RODO – Automatyczne podejmowanie decyzji

rodoKwestia automatycznego podejmowania decyzji na podstawie przetwarzania danych osobowych stanowiła jeden z najbardziej kontrowersyjnych obszarów podczas prac nad RODO.

W poprzednim wpisie wskazałem, czym jest profilowanie – zgodnie z art. 4 pkt 4 jest to dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Jak wynika z art. 22 ust. 1, osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

Od powyższego wprowadzono oczywiście wyjątki. Opisany wyżej przepis nie ma zastosowania, gdy ta decyzja:

  1. jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
  2. jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą;
  3. opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Art. 22 ust. 3 obliguje administratora powołującego się na wyjątki określone w punktach 1 i 3 do wdrożenia środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. Niezbędne minimum to:

  1. prawo do uzyskania interwencji ludzkiej ze strony administratora;
  2. prawo do wyrażenia własnego stanowiska;
  3. prawo do zakwestionowania przedmiotowej decyzji.

Co więcej, administrator danych nie może powoływać się na wskazane wyżej wyjątki przy przetwarzaniu danych wrażliwych, chyba że wprost wyraził na to zgodę zainteresowany lub przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym. Warunkiem jest tutaj jednak istnienie właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów podmiotu danych.

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Możesz użyć następujących tagów oraz atrybutów HTML-a: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>