Euroopa Liidu Kohus tõlgendas oma 07.02.2025 otsuses kohtuasjas C‑203/22 CK vs Magistrat der Stadt Wien (tuntud ka kui Dun & Bradstreet kohtuasi) GDPR-i artikli 15 (1) punkti h järgmiselt:

„automatiseeritud otsuste, sealhulgas profiilianalüüsi tegemise korral määruse artikli 22 lõike 1 tähenduses võib andmesubjekt nõuda vastutavalt töötlejalt, et viimane selgitaks talle kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis menetlust ja põhimõtteid, mida konkreetselt rakendatakse selle isiku isikuandmete automatiseeritud töötlemisel teatud tulemuse, näiteks isiku krediidiprofiili saamiseks“.

Kohus leidis, et kui vastutav töötleja asub arvamusele, et selle sätte kohaselt andmesubjektile esitatav teave sisaldab GDPR-i alusel kaitstud kolmandate isikute andmeid või ärisaladusi Euroopa Parlamendi ja nõukogu 8. juuni 2016. aasta direktiivi 2016/943 artikli 2 punkti 1 tähenduses, on vastutav töötleja kohustatud edastama selle väidetavalt kaitstud teabe järelevalveasutusele või pädevale kohtule, kelle ülesanne on kaaluda vastanduvaid õigusi ja huve, et määrata kindlaks GDPR artikliga 15 andmesubjektile antud andmetega tutvumise õiguse ulatus.

Euroopa Liidu Kohtu eelotsustusmenetluse aluseks olnud Austria siseriikliku kohtuasja keskmes on andmesubjekt, kellega telekommunikatsiooniettevõte keeldus andmesubjekti ebapiisavale krediidivõimelisusele (creditworthiness) viidates lepingut sõlmimast. Potentsiaalse kliendi krediidivõimelisuse hindamisel kasutas telekommunikatsiooniettevõte Dun & Bradstreet Austria GmbH (varasema nimega Bisnode Austria GmbH) teenuseid.

Andmesubjekt nõudis Austria isikuandmete järelevalveasutuselt infot automatiseeritud otsuste langetamise loogika kohta. Järelevalveasutuse vastav küsimuse peale pöördus Dun & Bradstreet Austria GmbH Austria siseriikliku kohtu poole.

Austria kohus toetas järelevalveasutuse otsust selles osas, et Dun & Bradstreet rikkus automatiseeritud otsuste tegemise loogika kohta info väljastamisest keeldumise ja keeldumise põhjendamata jätmisega GDPR-i artikli 15 (1) punkti (h).

Dun & Bradstreet asus omakorda seisukohale, et oli juba piisavalt infot väljastanud, mispeale andmesubjekt pöördus Viini halduskohtusse (Verwaltungsgericht Wien – VGW), kes omakorda pöördus eelotsustustaotlusega EL Kohtu poole.

Oma otsuses analüüsib EL Kohus muuhulgas artikli 15 lõike 1 punktis h kasutatud väljendit „sisuline teave kasutatava loogika kohta“. Kohus möönab, et erinevates ametlikes EL keeltes on selle väljendil mõnevõrra erinev varjund. Kohus jõuab järeldusele, et „sisuline teave“ automatiseeritud otsuste tegemisel „kasutatava loogika kohta“ hõlmab kogu asjakohast teavet menetluse ja põhimõtete kohta, mille alusel isikuandmeid automatiseeritult töödeldakse teatud tulemuse saamiseks, kusjuures läbipaistvuskohustus nõuab lisaks, et see teave esitataks kokkuvõtlikult, selgelt, arusaadavalt ning lihtsasti kättesaadavas vormis.

Seega peab „sisuline teave“ automatiseeritud otsuste tegemisel „kasutatava loogika kohta“ kirjeldama konkreetselt kasutatud menetlust ja põhimõtteid nii, et andmesubjekt mõistaks, a) milliseid tema isikuandmeid on kõnealuse automatiseeritud otsuse tegemise käigus b) millisel viisil kasutatud, ilma et automatiseeritud otsuste tegemise raames tehtavate toimingute keerukus vabastaks vastutavat töötlejat selgitamiskohustusest.

Kohus viitab ka kohtujuristi arvamusele, kes punktis 67 märkis, et isikuandmete kaitse üldmääruse artikli 15 (1) punkt h annab andmesubjektile tegeliku õiguse saada selgitusi tema suhtes langetatud automatiseeritud otsuse tegemiseks kasutatud mehhanismi toimimise ning selle otsuse tulemuse kohta.

Kohtuasja raames tõusetus ka küsimus ärisaladuse kaitsest andmesubjektile sisulise teabe andmise kontekstis.

Kohus meenutas, et isikuandmete kaitse üldmääruse põhjenduse 4 kohaselt ei ole õigus isikuandmete kaitsele absoluutne õigus, vaid seda tuleb kaaluda teiste põhiõiguste suhtes ja kooskõlas proportsionaalsuse põhimõttega. Lisaks on GDPR-i põhjenduses 63 märgitud, et andmesubjekti õigus tutvuda isikuandmetega, mis on tema kohta kogutud, ei tohiks kahjustada teiste isikute õigusi ega vabadusi, sealhulgas ärisaladusi ega intellektuaalomandit ning eelkõige tarkvara kaitsvat autoriõigust.

Kohus asus seisukohale, et sellise kaalutlemise tulemus ei tohi aga olla andmesubjektile teabe andmisest keeldumine. Kui esineb vastuolu ühelt poolt isikuandmetega täieliku tutvumise õiguse kasutamise ning teiselt poolt teiste isikute õiguste või vabaduste vahel, siis tuleb kõnealuste õiguste ja vabaduste vahel leida tasakaal.

Kui vastutav töötleja leiab, et andmesubjektile esitatav teave sisaldab kolmandate isikute andmeid või ärisaladusi on vastutav töötleja kohustatud edastama selle väidetavalt kaitstud teabe järelevalveasutusele või pädevale kohtule, kelle ülesanne on kaaluda vastanduvaid õigusi ja huve, et määrata kindlaks isikuandmete kaitse üldmääruse artikliga 15 andmesubjektile antud andmetega tutvumise õiguse ulatus.

Kohtuasja C‑203/22 eestikeelsed materjalid on kättesaadavad siin:

https://curia.europa.eu/juris/documents.jsf?num=C-203/22