2025-12-18

ჰამბურგის მონაცემთა დაცვის საზედამხედველო ორგანოს გადაწყვეტილება ხელოვნური ინტელექტის სისტემის გამოყენებით საკრედიტო განაცხადების ავტომატიზებული შეფასების საკითხზე

კომპანიებს, რომლებიც ფინანსური მომსახურების სფეროში ავტომატიზებული გადაწყვეტილების მიღების მიზნით იყენებენ ხელოვნურ ინტელექტის სისტემებს (“AI”), ეკისრებათ პერსონალური მონაცემების განსაკუთრებული სიფრთხილითა და გამჭვირვალობით დამუშავების ვალდებულება. 2025 წლის 30 სექტემბერს ჰამბურგის მონაცემთა დაცვისა და ინფორმაციის თავისუფლების კომისარმა (“HmbBfDI”) მიიღო მნიშვნელოვანი გადაწყვეტილება, რომელიც ეხება ავტომატიზებული საკრედიტო გადაწყვეტილების მიღებას ადამიანური რესურსის ჩართვის გარეშე და პერსონალური მონაცემების არაგამჭვირვალე დამუშავებას.[1]

ფაქტობრივი გარემოებები

ჰამბურგის მონაცემთა დაცვისა და ინფორმაციის თავისუფლების კომისარს (“HmbBfDI”) საჩივრით მიმართა მონაცემთა რამდენიმე სუბიექტმა, რომელთა საკრედიტო განაცხადების განხილვისას ფინანსურმა კომპანიამ გამოიყენა ხელოვნურ ინტელექტზე დაფუძნებული ავტომატიზებული გადაწყვეტილების მიღების სისტემა.[2]

მომჩივნები აცხადებდნენ, რომ აღნიშნული სისტემა სრულად ავტომატურად, ადამიანური რესურსის ჩართვის გარეშე, იღებდა გადაწყვეტილებებს განაცხადების დამტკიცების ან უარყოფის შესახებ. შედეგად, მიუხედავად იმისა, რომ რამდენიმე განმცხადებელს გააჩნდა დადებითი საკრედიტო ისტორია და მაღალი საკრედიტო რეიტინგი, “AI” სისტემამ მათი განაცხადები უარყო ავტომატურად - ყოველგვარი დამატებითი შეფასებისა და ადამიანური ზედამხედველობის გარეშე. დაზარალებულმა მონაცემთა სუბიექტებმა მიმართეს კომპანიას, როგორც მონაცემთა დამუშავებისთვის პასუხისმგებელ პირს და მოითხოვეს უარის მიზეზების განმარტება.[3]

კომპანიამ ვერ უზრუნველყო ინფორმაციის მიწოდება იმ მოცულობითა და სიზუსტით, რაც გათვალისწინებულია „მონაცემთა დაცვის ძირითადი რეგულაციის“ (“GDPR”) მე-12-15 მუხლებით. კერძოდ, კომპანიამ ვერ განმარტა გადაწყვეტილების მიღებისას გამოყენებული “AI” სისტემის „ალგორითმული ლოგიკა“ და ის ფაქტორები, რომლებმაც გავლენა იქონია ყოველი ინდივიდუალური გადაწყვეტილების მიღებაზე.

ჰამბურგის მონაცემთა დაცვისა და ინფორმაციის თავისუფლების კომისრის მიერ ჩატარებული შემოწმების შედეგად დადგინდა, რომ საკრედიტო განაცხადების შეფასების პროცესში არ არსებობდა ადამიანური რესურსის ჩართულობისა და ზედამხედველობის მექანიზმი, რის შედეგადაც მონაცემთა სუბიექტებს არ ჰქონდათ შესაძლებლობა გაეგოთ გადაწყვეტილების საფუძველი.

️ საზედამხედველო ორგანოს შეფასება

ავტომატიზებული ინდივიდუალური გადაწყვეტილებები

ჰამბურგის მონაცემთა დაცვისა და ინფორმაციის თავისუფლების კომისარმა შეაფასა კომპანიის ავტომატიზებული ინდივიდუალური გადაწყვეტილებების მიღების სისტემა და მისი შესაბამისობა “GDPR”-ის 22-ე მუხლთან.

“GDPR”-ის 22-ე მუხლის მიხედვით, მონაცემთა სუბიექტს უფლება აქვს, არ დაექვემდებაროს მხოლოდ ავტომატიზებულად მიღებულ გადაწყვეტილებას, რომელიც მისთვის წარმოშობს სამართლებრივ ან სხვა სახის არსებით შედეგს, გარდა ამავე მუხლის მე-2 პუნქტით განსაზღვრული გამონაკლისებისა. ამასთან, მონაცემთა სუბიექტის მოთხოვნის შემთხვევაში დამუშავებისთვის პასუხისმგებელმა პირმა უნდა მიიღოს სათანადო ზომები მონაცემთა სუბიექტის უფლებების, თავისუფლებებისა და ლეგიტიმური ინტერესების დასაცავად, მათ შორის გადაწყვეტილების მიღების პროცესში ადამიანური რესურსის ჩართვის გზით.

“HmbBfDI”-მ დაადგინა, რომ წინამდებარე შემთხვევაში ავტომატიზებული საკრედიტო გადაწყვეტილებების მოდელი წარმოადგენდა “GDPR”-ის 22-ე მუხლით აკრძალულ პრაქტიკას, ვინაიდან:

გადაწყვეტილებები მიღებულ იქნა სრულად ხელოვნური ინტელექტის სისტემის მიერ;
გადაწყვეტილებები იწვევდა მნიშვნელოვან ფინანსურ შედეგს მონაცემთა სუბიექტებისთვის;
მონაცემთა სუბიექტების მოთხოვნის მიუხედავად, დამუშავებისთვის პასუხისმგებელმა პირმა არ მიიღო სათანადო ზომები მათი უფლებებისა და ინტერესების დასაცავად - მათ შორის გადაწყვეტილების განხილვის პროცესში ადამიანური რესურსის ჩართვის ან მონაცემთა სუბიექტებისთვის პოზიციის დაფიქსირების შესაძლებლობის მიცემის გზით.

ზემოაღნიშნულის გათვალისწინებით დადგინდა “GDPR”-ის 22-ე მუხლის დარღვევა. კომისარმა ასევე მიიჩნია, რომ:

კომპანიის მიერ გამოყენებული სისტემა ვერ აკმაყოფილებდა “GDPR”-ის მე- 5(1)(a) მუხლით დადგენილ გამჭვირვალობისა და სამართლიანობის პრინციპებს;
ფაქტობრივად ვერ განხორციელდა “GDPR”-ის 24-ე მუხლით გათვალისწინებული ანგარიშვალდებულება, რაც მიუთითებდა კომპანიის მმართველობის სისტემურ ხარვეზზე.

მონაცემთა სუბიექტის უფლებების დარღვევა

ჰამბურგის მონაცემთა დაცვისა და ინფორმაციის თავისუფლების კომისარმა შეაფასა დაარღვია თუ არა კომპანიამ „მონაცემთა დაცვის ძირითადი რეგულაციის“ მე-12-15 მუხლებით დაცული მონაცემთა სუბიექტის უფლებები. ორგანომ დაადგინა, რომ კომპანიამ ვერ უზრუნველყო:

გადაწყვეტილების მიღებისას გამოყენებული „ალგორითმული ლოგიკის“ განმარტება;
გადაწყვეტილების მნიშვნელობისა და შედეგების გასაგები ფორმით განმარტება მონაცემთა სუბიექტებისთვის;
მონაცემთა დამუშავების სამართლებრივი საფუძვლისა და მიზნის მითითება.

ზემოაღნიშნულის გათვალისწინებით დადგინდა “GDPR”-ის მე-12-15 მუხლების დარღვევა.

ევროკავშირის „ხელოვნური ინტელექტის შესახებ“ აქტის (“AI Act”) რელევანტური ნორმები

საზედამხედველო ორგანომ აღნიშნა, რომ ხელოვნური ინტელექტის სისტემები, რომლებიც სრულად ავტომატურად იღებს გადაწყვეტილებებს, ევროკავშირის „ხელოვნური ინტელექტის შესახებ“ აქტით მაღალი რისკის კატეგორიის ტექნოლოგიებს (დანართი III) მიეკუთვნება. მაღალი რისკის მქონე სისტემების გამოყენებისას კი “AI Act” ადგენს ადამიანური რესურსის ჩართვის, ზედამხედველობის, შესაბამისი ტექნიკური დოკუმენტაციის წარმოებისა და გადაწყვეტილების საფუძვლიანობის დასაბუთების მოთხოვნებს.

“HmbBfDI”-მ ხაზი გაუსვა, რომ კომპანიებმა, რომლებიც იყენებენ ხელოვნურ ინტელექტზე დაფუძნებულ გადაწყვეტილების მიღების სისტემებს, უნდა უზრუნველყონ ორმაგი შესაბამისობა - როგორც “GDPR”-ის, ისე “AI Act”-ის მოთხოვნებთან.

გადაწყვეტილება

ზემოაღნიშნული გარემოებების გათვალისწინებით, ჰამბურგის მონაცემთა დაცვისა და ინფორმაციის თავისუფლების კომისარმა (“HmbBfDI”) დაადგინა, რომ ფინანსურმა კომპანიამ დაარღვია „მონაცემთა დაცვის ძირითადი რეგულაციის“ შემდეგი მუხლები:

მე-5(1)(a) მუხლი – პერსონალური მონაცემების დამუშავების გამჭვირვალობისა და სამართლიანობის პრინციპების დარღვევა;
მე-12–15 მუხლები – მონაცემთა სუბიექტების ინფორმირებისა და მონაცემებზე წვდომის უფლებების დარღვევა;
22-ე მუხლი – სრულად ავტომატიზებული ინდივიდუალური გადაწყვეტილების მიღება, ადამიანური რესურსის ჩარევისა და ზედამხედველობის გარეშე;
24-ე მუხლი - ანგარიშვალდებულების პრინციპის დარღვევა და შიდა კონტროლის მექანიზმების არაეფექტიანობა.

საზედამხედველო ორგანომ ფინანსურ კომპანიას დააკისრა ჯარიმა 492,000 ევროს ოდენობით. გადაწყვეტილების მიღებისას კომისიამ ადმინისტრაციული პასუხისმგებლობის შემამსუბუქებელ გარემოებად მიიჩნია კომპანიის თანამშრომლობა საზედამხედველო ორგანოსთან, შიდა პოლიტიკების გადახედვისა და ავტომატიზებული სისტემების გაუმჯობესების პროცედურების დაწყება.

[1] Data Guidance, “Hamburg: HmbBfDI fines financial company €492,000 for lack of transparency in automated decisions” (1 October 2025), ხელმისაწვდომია შემდეგ ბმულზე: https://www.dataguidance.com/news/hamburg-hmbbfdi-fines-financial-company-eu492000-lack [21.10.2025].

[2] The Hamburg Commissioner for Data Protection and Freedom of Information (HmbBfDI), “HmbBfDI imposes fines totaling 775,000 euros” (30 September 2025), ხელმისაწვდომია შემდეგ ბმულზე: https://datenschutz-hamburg.de/news/zwischenbilanz-2025-hmbbfdi-verhaengt-bussgelder-von-insgesamt-775000-euro [21.10.2025].

[3] Clyde & Co, “Lessons from Hamburg Commissioner for Data Protection and Freedom of Information’s €492,000 Fine”, (6 October 2025), ხელმისაწვდომია შემდეგ ბმულზე: https://www.clydeco.com/en/insights/2025/10/lessons-from-hamburg-commissioner-for-data-protect [21.10.2025].