EU-Hof verduidelijkt welke informatie een verwerkingsverantwoordelijke in de context van geautomatiseerde besluitvorming moet verstrekken
Nieuwsbericht | 11-03-2025
Het gaat om het arrest van het EU-Hof van 27 februari 2025 in de zaak C-203/22, Dun & Bradstreet Austria.
In Oostenrijk weigerde een aanbieder van mobiele telefonie een klant de mogelijkheid te bieden een overeenkomst te sluiten op grond dat haar kredietwaardigheid ontoereikend was. De marktdeelnemer heeft zich in dit verband gebaseerd op een geautomatiseerde beoordeling van de kredietwaardigheid van de klant door Dun & Bradstreet Austria, een onderneming die gespecialiseerd is in het verstrekken van dergelijke beoordelingen. Het contract zou een maandelijkse betaling van 10 euro inhouden.
In het daaropvolgende geschil heeft een Oostenrijkse rechter bij definitieve beslissing vastgesteld dat Dun & Bradstreet inbreuk had gemaakt op de Algemene Verordening Gegevensbescherming (AVG). Dun & Bradstreet had de klant betekenisvolle informatie over de betrokken logica bij de betrokken geautomatiseerde besluitvorming niet verstrekt. De onderneming had op zijn minst onvoldoende gemotiveerd waarom zij deze informatie niet kon verstrekken.
De rechter bij wie de klant de zaak aanhangig heeft gemaakt met het oog op de tenuitvoerlegging van die rechterlijke beslissing, vraagt zich af wat Dun & Bradstreet in de praktijk in dit verband moet doen. De verwijzende rechter heeft het EU-Hof derhalve verzocht om uitlegging van de AVG en de EU-richtlijn inzake de bescherming van bedrijfsgeheimen.
Volgens het EU-Hof moet de verwerkingsverantwoordelijke de procedure en beginselen die daadwerkelijk worden toegepast, op zodanige wijze beschrijven dat de betrokkene kan begrijpen welke van zijn persoonsgegevens bij de geautomatiseerde besluitvorming zijn gebruikt en hoe deze zijn gebruikt. Om aan de vereisten van transparantie en begrijpelijkheid te voldoen, kan het met name passend zijn de betrokkene te informeren over de mate waarin een wijziging in de in aanmerking genomen persoonsgegevens tot een ander resultaat zou hebben geleid. De loutere mededeling van een algoritme vormt daarentegen geen voldoende beknopte en begrijpelijke verklaring.
Wanneer de verwerkingsverantwoordelijke van mening is dat de te verstrekken informatie beschermde gegevens van derden of bedrijfsgeheimen bevat, moet hij die beweerdelijk beschermde informatie verstrekken aan de bevoegde toezichthoudende autoriteit of rechtbank. Het staat aan die autoriteit of rechterlijke instantie om de betrokken rechten en belangen tegen elkaar af te wegen teneinde de omvang van het recht van de betrokkene op toegang tot die informatie te bepalen. Het EU-Hof merkt in dit verband op dat de AVG zich verzet tegen de toepassing van een nationale bepaling die in beginsel het betrokken recht van toegang uitsluit wanneer dit een bedrijfsgeheim van de verwerkingsverantwoordelijke of van een derde in gevaar zou brengen.
