Draqon
Aktif Üye
Deutsche Kreditbank (DKB), bir kredi kartı başvurusunun otomatik olarak reddedilmesine ilişkin bilgi eksikliğinin bedelini ağır ödüyor. Berlin veri koruma görevlisi Meike Kamp, Bavyera Eyalet Bankası’nın başkentteki yan kuruluşunu Genel Veri Koruma Yönetmeliği’ndeki (GDPR) şeffaflık yükümlülüklerini ihlal ettiği için 300.000 avro para cezasına çarptırdı. Müfettiş, “Şirketler otomatik kararlar aldıklarında, bunları geçerli ve anlaşılır bir şekilde gerekçelendirmekle yükümlüdürler” dedi.
Etkilenenler süreci anlayabilmelidir. Bu, veri tabanı ve karar verme faktörleri ile bireysel durumlarda ret kriterleri hakkında özel bilgileri içerir.
DKB davasında, kredi kartı için dijital bir talep yapıldığında finans kurumu, başvuranın geliri, mesleği ve kişisel detayları hakkında çevrimiçi bir form kullanarak çeşitli veriler istedi. Algoritma, bu bilgilere ve harici kaynaklardan alınan ek verilere dayanarak müşterinin talebini herhangi bir özel gerekçe göstermeden reddetti. Denetim otoritesine göre, sistem daha önce banka tarafından tanımlanmış olan kriterlere ve kurallara dayanmaktadır. İlgili kişinin iyi bir Schufa değeri ve düzenli yüksek bir geliri olduğundan, otomatik karar konusunda şüpheleri vardı.
Banka puanlama süreci hakkında bilgi vermeyi reddetti
Denetleme makamı, “Talep üzerine banka, puanlama süreci hakkında yalnızca bireysel vakadan ayrılmış genel bilgiler sağladı” diyor. “Ancak, kredi notunun neden düşük olduğunu düşündüğünü söylemeyi reddetti. Bu nedenle şikayetçi, ret kararının hangi veri tabanına ve faktörlere dayandığını ve kredi kartı başvurusunun buna göre hangi kriterlere göre reddedildiğini anlayamadı.” Bilgisayardan hayıra itiraz etmesi de mümkün değildi. Bu nedenle, veri koruma görevlisine şikayette bulunmuştur.
Kamp’a göre, kararını verirken özellikle bankanın yüksek cirosunu ve başvuru sürecinin kasıtlı tasarımını ve bilgileri dikkate aldı. Para cezasını azaltmak için şirketin ihlali kabul ettiğini, süreçlerde halihazırda değişiklikler uyguladığını ve daha fazla iyileştirme duyurduğunu kabul etti. DKB kapsamlı bir şekilde işbirliği yaptı ve şimdi para cezasını kabul etti.
Ayrıca Schufa puanlama sorunlu mu?
Avrupa Adalet Divanı’nda (ECJ) başsavcı olan Priit Pikamäe’ye göre, Schufa tarafından bir tüketicinin kredibilitesine ilişkin hesaplanan olasılık değerleri (“skorlar”) GDPR ile uyumlu değil. Bu, veri sahibine, profil oluşturma da dahil olmak üzere yalnızca otomatik işlemeye dayalı bir karara tabi olmama hakkı sağlar. Schufa’nın puanlama süreci bu gerekliliğe uymuyor. ECJ uzmanına göre, kredi kurumu etkilenenlere, özellikle faktörler ve bunların karar verme sürecindeki ağırlıkları hakkında genel bilgiler de sağlamalıdır.
(mki)
Haberin Sonu
Etkilenenler süreci anlayabilmelidir. Bu, veri tabanı ve karar verme faktörleri ile bireysel durumlarda ret kriterleri hakkında özel bilgileri içerir.
DKB davasında, kredi kartı için dijital bir talep yapıldığında finans kurumu, başvuranın geliri, mesleği ve kişisel detayları hakkında çevrimiçi bir form kullanarak çeşitli veriler istedi. Algoritma, bu bilgilere ve harici kaynaklardan alınan ek verilere dayanarak müşterinin talebini herhangi bir özel gerekçe göstermeden reddetti. Denetim otoritesine göre, sistem daha önce banka tarafından tanımlanmış olan kriterlere ve kurallara dayanmaktadır. İlgili kişinin iyi bir Schufa değeri ve düzenli yüksek bir geliri olduğundan, otomatik karar konusunda şüpheleri vardı.
Banka puanlama süreci hakkında bilgi vermeyi reddetti
Denetleme makamı, “Talep üzerine banka, puanlama süreci hakkında yalnızca bireysel vakadan ayrılmış genel bilgiler sağladı” diyor. “Ancak, kredi notunun neden düşük olduğunu düşündüğünü söylemeyi reddetti. Bu nedenle şikayetçi, ret kararının hangi veri tabanına ve faktörlere dayandığını ve kredi kartı başvurusunun buna göre hangi kriterlere göre reddedildiğini anlayamadı.” Bilgisayardan hayıra itiraz etmesi de mümkün değildi. Bu nedenle, veri koruma görevlisine şikayette bulunmuştur.
Kamp’a göre, kararını verirken özellikle bankanın yüksek cirosunu ve başvuru sürecinin kasıtlı tasarımını ve bilgileri dikkate aldı. Para cezasını azaltmak için şirketin ihlali kabul ettiğini, süreçlerde halihazırda değişiklikler uyguladığını ve daha fazla iyileştirme duyurduğunu kabul etti. DKB kapsamlı bir şekilde işbirliği yaptı ve şimdi para cezasını kabul etti.
Ayrıca Schufa puanlama sorunlu mu?
Avrupa Adalet Divanı’nda (ECJ) başsavcı olan Priit Pikamäe’ye göre, Schufa tarafından bir tüketicinin kredibilitesine ilişkin hesaplanan olasılık değerleri (“skorlar”) GDPR ile uyumlu değil. Bu, veri sahibine, profil oluşturma da dahil olmak üzere yalnızca otomatik işlemeye dayalı bir karara tabi olmama hakkı sağlar. Schufa’nın puanlama süreci bu gerekliliğe uymuyor. ECJ uzmanına göre, kredi kurumu etkilenenlere, özellikle faktörler ve bunların karar verme sürecindeki ağırlıkları hakkında genel bilgiler de sağlamalıdır.
(mki)
Haberin Sonu