Az olasz adatvédelmi hatóság (Garante) a közelmúltban két, ételkiszállítással foglalkozó társaság esetében is bírságot szabott ki az adatkezelők által alkalmazott automatizált döntéshozatali megoldásaik működésével kapcsolatos adatvédelmi hiányosságok miatt. A két ügyben összesen több, mint 5 millió euró összegű bírságot szabott ki a hatóság (a Foodinho esetében 2,5 millió eurót, míg a Deliveroo esetében 2,6 millió eurót).
A GDPR 22. cikke szerint, az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Ez a korlátozás nem alkalmazandó abban az esetben, ha a döntés:
a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.
A fenti a) és c) pontok alkalmazása esetén is - legalább - azt kell biztosítani az érintettek részére, hogy az érintett az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
A fenti a)-c) esetben hozott döntések - főszabály szerint - nem alapulhatnak a személyes adatok különleges kategóriáin, kivéve, ha az érintett ehhez kifejezetten hozzájárult (9. cikk (2) bekezdés a) pont) vagy az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján (9. cikk (2) bekezdés g) pont), és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.
A Foodinho-ügy
A Foodinho esetében egy olyan ételkiszállítással foglalkozó online platformról van szó, amely nagyjából 19 ezer futárt "mozgat". (A vizsgálatot egyébként az olasz hatóság az AEPD-vel, a spanyol adatvédelmi hatósággal együtt indította, mivel a Foodinho által használt platformnak a GlovoApp23 nevű spanyol cég a tulajdonosa, amely egyben a Foodinho anyavállalata is. A spanyol eljárás lezárásáról még nem jelent meg információ.)
A vizsgálat tárgyát a futárok munkavégzését "figyelemmel kísérő" algoritmus képezte, mivel felmerült, hogy az algoritmus működése nem kellően átlátható és úgy születnek egyedi automatizált döntések a futárok tekintetében, hogy a GDPR által az ilyen döntéshozatallal szemben támasztott feltételek nem teljesülnek megfelelően.
A vizsgálat arra a megállapításra jutott, hogy az algoritmus diszkriminatív döntéseket hoz, amikor a futárokat kizárja a munkavégzésből olyan esetekben, ha az értékelésük egy meghatározott szint alá esik (ráadásul a negatív értékelések nagyobb súllyal esnek latba, mint a pozitív visszajelzések). Továbbá nem biztosított a GDPR-ban egyébként előírt emberi beavatkozás kérésének a lehetősége, illetve a döntések kifogásolása.
A Garante az alábbi jogsértéseket állapította meg az algoritmus alkalmazásával kapcsolatban:
- nem volt biztosított az átlátható tájékoztatás a platform értékelési rendszerével kapcsolatban, sőt az automatizált döntéshozatalra nem is volt információ a tájékoztatóban, így a az alkalmazott logikára és arra vonatkozóan sem voltak elérhető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír),
- nem kerültek megfelelő garanciák kialakításra annak biztosítására, hogy az algoritmus által, a futárok értékelése kapcsán meghozott döntések pontosak és tisztességesek legyenek (pl. a negatív értékelések felülsúlyozása),
- a GDPR 22. cikke szerinti garanciák hiánya, különösen atekintetben, hogy az érintettek számára nem volt biztosított az emberi beavatkozás kérésének lehetősége, illetve a döntéssel kapcsolatos álláspont kifejezésének és a döntés kifogásolásának lehetősége,
- megfelelő adatvédelmi hatásvizsgálat hiánya,
- megfelelő technikai és szervezési intézkedések hiánya,
- a beépített adatvédelem elvének figyelmen kívül hagyása (különösen az adattakarékosság elvének a sérelme, illetve a hozzáférési jogok egyes esetekben túl széleskörű biztosítása miatt).
A fentieken túl is feltárt az adatkezelőnél általános hiányosságokat a vizsgálat:
- az algoritmussal kapcsolatos tájékoztatási kötelezettség hiányos teljesítése mellett egyéb tájékoztatási kötelezettségeinek sem tett maradéktalanul eleget a társaság (pl. a megőrzési idők vonatkozásában csak általános információk voltak elérhetők),
- nem adtak tájékoztatást az érintetteknek az adatvédelmi tisztviselő elérhetőségéről, illetve ezeket az olasz hatóságnak sem jelentették be, pedig adatvédelmi tisztviselő csoportszinten kijelölésre került (korábban a Foodinho anyacége kapott már bírságot Spanyolországban amiatt, hogy nem jelöltek ki adatvédelmi tisztviselőt),
- egyes adatkörök esetében túl hosszú adatmegőrzési idők kerültek alkalmazásra,
- az adatvédelmi nyilvántartásuk vezetése sem volt megfelelő, mert hiányoztak belőle GDPR szerinti kötelező információk.
A 2,6 millió eurós bírságon túlmenően további intézkedések megtételét is előírta a hatóság. Ezek, többek között, az alábbiakra terjednek ki:
- olyan intézkedések alkalmazása, amelyek az értékelő rendszer nem megfelelő és/vagy diszkriminatív alkalmazásával szemben védelmet jelentenek,
- az érintetti jogok védelmét biztosító intézkedések megtétele (különösen az emberi beavatkozás lehetőségének biztosítása az automatizált döntéshozatal kapcsán),
- a rendszer által használt adatok pontosságának és relevanciájának az ellenőrzését biztosító intézkedések bevezetése,
- adatmegőrzési határidők meghatározása,
- dokumentációk megfelelő tartalommal való elkészítése, és a különböző dokumentumok közötti összhang megteremtése.
(Az eredeti határozat olasz nyelven elérhető itt. Az olasz hatóság által a döntésről közzétett rövid angol nyelvű összefoglaló pedig elérhető itt. Az ügy angol nyelvű összefoglalója itt, míg magyar nyelvű összefoglaló az ügyről és főbb tanulságairól dr. Domokos Mártontól itt olvasható. További angol nyelvű összefoglaló és háttér a Techcrunch-on.)
A Deliveroo-ügy
A Foodinho-ügyben hozott döntést követően nem sokkal egy másik ételkiszállítással foglalkozó céget is megbírságolt az olasz hatóság, szintén a futárok tekintetében alkalmazott algoritmussal kapcsolatban megállapított hiányosságok miatt. A Deliveroo Italy által használt platformot a társaság anyavállalata működtette ír szervereken és kb. 8 ezer futár adatainak a kezelésére került sor. Az algoritmus alkalmazására a munkaszervezés, illetve a megrendelések kiosztása kapcsán került sor.
A Deliveroo algoritmusa kapcsán is a megfelelő transzparencia hiánya okozta a legnagyobb problémát, nem volt világos az érintetteknek, hogy az algoritmus milyen alapon osztja ki a feladatokat a futárok számára. A Deliveroo állítása szerint a vizsgálatot követően módosított az algoritmuson, ugyanakkor a Garante álláspontja szerint a Deliveroo felelőssége, hogy rendszeresen ellenőrizze az algoritmus eredményeinek helyességét annak érdekében, hogy ezzel minimalizálja a torzított vagy diszkriminatív hatások kockázatát. Ezen túlmenően azt is megállapította a hatóság, hogy egyes adatokat túl hosszú ideig őrizték meg, illetve a helymeghatározási adatok gyűjtésére túlzott mértékben került sor.
A 2,5 millió euró összegű bírság mellett a Garamte felhívta a Deliveroot, hogy 60 napon belül orvosolja a jogsértéseket és további 90 napon belül tegye meg a szükséges további változásokat az algoritmussal kapcsolatban.
(Az eredeti olasz nyelvű határozat elérhető itt. Az ügy angol nyelvű összefoglalója elérhető itt és itt.)
A két ügy tanulságai adatkezelők számára
Talán nem véletlen, hogy rövid időn belül két, sok szempontból hasonló ügy került az olasz adatvédelmi hatóság elé az algoritmusok alkalmazásával történő döntéshozatal kérdéskörét érintően, hiszen egyre több szolgáltatás kapcsán találkozhatunk ilyen megoldásokkal. Közös elem, hogy mindkét esetben az automatizált döntéshozatalt a vizsgált cégek által foglalkoztatott érintettek vonatkozásában alkalmazták. A két ügyben hozott határozatok alapján az alábbiakra mindenképpen érdemes odafigyelnie az adatkezelőknek, ha automatizált döntéshozatallal járó megoldásokat alkalmaznak:
- a beépített és alapértelmezett adatvédelem elveinek alkalmazása a kezdetektől, azaz már akkor érdemes figyelembe venni az adatvédelmi szempontokat, amikor az automatizált folyamatok kialakítását megkezdik és az alkalmazott algoritmusok fejlesztése megkezdődik,
- kiemelten fontos a transzparencia biztosítása az algoritmus működésével és hatásaival kapcsolatban,
- az algoritmus eredményeinek rendszeres ellenőrzése szükséges, hogy az esetleges hibák, téves, adott esetben diszkriminatív döntések korrigálhatók legyenek,
- az érintetti jogok gyakorlásának megfelelő mechanizmusait biztosítani szükséges (különös tekintettel az emberi beavatkozás kérésének a lehetőségére),
- adatvédelmi hatásvizsgálat elvégzése és megfelelő dokumentálása (ez segíthet abban is, hogy a fenti feltételeknek megfelelően kerüljön kialakításra a folyamat).