Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) har utfärdat en sanktionsavgift på 492 000 euro mot ett företag inom finanssektorn för brott mot dataskyddsförordningen (GDPR).
Av beslutet framgår att företaget använde ett automatiserat system för att avgöra om kreditansökningar skulle godkännas eller inte, det vill säga beslut som fattats med hjälp av algoritmer utan mänsklig inblandning. Systemet avslog felaktigt ansökningar från kunder med god kreditvärdighet. När företaget därefter ombads att motivera besluten, brast det i sin skyldighet att ge tillräcklig information till de berörda.
HmbBfDI konstaterade att företaget brustit i sina skyldigheter enligt artiklarna 13 och 22 GDPR genom att inte säkerställa tillräcklig transparens och möjlighet till insyn i de automatiserade beslutsprocesserna. Enligt HmbBfDI fick de registrerade inte den information som krävs för att förstå grunderna för besluten eller för att kunna utöva sina rättigheter enligt GDPR.
Enligt HmbBfDI medför automatiserade beslut som fattas maskinellt på basis av algoritmer och utan mänsklig inblandning särskilda risker för de berörda personernas rättigheter och friheter. Användningen av sådana förfaranden är därför enligt bestämmelserna GDPR endast tillåten under strikta förutsättningar. Utöver dessa strängare krav på laglighet har de ansvariga ytterligare informationsskyldigheter, medan de berörda personerna har utökade rättigheter till information. Om de berörda personerna till exempel lämnar in en begäran om information till de ansvariga, är de ansvariga skyldiga att ge sökanden meningsfull information om den automatiserade beslutets logik.
Mot denna bakgrund utfärdade HmbBfDI en sanktionsavgift på 492 000 euro mot företaget. Vid beräkningen av sanktionsbeloppet beaktade HmbBfDI att företaget efter ingripandet har samarbetat väl med tillsynsmyndigheten och vidtagit åtgärder för att förbättra sina processer, vilket ansågs som en förmildrande omständighet.