Luarea automată a deciziilor individuale – §22 GDPR

Luarea automată a deciziilor individuale – §22 GDPR

Știați că GDPR protejează, de asemenea, datele dvs. cu caracter personal împotriva unei decizii automatizate nedrepte?

Dacă credeți că acest lucru ar putea fi relevant pentru o decizie care a fost luată cu privire la dvs. (de exemplu, o bancă a refuzat un credit ipotecar sau v-a refuzat abonamentul la sala de sport), sau sunteți interesat să aflați mai multe, citiți mai departe pentru a afla cum să vă exercitați dreptul de a fi protejat împotriva luării automate a deciziilor…

Dreptul dumneavoastră de a fi protejat împotriva luării automate a deciziilor!

Procesul decizional automatizat (sau ADM) reprezintă luarea deciziilor prin mijloace tehnologice, cum ar fi un algoritm sau un computer. GDPR interzice ca persoanele fizice să fie supuse unor decizii „bazate exclusiv pe prelucrarea automată”. Acest lucru înseamnă că, în anumite circumstanțe, companiile, autoritățile și alte entități nu pot lua decizii cu privire la persoane fizice folosind doar tehnologie și fără intervenție umană.

Datele utilizate în cadrul ADM pot fi colectate în diferite moduri: datele pot fi furnizate direct de către persoane, de exemplu, prin intermediul unui chestionar, prin observarea persoanelor, prin colectarea datelor de localizare de la o aplicație de pe telefon sau prin derivarea datelor dintr-un profil pe care l-ați creat deja sau care a fost creat despre dumneavoastră.

Câteva exemple de cazuri în care ați putea face obiectul ADM: banca dvs. refuză un împrumut pe baza unui algoritm dintr-un program informatic, un furnizor de telecomunicații nu vă acceptă drept client pentru că o agenție de solvabilitate a returnat un rezultat negativ despre dvs. sau operatorul unei platforme este sancționat de un algoritm pentru că a refuzat mai multe cereri.

ADM nu trebuie confundat cu crearea de profiluri. Profilarea implică prelucrarea datelor cu caracter personal în scopul de a evalua aspecte personale, de exemplu, caracteristicile sau tiparele comportamentale ale persoanelor. Acest lucru se face adesea pentru a plasa persoanele în anumite categorii pentru a le analiza sau a le prezice în continuare comportamentul. Profilarea nu conduce întotdeauna la ADM, iar ADM nu este întotdeauna luată pe baza profilării.

  • Pasul 1: Identificați dreptul pe care doriți să îl exercitați
  • Pasul 2: Datele de contact ale operatorului
  • Pasul 3: Redactați cererea dvs.
  • Pasul 4: Răspunsul operatorului
  • Pasul 5: Ce se întâmplă dacă operatorul îmi refuză cererea?

Dreptul de a fi protejat împotriva ADM este ușor diferit de celelalte drepturi ale persoanelor vizate din RGPD, deoarece implică o protecție care va exista indiferent dacă o persoană face sau nu o cerere către operator sau întreprinde o acțiune în justiție. Acest drept interzice utilizarea ADM.

Utilizarea ADM este interzisă atunci când:

  • Decizia se bazează exclusiv pe o decizie automată: Acestea sunt, de obicei, situații în care decizia este luată fără intervenție umană. Intervenția umană trebuie să vină din partea unei persoane care are autoritatea și competența de a schimba decizia, dacă este necesar. Un controlor nu poate încerca să evite interdicția prin inventarea unei implicări umane minime sau foarte slabe.
  • Decizia produce efecte juridice sau efecte semnificative similare
    • Efectele juridice înseamnă rezultate care afectează drepturile legale sau statutul juridic al unei persoane. Printre acestea se numără anularea unui contract, refuzul de a primi beneficii sau de a beneficia de anumite drepturi, cum ar fi intentarea unei acțiuni în justiție sau de a vota, sau refuzul de a vă schimba cetățenia sau starea civilă.
    • Efecte semnificative similare înseamnă efecte cu o gravitate comparabilă cu cea a efectelor juridice de mai sus. Acestea ar putea include refuzul unei cereri de credit online, faptul de a fi supus unui proces de recrutare electronică fără intervenție umană, imposibilitatea de a avea acces la servicii de sănătate sau educație, refuzul oportunităților de angajare sau discriminarea în oricare dintre aceste procese.

Da. În cazul în care anumite temeiuri juridice sunt utilizate pentru prelucrare, atunci nu există nicio interdicție de a lua decizii utilizând doar ADM.

Operatorii pot utiliza ADM fără intervenție umană doar atunci când :

  • Decizia este necesară pentru a executa un contract;
  • Decizia este autorizată în temeiul legislației UE sau naționale, cum ar fi în cazul fraudei sau al evaziunii fiscale;
  • Ați acceptat în mod expres să vă supuneți unei astfel de decizii;

ADM nu ar trebui să implice categorii specifice de date („date sensibile”) decât în anumite circumstanțe și sub rezerva unor garanții.

În cazul în care nu sunteți sigur de temeiul juridic utilizat pentru prelucrarea datelor dumneavoastră cu caracter personal sau de datele care sunt prelucrate pentru un ADM, puteți depune o cerere de acces la operator. Aceștia au obligația legală de a vă furniza aceste informații.

Da! Ca urmare a protecției automate a GDPR împotriva ADM, aveți dreptul de a primi anumite informații și aveți dreptul la mai multe garanții.

Informații. În cazurile în care există un ADM, aveți dreptul de a cunoaște următoarele informații:

  • o explicație semnificativă despre modul în care a fost luată decizia, cum ar fi logica implicată și datele utilizate pentru a ajunge la decizie;
  • semnificația prelucrării: operatorul trebuie să explice de ce a fost adoptată decizia și raționamentul care a stat la baza concluziei;
  • consecințele preconizate pentru dumneavoastră ca urmare a prelucrării, adică ce intenționează operatorul să facă cu rezultatele ADM.

Măsuri de protecție. În cazul în care un operator prelucrează datele dumneavoastră cu caracter personal pentru ADM în temeiul uneia dintre excepțiile de mai sus, atunci acesta este obligat să pună în aplicare anumite garanții și să vă acorde anumite drepturi:

  • Dreptul de a obține o intervenție umană (de exemplu, ar trebui să intervină un om cu putere reală de a schimba decizia);
  • dreptul de a vă exprima punctul de vedere (de exemplu, o persoană ar trebui să asculte argumentele împotriva deciziei);
  • dreptul de a obține o explicație (de exemplu, o persoană ar trebui să explice cum s-a ajuns la decizie);
  • Dreptul de a contesta decizia (persoana care intervine trebuie să vă asculte punctul de vedere și să confirme decizia sau să o modifice pe baza argumentelor dumneavoastră).

Cum îmi pot exercita aceste drepturi?

  • În cazul în care nu sunteți sigur ce drept să vă exercitați, formularea unei cereri de acces vă poate oferi o idee mai bună despre ceea ce face operatorul cu datele dumneavoastră cu caracter personal și vă poate confirma dacă datele dumneavoastră cu caracter personal au fost utilizate pentru ADM. Acest lucru vă poate ajuta să decideți ce doriți să faceți în continuare. În acest caz, informați operatorul că solicitați informații care să confirme temeiul juridic al prelucrării și existența ADM, precum și logica, semnificația și consecințele acestei prelucrări.
  • În cazul în care considerați că ați făcut obiectul unui ADM în ciuda interdicției de a face acest lucru, puteți solicita operatorului să înceteze utilizarea unui ADM (urmați pasul 2 de mai jos) sau puteți depune o plângere la o autoritate de protecție a datelor.
  • Pentru a vă exercita dreptul la garanții atunci când ADM este utilizat în mod legal, urmați pașii de mai jos.

Cererea dumneavoastră de restricționare a prelucrării datelor dumneavoastră trebuie adresată operatorului (organizația/entitatea/administrația/compania care prelucrează datele dumneavoastră).

Acest lucru se poate face prin e-mail, scrisoare, fax sau prin intermediul unui formular, atâta timp cât aveți o înregistrare scrisă a cererii.

Adresa de e-mail relevantă poate fi găsită, de obicei, în secțiunea „Politica de confidențialitate” sau „Contactați-ne” de pe site-ul web al operatorului. Aceasta va avea, în general, un nume precum privacy@company.com sau legal@company.com. În cazul în care este dificil de găsit sau dacă nu există o adresă specifică la care să puteți trimite cererea dumneavoastră, aceasta este vina operatorului, nu a dumneavoastră – GDPR impune operatorilor să facă aceste informații ușor accesibile. În cazul în care nu există o adresă de e-mail specifică, puteți utiliza datele generale de contact ale operatorului.

  • Precizați că solicitați confirmarea faptului că datele dumneavoastră cu caracter personal sunt utilizate în scopuri ADM și ce garanții doriți să exercitați în legătură cu ADM. Un exemplu de propoziție în care să se precizeze garanțiile ar putea suna după cum urmează: „în conformitate cu drepturile persoanei vizate în temeiul articolului 22 din Regulamentul UE 2016/679, doresc să obțin o intervenție umană în legătură cu decizia/ să vă exprimați punctul de vedere/ să contestați decizia și pe ce motive/ să obțineți o explicație cu privire la decizie.” Puteți include mai multe sau doar unul dintre aceste drepturi.
  • Precizați numele dumneavoastră sau un alt identificator utilizat de operator (de exemplu, un nume de utilizator al contului). Pentru a ajuta operatorul să răspundă mai eficient la solicitarea dvs., includeți câteva informații care ar putea ajuta la identificarea contului dvs., cum ar fi numărul de telefon (dacă l-ați furnizat atunci când v-ați înregistrat), numele de utilizator sau numele contului sau adresa IP. Acest lucru va fi deosebit de util în cazul în care aveți un nume și un prenume comune.
  • Includeți data în text dacă ați trimis cererea dvs. într-un atașament la e-mail sau într-o scrisoare. Acest lucru clarifică termenul limită al operatorului pentru furnizarea informațiilor.

Odată ce operatorul primește cererea dumneavoastră, acesta are la dispoziție o lună pentru a răspunde. Această perioadă poate fi prelungită o singură dată cu cel mult două luni suplimentare, în cazul unor cereri complexe sau multiple.

Operatorul vă poate solicita informații suplimentare pentru a vă confirma identitatea în caz de îndoială. Cu toate acestea, o astfel de solicitare ar trebui să se limiteze la informațiile suplimentare necesare pentru a confirma cine sunteți. Informațiile suplimentare nu pot fi disproporționate, având în vedere contextul prelucrării datelor dumneavoastră (de exemplu, un magazin care vă cere o copie a pașaportului pentru a schimba adresa unui card de fidelitate ar fi disproporționat).

În general, aceste informații trebuie să vă fie furnizate în scris, dar vă pot fi comunicate prin mijloace electronice, cum ar fi e-mailul, sau pot fi furnizate oral, dacă solicitați acest lucru.

În cazul în care operatorul:

  • vă respinge cererea fără o explicație satisfăcătoare,
  • încearcă să vă taxeze în mod nejustificat pentru cererea dumneavoastră,
  • nu răspunde după o lună sau după termenul prelungit (maximum 3 luni în total),

aveți dreptul de a depune o plângere la o autoritate de protecție a datelor (de exemplu, APD din țara în care locuiți sau lucrați), iar operatorul ar trebui să vă informeze în acest sens.

Dacă aveți nevoie de asistență pentru a evalua elementele juridice ale răspunsului unui operator, ne puteți contacta la contact@ue.legal pentru a discuta despre pașii următori.

erichmocanu

Activist Civic fondator AEBS.org, Jurnalist si Expert extern in UE-GDPR / DPO