Zautomatyzowanym podejmowaniem decyzji jest proces, w wyniku którego decyzja zostaje wydana bez ludzkiej ingerencji w jej podejmowanie. Za jego przykład można podać automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej.

Profilowanie

Profilowanie oznacza  więc dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. Przybierać może ono dwie formy.

Zbieranie danych o osobie fizycznej

Pierwszy sposób dokonywania profilowania polega na uzyskaniu pożądanych informacji o osobie fizycznej, na podstawie uzyskanych ze wszelkich możliwych legalnych źródeł danych. Przy czym dane te, nie zostały udostępnione w celu, któremu służy to profilowanie. Przykładem danych z innych źródeł mogą być:

1) dane uzyskane przez podmioty działające w tej samej grupie kapitałowej;

reklama

2) dane ogólnie dostępne- takie jak informacje publikowane dla nieograniczonego zakresu odbiorców na portalach społecznościowych i forach.

Wnioskowanie o cechach osoby fizycznej

Drugą metodą jest wnioskowanie o cechach osoby fizycznej, na podstawie posiadanych o niej informacji. Przykładem może być wyciągnięcie wniosku o chorobie, na podstawie posiadanych danych o jej objawach.

Profilowanie służyć może w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Okoliczności powodujące możliwość uchylenia się od decyzji, wydanej na podstawie zautomatyzowanego podejmowania decyzji

Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Jedyne od tego wyjątki wskazuje rozporządzenie.

Sytuacje wobec których nie obejmuje regulacja rozporządzenia

GDPR jest zatem obojętne wobec sytuacji, gdy takie przetwarzanie nie wpływa na sytuację osoby fizycznej. Regulacja dotyczy dopiero okoliczności, gdy tego typu działania mają wpływ na osobę, której dane dotyczą. Może ona wtedy złożyć oświadczenie, na podstawie którego decyzja przestanie być wobec niej wiążąca.

Ocena wpływu na osobę

Jeśli taka decyzja nie wywołuje skutków prawnych, a jedynie „wpływa” na osobę, której dane dotyczą, należy dokonać oceny, czy wpływ ten jest istotny. Zastosowanie rozporządzenia GDPR, a wraz z nim możliwość uchylenia się od tej decyzji, są wtedy uzależnione od tej odpowiedzi.

reklama

Wyłączenia możliwości uchylenia się od decyzji, wydanej na ich podstawie zautomatyzowanego podejmowania decyzji

Nie istnieje możliwość uchylenia się od decyzji wydanej na podstawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach, w tym profilowania, jeżeli ta decyzja:

1) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,

2) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub

3) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Kiedy wyjątek nie ma zastosowania

Decyzje te, nie mogą jednak dotyczyć danych wrażliwych, danych genetycznych, ani biometrycznych, chyba że osoba, której dane dotyczą, wyraziła na o odrębną zgodę, lub przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu.

Ponad to, takie przetwarzanie nie powinno dotyczyć dzieci.

Kryteria jakościowe decyzji wydanej na podstawie zautomatyzowanego podejmowania decyzji

Jeżeli administrator chce wydać decyzję opartą o tego typu sposób przetwarzania danych, wywodząc swe prawo do jej wydania z tego, że:

1) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem; lub,

reklama

2) opiera się na wyraźnej zgodzie osoby, której dane dotyczą,

musi on wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej:

1) prawo do uzyskania interwencji ludzkiej ze strony administratora

2) prawo do wyrażenia własnego stanowiska

3) prawo do zakwestionowania tej decyzji.

Ogólna charakterystyka działań administratora

Aby zapewnić rzetelność i przejrzystość przetwarzania wobec osoby, której dane dotyczą, mając na uwadze konkretne okoliczności i kontekst przetwarzania danych osobowych, administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę powodujcych nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegający m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny, orientację seksualną lub skutkujący środkami mającymi taki efekt.

Ponad to, do tego szczególnego sposobu, należy stosować wszelkie ogólne przepisy dotyczące przetwarzania danych osobowych, takie jak przepisy określające podstawy prawne przetwarzania lub zasady ochrony danych.

Porównanie przepisów UODO/GDPR

Uodo

GDPR

Art. 26a. 1. Niedopuszczalne jest ostateczne rozstrzygnięcie indywidualnej sprawy osoby, której dane dotyczą, jeżeli jego treść jest wyłącznie wynikiem operacji na danych osobowych, prowadzonych w systemie informatycznym.

2. Przepisu ust. 1 nie stosuje się, jeżeli rozstrzygnięcie zostało podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą, albo jeżeli zezwalają na to przepisy prawa, które przewidują również środki ochrony uzasadnionych interesów osoby, której dane dotyczą.

Artykuł 22 Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie

1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja:

a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;

b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub

c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

3. W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

4. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

 

Źródła: http://www.lex.pl/czytaj/-/artykul/giodo-trzeba-informowac-klienta-o-tworzeniu-jego-profilu

Przeczytaj również:

UDOSTĘPNIJ
Poprzedni artykułPrawo do wniesienia skargi do organu nadzorczego
Następny artykułPrzedmiot i cele GDPR
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.