GDPR Case 009. The Data Protection Ombudsman ordered Svea Ekonomi to correct its practices in the processing of personal data
GDPR Case 009. The Data Protection Ombudsman ordered Svea Ekonomi to correct its practices in the processing of personal data
GDPR:§22(automatic decision-making)
日期:24 April 2019
國家:芬蘭
關鍵字:自動化決策;演算法
GDPR:§22(automatic decision-making)
裁決:命令(適當處理資料)
摘要:
(1) 控管者 Svea Ekonomi 是一家財務信貸公司,因為兩件侵害案件遭到監管機關調查。最終,監管機關認定該公司應該改正其信用評估程序中,對於貸款人的評估程序及通知作業方法的缺失。
(2) 本案涉及用以評估貸款人的信譽(creditworthiness)的個人資料,以及貸款人對該等資料的資料主體權利等議題。
(3) 監管機關認為,根據《信用資訊法》(the Credit Information Act)對於信用資訊的定義,在評估信譽時,使用明確的年齡上限是不可接受的,因為貸款人的年齡並不能說明其還款能力、還款意願或履約能力。
(4) [事實上,]依據 Svea Ekonomi 提交與監管機關的帳戶資料顯示,該公司的自動決策系統在處理信貸申請時,根本不會考慮申請人的財務狀況(financial position)。
(5) 監管機關還指出,該公司的線上信用評等服務(on-line credit decision service),屬於 GDPR §22 所指之自動化決策(automatic decision-making),決策結果對於 Svea Ekonomi 公司與申請人是否締結契約,以及契約內容,至關重要。
(6) 因此,監管機關要求該公司改正相關評估貸款申請人信譽的個人資料處理方式,也必須向本案申訴人提供與自動化決策邏輯有關的資訊(the matter with information on the logic employed in automatic decision-making),在決定信譽時的作用(its role in making the credit decision),以及對申請人造成之影響。