Ar verslo logika – tikrai paslaptis?
Pagal Bendrąjį duomenų apsaugos reglamentą (BDAR), kiekvienas asmuo turi teisę gauti „prasmingą informaciją apie loginį pagrindimą“, taikytą automatizuotam sprendimui. Tai yra, verslas negali apsiriboti miglotais teiginiais ar formaliomis frazėmis – paaiškinimas turi būti suprantamas ne tik specialistui, bet ir vidutiniam žmogui.
Ši teisė nėra tik formalumas. Ji būtina tam, kad asmuo galėtų įvertinti, ar sprendimas buvo pagrįstas tiksliais duomenimis, ar automatizuota sistema veikia sąžiningai ir ar sprendimas nebuvo klaidingas. Taigi paaiškinimas turi būti konkretus, aiškus ir pateiktas suprantama kalba, vengiant perteklinės techninės terminologijos. Tai neturi būti bendras duomenų tvarkymo aprašymas – tai turi būti paaiškinimas, kaip konkrečiai duomenys virto sprendimu, turėjusiu poveikį žmogaus galimybėms ar teisėms.
Pavyzdžiui, žmogus pateikia paraišką kredito kortelei. Jis dirba pagal individualią veiklą ir, nors pajamos viršija 3000 eurų per mėnesį, iškart gauna automatinį atsakymą: „Deja, negalime jums pasiūlyti kredito kortelės“. Toks atsakymas formaliai informuoja apie sprendimą, bet neleidžia žmogui įvertinti jo pagrįstumo.
Tuo tarpu aiškesnis, BDAR reikalavimus atitinkantis atsakymas galėtų būti toks: „Jūsų paraiška buvo įvertinta automatizuotos sistemos, kuri analizuoja kelis finansinio stabilumo rodiklius. Nors jūsų pajamos atitinka mūsų minimalius kriterijus, vertinimo modelis rodo, kad individuali veikla dažnai susijusi su didesniu pajamų svyravimu. Dėl šios priežasties jūsų kredito rizika buvo įvertinta kaip aukštesnė“.
Šiame paaiškinime neatskleidžiamos jokios komercinės paslaptys ar konkretūs algoritmai, tačiau pateikiami pagrindiniai kriterijai ir jų logika. Tai leidžia žmogui ne tik suprasti sprendimą, bet ir, jei reikia, jį ginčyti ar papildyti duomenis. Būtent toks paaiškinimo lygmuo užtikrina, kad teisė į informaciją būtų reali, o ne deklaratyvi.
Tačiau praktikoje verslas dažnai bando slėptis už „komercinės paslapties“ ar „intelektinės nuosavybės“ argumentų, siekdamas išvengti prievolės pateikti informaciją apie sprendimo logiką. Toks požiūris prieštarauja BDAR principams. Konfidencialumas nėra automatinė teisė nesuteikti informacijos. Priešingai – įmonė turi rasti būdų pateikti aiškią, bet nekenkiančią paaiškinimo formą, išlaikant pusiausvyrą tarp duomenų subjekto teisės žinoti ir verslo interesų saugoti jautrią informaciją.
Skaidrumo principas šiuo atveju reiškia ne tik technologinį, bet ir teisinį atsakingumą. Tai leidžia žmogui ne tik žinoti, bet ir ginčyti sprendimą, jei jis mano, kad buvo suklysta ar į jį neatsižvelgta tinkamai. Todėl skaidrumas nėra pasirinkimas – tai teisinis įsipareigojimas.
Tarp teisės ir realybės: kai teorinė galimybė tampa kliūtimi
Europos Teisingumo Teismas (ETT) yra pateikęs aiškią poziciją: net kai įmonė mano, kad prašoma informacija apie automatizuotą sprendimą apima komercines paslaptis, intelektinę nuosavybę ar trečiųjų asmenų duomenis, ji negali paprasčiausiai atsisakyti ją pateikti. Tokiu atveju ji turėtų perduoti informaciją priežiūros institucijai arba teismui, kurie įvertintų, kokią dalį informacijos atskleisti galima, o kokios ne. Taip būtų užtikrinta pusiausvyra tarp skaidrumo ir konfidencialumo – nė vienas interesas neturėtų būti ignoruojamas.
Nors sprendimas aiškus teisiniu požiūriu, jo praktinis įgyvendinimas iki šiol kelia sunkumų. Lietuvoje kompetentinga institucija – Valstybinė duomenų apsaugos inspekcija (VDAI), tačiau jos veiksmai tokiose situacijose dažniausiai yra reaktyvūs, o ne proaktyvūs. Kitaip tariant, sprendimas, ar informacija turėjo būti pateikta, įprastai priimamas tik tuomet, kai VDAI gauna oficialų skundą iš duomenų subjekto. Verslui, siekiančiam elgtis atsakingai ir išvengti pažeidimų, trūksta aiškaus mechanizmo iš anksto pasitikrinti, ar atsisakymas atskleisti informaciją būtų teisėtas.
Teismų vaidmuo šioje srityje kelia papildomų neaiškumų. Nors ETT numato, kad informacijos vertinimą gali atlikti teismas, nėra aišku, kaip įmonė galėtų inicijuoti tokį procesą prevencine tvarka, ypač kai nėra kilęs formalus ginčas. Nacionaliniai teismai įprastai nagrinėja konkrečias bylas, o ne išduoda leidimus ar „išankstinius sprendimus“ dėl informacijos atskleidimo ribų. Todėl lieka neaišku, kaip realiai taikyti ETT nurodytą principą, kai nėra nei skundo, nei teisminio ginčo – tik abipusis neapibrėžtumas.
Taigi, šiame kontekste susiduriame su paradoksu: ETT įtvirtino aiškų ir logišką principą – derinti interesus per nepriklausomą vertinimą, tačiau praktiniai keliai tai padaryti nacionaliniu lygiu dažnai neegzistuoja arba yra labai neapibrėžti. Tai palieka tiek įmones, tiek duomenų subjektus situacijoje, kai teisė tarsi yra, bet ja pasinaudoti – itin sunku. Ir kol nebus aiškių precedentų, tokia teisė liks daugiau teorinė nei reali.
Rizika verslui: slaptumas gali kainuoti
Nepaisant to, verslui, kuris nusprendžia ignoruoti skaidrumo principus ar juos traktuoja kaip nereikšmingą formalumą, gresia ne tik pasitikėjimo praradimas, bet ir realios teisinės bei finansinės pasekmės. Duomenų apsaugos taisyklės šiandien nėra rekomendacijos – jos privalomos, ir jų nesilaikymas vertinamas griežtai. Kai įmonė neatskleidžia esminės informacijos apie automatizuotus sprendimus, prisidengdama „komercinėmis paslaptimis“ ar „vidiniais algoritmais“, tai gali būti laikoma pažeidimu. Ypač jei toks slaptumas trukdo žmogui suprasti, kodėl priimtas tam tikras sprendimas dėl jo asmens ar galimybių.
Svarbu suprasti, kad šiuolaikinis reguliavimas nebėra simbolinis. Asmens duomenų apsaugos pažeidimai gali būti vertinami kaip sisteminiai veiklos trūkumai, o už juos skiriamos ne simbolinės, bet milijoninės baudos. Dar svarbesnė – reputacinė žala. Vienas viešai nuskambėjęs atvejis, įmonė atsisakius paaiškinti savo sprendimus, gali ilgam pakenkti klientų pasitikėjimui, ypač jei kalbame apie finansų, sveikatos ar technologijų sektorius, kuriuose duomenys ir automatizavimas tampa vis svarbesni.
Tą liudija ir garsūs atvejai: „Amazon“ teko atsisakyti diskriminuojančio įdarbinimo algoritmo, Nyderlandų mokesčių tarnyba buvo įklimpusi į skandalą dėl neteisingai automatizuotai priimtų sprendimų, o COMPAS algoritmas JAV teismuose buvo kritikuojamas dėl rasinio šališkumo, kurio niekas negalėjo patikrinti dėl „slaptos logikos“. Nors šiems atvejams ne visada buvo pritaikytos formalios baudos, jų pasekmės buvo labai realios: nuo milijoninių kompensacijų (Nyderlanduose), iki reputacinės žalos ir teisinio spaudimo reformuoti sistemas („Amazon“, COMPAS). Visais atvejais bendra priežastis – skaidrumo stoka priimant automatizuotus sprendimus, kurie tiesiogiai paveikė žmones.
Verslas, kuris bando slėptis už „juodosios dėžės“ principo – kai sprendimų logika laikoma visiškai neprieinama – turi suprasti, kad toks modelis tiesiog nebėra teisėtas. Net jei algoritmai ir yra verslo nuosavybė, tai nereiškia, kad žmogus gali būti paliktas nežinioje dėl to, kaip apie jį buvo nuspręsta.
Galiausiai atsakomybė paaiškinti tenka ne sistemai, ne programiniam kodui ir ne klientų aptarnavimo robotui, o pačiai įmonei. Tai reiškia, kad paaiškinimas turi būti ne tik techninis, bet ir žmogiškas – toks, kurį suprastų ne tik programuotojas, bet ir žmogus, kurio gyvenimą tas sprendimas paveikė.
