Automatizované rozhodování a profilování – GDPR a ochrana osobních údajů

Automatizované rozhodování a profilování ve světle GDPR a ochrany osobních údajů (personal data X non-personal data)

Profilování a automatizované rozhodování se navzájem prolínají a souvisí jedno s druhým, ale přesto jedná se o dva samostatné instituty s vlastními pravidly. Tato pravidla stanovuje od května 2018 zejména Obecné nařízení Evropského Parlamentu o ochraně a zpracování osobních údajů č. 2016/679 („GDPR“). Pro legální využití těchto metod je nezbytně nutné respektování pravidel stanovených v GDPR, neboť tyto metody bezesporu představují vyšší riziko v oblasti ochrany práv a zájmů jednotlivců. V praxi o automatizaci mluvíme ve všech případech zpracovávání osobních údajů pomocí počítačů, a programů v nich obsažených.

Definici profilování nalezneme společně s dalšími definicemi jednotlivých pojmů, konkrétně v článku 4 bodě 4 GDPR, který definuje, že „profilováním se rozumí jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména za účelem rozboru nebo odhadu resp. analýzy či předvídání aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu“. Již z této definice lze dovodit, že jako profilování ve smyslu GDPR může být a bude hodnocena celá řada aktivit prováděných obchodními společnostmi, ať již monitorování chování návštěvníků webových stránek za účelem marketingu, či ve finančním sektoru mimo jiné za účelem poskytnutí úvěru, případně v pracovněprávní agendě, např. v souvislosti s náborem nových zaměstnanců. Totožnou definici profilování a zmíněné příklady obsahuje i text 71. recitálu GDPR, které zmiňuje profilování ve vztahu právě k automatizovanému rozhodování.

Při profilování jsou o jednotlivci či skupině lidí shromažďovány nejrůznější (nejen) osobní údaje, jež správce využívá k vytvoření profilu a jeho zařazení do kategorie či skupiny (často s využitím tzv. technologie big data, viz. další článek v záložce Digitalizace 4.0). Jednotlivci v takové skupině pak zpravidla sdílejí podobné znaky či vzorce chování, které umožní předpovídat způsob chování takové skupiny lidí v budoucnu. Jako příklad lze uvést zjištění, na jaký druh reklamy daná skupina nejlépe reaguje. K samotnému profilování správce nepotřebuje vždy souhlas profilované osoby – například v situaci, kdy je toto zpracování nezbytné pro oprávněné zájmy správce. Pochopitelně je v tomto případě třeba brát v potaz zejména povahu, účel a rozsah profilování; není tak vyloučeno, že by souhlas subjektu nakonec nutný byl (zejména v případě, když předmětem profilování budou osobní údaje, které nejsou dále anonymizovány, případně tzv. citlivé údaje).

Automatizované rozhodování naproti tomu znamená vytvoření rozhodnutí výhradně za pomoci výpočetních systémů, a to zcela bez zásahu člověka. Právě absence lidského faktoru je z pohledu GDPR z hlediska ochrany práv a zájmů subjektů nejrizikovější, neboť o těchto subjektech rozhoduje de facto přednastavený počítač s algoritmem. Tento postup vylučuje jakékoli zohlednění dalších aspektů podstatných pro rozhodnutí, které program sice nezná, ale které by mohly v konečném důsledku ovlivnit konkrétní rozhodnutí, pokud by takové činil člověk. Do režimu automatizovaného rozhodování se správce podle článku 22 GDPR dostane v případě, že (1) jsou určitá jeho rozhodnutí založena výhradně na automatizovaném zpracování osobních údajů a (2) tato rozhodnutí zároveň mají vůči subjektu údajů právní účinky nebo se ho významně dotýkají.

Automatizované rozhodování je umožněno pouze v případech, kdy (1) je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů, (2) je povoleno právem Unie nebo členského státu, které zároveň stanoví vhodná ochranná opatření, nebo kdy (3) je založeno na výslovném a zcela explicitně vyjádřeném souhlasu subjektu údajů.

Správce musí zároveň přijmout vhodná opatření na ochranu práv a oprávněných zájmů subjektů údajů, a informace o takto přijatých opatřeních poskytnout subjektům, o kterých automatizovaně rozhoduje. Tímto opatřením musí být alespoň právo subjektů údajů na lidský zásah ze strany správce, právo subjektu údajů vyjádřit svůj názor a právo napadnout dané rozhodnutí. Tyto výše uvedená práva subjektů osobních údajů jsou obecně stanovena jako právo subjektu nebýt předmětem automatizovaného rozhodování. V praxi to znamená, že správce by měl mít nastaven mechanizmus, jehož prostřednictvím může subjekt údajů kontaktovat správce a požadovat, aby bylo automatizované rozhodnutí přezkoumáno fyzickou osobou a následně přehodnoceno.

 

Pro více informací nás kontaktujte:

JUDr. Mojmír Ježek, Ph.D.

ECOVIS ježek, advokátní kancelář s.r.o.
Betlémské nám. 6
110 00 Praha 1
e-mail: mojmir.jezek@ecovislegal.cz
www.ecovislegal.cz

O ECOVIS ježek, advokátní kancelář s.r.o.:

Česká advokátní kancelář ECOVIS ježek se ve své praxi soustřeďuje především na obchodní právo, nemovitostní právo, vedení sporů, ale i financování a bankovní právo a poskytuje plnohodnotné poradenství ve všech oblastech, a tvoří tak alternativu pro klienty mezinárodních kanceláří. Mezinárodní rozměr poskytovaných služeb je zajištěn dosavadními zkušenostmi a prostřednictvím spolupráce s předními advokátními kancelářemi ve většině evropských zemí, USA a dalších jurisdikcích v rámci sítě ECOVIS působící v 75 zemích celého světa. Členové týmu advokátní kanceláře ECOVIS ježek mají dlouholeté zkušenosti z předních mezinárodních advokátních a daňových firem v poskytování právního poradenství nadnárodním korporacím, velkým českým společnostem, ale i středním firmám a individuálním klientům. Více informací na www.ecovislegal.cz.

Informace obsažené na této webové stránce jsou právnickou reklamou. Nepovažujte nic na této webové stránce za právní poradenství a nic na této webové stránce nepředstavuje vztah advokát-klient. Předtím, než začnete jednat o čemkoliv, o čem si na těchto stránkách přečtete, domluvte si právní konzultaci s námi. Dosavadní výsledky nejsou zárukou budoucích výsledků a předchozí výsledky neznamenají ani nepředpovídají budoucí výsledky. Každý případ je jiný a musí být posuzován podle vlastních okolností.

Comments are closed.