano, że jeżeli podmiot stosujący algorytm uważa, iż informacje zawierają dane osobowe osób trzecich lub tajemnice przedsiębiorstwa w rozumieniu art. 2 pkt 1 dyrektywy 2016/943, to jest zobowiązany do przekazania tych informacji właściwemu organowi nadzorczemu lub właściwemu sądowi. Następnie na organach nadzorczych lub sądzie spoczywa obowiązek wyważenia rozpatrywanych praw i interesów osób trzecich w celu ustalenia zakresu prawa dostępu do informacji przysługującego osobie fizycznej przewidzianego w art. 15 RODO.

W celu zdefiniowania tajemnicy przedsiębiorstwa TSUE odwołał się do art. 2 pkt 1 dyrektywy Parlamentu Europejskiego i Rady (UE) 2016/943 z 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem. W skrócie: informacje są poufne (stanowią tajemnicę przedsiębiorstwa), jeżeli:

  • nie są ogólnie znane lub łatwo dostępne dla osób, które zwykle zajmują się tym rodzajem informacji,
  • mają wartość handlową oraz
  • podane zostały przez osobę, która zgodnie z prawem sprawuje nad nimi kontrolę i podejmuje rozsądne działania dla utrzymania ich w tajemnicy.

Dla uznania informacji za poufną istotnym – i łatwo pomijanym – warunkiem jest podanie tych informacji przez właściwą osobę w organizacji. Wymaga to odpowiedniego przypisania roli i faktycznego wykonywania obowiązków.

Zakres danych przekazywanych do organu administracji lub sądu wynika z art. 58 ust. 1 lit. e RODO. Przepis ten wskazuje, że organowi nadzorczemu przysługują uprawnienia do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji jego zadań. Zatem sąd i organ mają uprawnienia do danych osobowych oraz niezbędnych informacji.

Z treści przepisu należy wnioskować, że prawo do uzyskania informacji dotyczących systemu nie jest absolutne. Przedsiębiorca jest zatem uprawniony do ograniczenia przekazywanych informacji do niezbędnego w kontekście danej sprawy zakresu – chodzi zarówno o informacje obejmujące dane osobowe osób trzecich, jak i o dane dotyczące samego systemu. Takie rozumienie potwierdza również pkt 71 komentowanego orzeczenia. Wskazano w nim, że „stosowanie prawa do uzyskania kopii z art. 15 ust. 4 RODO nie powinno naruszać praw i wolności innych osób, w tym tajemnicy handlowej lub własności intelektualnej, w szczególności praw autorskich chroniących oprogramowanie”.

Wnioski

Osoba fizyczna ma prawo do uzyskania informacji dotyczących zautomatyzowanego podejmowania decyzji. W mojej ocenie z orzeczenia pośrednio można wnioskować, że:

  • prawo osoby fizycznej jest w gruncie rzeczy ograniczone do przekazania ogólnych informacji na temat logiki i zasad podejmowanych decyzji przez algorytm;
  • merytoryczna kontrola poprawności działania systemu wykonywana jest przez organy administracji oraz sądy i musi się odbywać z poszanowaniem danych osobowych osób trzecich oraz tajemnicy przedsiębiorstwa stosującego system;
  • zakres informacji przekazywanych organom administracji lub sądom nie jest absolutny, tylko dotyczy niezbędnych informacji, na co wskazuje art. 58 RODO;
  • w przypadku korzystania z algorytmu osoby trzeciej podmiot stosujący powinien zapewnić sobie prawo do niezbędnych informacji o działaniu systemu.

Kluczowa jest realizacja obowiązku informacyjnego z art. 15 RODO, ponieważ istnieje zagrożenie, że takie postępowania przed organami publicznymi będą wykorzystywane do uzyskania dostępu do informacji o działaniu algorytmu przez konkurencyjne podmioty. ©℗

Dla uznania informacji za poufną istotnym – i łatwo pomijanym – warunkiem jest podanie tych informacji przez właściwą osobę w organizacji. Wymaga to odpowiedniego przypisania roli i faktycznego wykonywania obowiązków