Европейский суд разбирался что важнее: персональные данные, ИИ или коммерческая тайна
Суд Европейского Союза (CJEU) вынес важное решение, касающееся прав граждан на доступ к своим персональным данным в рамках GDPR. Это решение особенно актуально для случаев, когда решения принимаются автоматически, в том числе с помощью ИИ. Суд также разобрался как соблюсти баланс между правом граждан на информацию и защитой коммерческой тайны.
Всё началось с телефона. Некий гражданин хотел заключить договор с австрийским мобильным оператором. Тот, используя автоматизированную систему оценки кредитоспособности клиента, предоставленную сторонним провайдером, на основании данной оценки гражданину отказал. Гражданин обратился в австрийский орган по защите данных, и оператору было предписано раскрыть информацию о логике принятия автоматизированного решения, как того требует статья 15(1)(h) GDPR. Однако компания отказалась предоставить часть данных, сославшись на коммерческую тайну. Это решение основано на австрийском законе, который позволяет не раскрывать информацию, если это могло навредить коммерческим интересам компании.
Гражданин оспорил это решение, и дело дошло до Суда ЕС. Тот пришел к следующим выводам:
Объяснение логики принятия решения
Суд постановил, что компании, использующие автоматизированные системы для принятия решений, обязаны предоставлять гражданам понятные и доступные объяснения о том, как те обрабатывают их данные. Это также включает описание процедур и принципов, которые применяются для получения результата (например, оценки кредитоспособности). Однако суд уточнил, что компании не обязаны раскрывать сложные математические формулы или алгоритмы, так как это не будет понятно обычному человеку.
Баланс между правами граждан и коммерческой тайной
Суд подчеркнул, что право на защиту персональных данных не является абсолютным и должно быть сбалансировано с другими правами, например, с правом на защиту коммерческой тайны. Однако компании не могут полностью отказывать в предоставлении информации, ссылаясь на коммерческую тайну. Если компания считает, что раскрытие данных нарушит её интересы, она должна сделать запрос регулятору или в суд, который и решит, можно ли её раскрыть и в каком объеме.
Национальные законы и GDPR
Суд также указал, что национальные законы, которые автоматически ограничивают доступ к данным из-за коммерческой тайны, такие как австрийский, не соответствуют GDPR. Каждый случай должен рассматриваться индивидуально, с учётом баланса интересов.
Решение имеет важное значение для компаний, использующих автоматизированные системы и ИИ. Оно также может повлиять на применение нового Закона об ИИ (AI Act), который требует, чтобы компании предоставляли «ясные и полные объяснения» о роли ИИ в принятии решений. Это особенно важно для систем, которые выносят решения влияющие на жизнь людей, например, о выдаче кредитов или найме на работу.
Канал о праве и технологиях