Automated decision-making та fintech проєкти: як профілювати законно за GDPR?

Профайлинг є не просто звичною, а часто життєво необхідною справою для фінтех-компаній. Автоматичне прийняття рішень на основі персональних даних про клієнта має великий вплив із значними наслідками на останнього, а тому існують певні законодавчі вимоги для таких операцій. У цій статті ми розберемо особливості регулювання automated decision-making і профайлингу за GDPR, та на що Вашому фінтех-бізнесу варто звернути увагу.

Автоматизоване прийняття рішень та профайлинг в контексті фінтех-операцій

Загальний регламент із захисту даних (GDPR) у пункті 71 Преамбули вказує на те, яким саме вважається рішення, що прийняте автоматично:

“рішення, яке може включати захід, що оцінює особисті аспекти, яке ґрунтується виключно на автоматизованій обробці та яке має юридичні наслідки щодо суб’єкта даних або аналогічним чином суттєво впливає на нього або неї, наприклад, автоматична відмова в онлайн-заявці на кредит або практика електронного найму без будь-якого втручання людини.”

Також GDPR у ст. 22 встановлює право для суб’єктів даних не підлягати рішенню, яке ґрунтується виключно на автоматизованій обробці, включаючи профайлинг, яке має для нього юридичні наслідки або аналогічним чином суттєво впливає на нього.

Отже, автоматизоване рішення повинне мати такі ознаки:

• прийматись виключно за допомогою автоматизованої обробки;
• рішення несе для суб’єкта даних юридичні або подібні наслідки.

Виключно автоматизована обробка означає, що рішення приймаються без втручання людини. Автоматичні рішення можуть базуватись як напряму на персональних даних, які надає клієнт, так і на створених даних – наприклад, на результаті скорингу клієнта через аналіз його кредитної історії.

Юридичні наслідки означають, що рішення впливатиме на юридичні права та статус особи, або на її права за договором. Прикладом є укладення або розірвання договору. Навіть якщо права чи обов’язки особи внаслідок прийнятого рішення не змінюються, суб’єкт даних може все одно зазнати такого впливу, що потребуватиме захисту.

Щодо профайлингу, то така операція з обробки даних також є поширеною практикою у сфері фінтех.

Профайлинг – це будь-яка форма автоматизованої обробки персональних даних, яка полягає у використанні персональних даних для оцінки певних особистих аспектів, що стосуються фізичної особи, зокрема для аналізу або прогнозування аспектів, що стосуються результатів роботи цієї фізичної особи, її економічного становища, здоров’я, особистих уподобань, інтересів, надійності, поведінки, місцезнаходження або пересувань.

Результатом профайлингу є віднесення особи до певної категорії, або ж присвоєння їй певного профілю. Наприклад, Ваша компанія перед наданням кредиту аналізує кредитну історію Вашого клієнта, і на основі цього присвоює його до категорії “низький ризик неповернення боргу”.

Для фінтех бізнесу важливо розуміти, які операції все таки підпадають під вимоги GDPR щодо автоматичного прийняття рішень та профайлингу, а які ні. Нижче ми розберемо сферу дії вже згаданої ст. 22 GDPR.

Обмеження статті 22 GDPR та практичні наслідки застосування

Статтю 22 GDPR варто трактувати як загальну заборону автоматичного прийняття рішень та визначені винятки із такої заборони. Положення ст. 22 GDPR не поширюватимуться, якщо автоматичне рішення:

• є необхідним для укладення або виконання договору між суб’єктом даних та контролером (тобто Вашою компанією);
• є дозволеним законодавством Європейського Союзу або відповідної держави-члена, і яке також передбачає відповідні заходи для захисту прав і свобод та законних інтересів суб’єкта даних;
• базується на явній згоді суб’єкта даних;
• не ґрунтується виключно на автоматизованій обробці;
• не має юридичних або подібних наслідків.

На практиці, через комплексність операцій з обробки даних, контролери можуть помилково вважати, що їхні операції підпадають або ж не підпадають під загадні вище вимоги GDPR.

До прикладу, у рішенні 10 U 61/25 e Бамберзький суд (Німеччина) вказав, що ст. 22(1) GDPR не застосовна, якщо автоматичний скоринг сам по собі не є рішенням, що має юридичні або аналогічні значні наслідки для суб’єкта даних. Автоматизована обробка повинна безпосередньо визначати результат для суб’єкта даних без незалежного прийняття рішення третьою стороною. У випадках, коли такі актори як банки лише враховують оцінку скорингу поряд з іншими факторами, необхідний причинно-наслідковий зв’язок відсутній. Аналогічно Суд Справедливості ЄС у справі C-634/21 (SCHUFA) підкреслив, що ст. 22 GDPR застосовується лише в тих випадках, коли результат скорингу відіграє вирішальну роль в остаточному рішенні, що має оцінюватися в кожному окремому випадку.

Необхідна документація та інші вимоги щодо комплаєнсу

GDPR покладає певні обов’язки і щодо документації, яка стосується автоматичного прийняття рішень та профайлингу, оскільки під час обробки персональних даних необхідно дотримуватись принципу відповідальності (accountability). Як ключовий інструмент принципу відповідальності, Data Protection Impact Assessment (DPIA) дозволяє контролеру оцінити ризики, пов’язані з автоматизованим прийняттям рішень, включаючи профайлинг. Таким чином Ви можете продемонструвати, що були вжиті відповідні заходи для усунення цих ризиків, та продемонструвати комплаєнс із вимогами GDPR. Також, DPIA є не просто зручним оцінюванням, а також й імперативною вимогою ст. 35 GDPR:

“DPIA є необхідним у разі … систематичної та всебічної оцінки особистих аспектів, що стосуються фізичних осіб, яка ґрунтується на автоматизованій обробці, включаючи профайлинг, і на якій ґрунтуються рішення, що мають юридичні наслідки для фізичної особи або аналогічним чином суттєво впливають на фізичну особу”

DPIA також може бути корисним способом для контролера визначити, які заходи можливо вжити для усунення ризиків, пов’язаних із автоматизованою обробкою. Такими заходами можуть бути:

• інформування суб’єкта даних про існування та логіку автоматизованого процесу прийняття рішень;
• пояснення значення наслідків обробки для суб’єкта даних;
• надання суб’єкту даних засобів для оскарження рішення;
• надання суб’єкту даних можливості висловити свою точку зору щодо результату обробки.

Ще однією вимогою є призначення Data Protection Officer (DPO) у випадках, коли профайлинг та/або автоматизоване прийняття рішень є основною діяльністю контролера і вимагає регулярного та систематичного моніторингу суб’єктів даних у великих масштабах. Оскільки фінтех компанії часто (а у випадках кредитних або мікрокредитних установ – завжди) обробляють дані клієнтів через згадані операції, призначення DPO є життєво необхідною процедурою для такого бізнесу.

Рекомендації щодо найкращих практик обробки через ADM та профайлинг

У цьому розділі ми наведемо приклади найкращих практик щодо обробки персональних даних через автоматизоване прийняття рішень та профайлинг, які допоможуть фінтех компаніям побудувати комплаєнтну архітектуру обробки персональних даних. 

1. Контролер повинен розглянути можливість використання чітких і прозорих способів надання інформації суб’єкту даних про обробку даних, вказавши наприклад:
   • категорії даних, які були або будуть оброблятись в процесі профайлингу або прийняття рішень;
   • як визначається профіль, включаючи будь-які статистичні дані, що використовуються в аналізі;
   • чому цей профіль є релевантним для автоматизованого процесу прийняття рішень;
   • тощо.
2. Регулярні перевірки Ваших систем допоможуть переконатися, що до суб’єктів даних ставляться справедливо і не дискримінують їх в ході профайлингу та прийняття рішень.
3. Використання анонімізації та псевдонімізації у ході автоматизованої обробки.
4. Впровадження механізму втручання людини у прийняття рішень, наприклад через запит на перевірку рішення через посилання на вебсайті.

Legal IT Group допоможе із GDPR комплаєнсом!

Ми знаємо, як допомогти фінтех бізнесу забезпечити комплаєнс із GDPR в ході профайлингу та автоматичного прийняття рішень. Звертайтесь до професіоналів із приватності Legal IT Group за формою нижче – рухатимемось до комплаєнсу разом!