Odpowiedź
Z profilowaniem mamy do czynienia, gdy oceniane są czynniki osobowe w celu opracowania prognoz na temat danej osoby, nawet gdy nie skutkuje to podjęciem decyzji. Na przykład gdy firma lub organizacja poddaje analizie cechy danej osoby (takie jak wiek, płeć, wzrost) lub zaklasyfikuje ją do określonej kategorii, oznacza to, że ta osoba została poddana profilowaniu.
Decyzja, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, oznacza decyzję, która została podjęta za pomocą środków technicznych bez udziału człowieka. Nie musi się ona wiązać z profilowaniem.
Rozporządzenie o ochronie danych stanowi, że każdy ma prawo do tego, by nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, jeśli decyzja wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Decyzja wywołuje skutki prawne, gdy wpływa na prawa przysługujące danej osobie (np. prawo do głosowania). Ponadto przetwarzanie może mieć istotne skutki dla danej osoby, jeśli wpływa na jej sytuację, zachowanie i podejmowane wybory. Na przykład zautomatyzowane przetwarzanie może prowadzić do odrzucenia wniosku o kredyt złożonego przez internet.
Profilowanie i zautomatyzowane podejmowanie decyzji stały się powszechną praktyką w wielu sektorach rynku, takich jak sektor bankowy i finansowy, podatkowy i opieki zdrowotnej. Działania te wpływają pozytywnie na wydajność, ale negatywnie na przejrzystość i mogą też zawężać nasze pole wyboru.
Mimo iż ogólna zasada mówi, że każdy ma prawo do tego, by nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, ten tryb podejmowania decyzji może być wyjątkowo dozwolony gdy przepisy dopuszczają korzystanie z algorytmów i gwarantują jednocześnie odpowiednie zabezpieczenia.
Decyzje oparte wyłącznie na zautomatyzowanym przetwarzaniu są także dozwolone w następujących przypadkach:
- gdy jest to niezbędne (czyli jest to jedyny możliwy sposób na osiągnięcie wspólnego celu) do zawarcia lub wykonania umowy z osobą, której dane dotyczą;
- gdy osoba, której dane dotyczą, udzieliła wyraźnej zgody.
W powyższych dwóch przypadkach decyzja taka musi podlegać odpowiednim zabezpieczeniom, aby gwarantować ochronę praw i wolności osoby, której dotyczy. Firma lub organizacja ma obowiązek, co najmniej, powiadomić osobę, której dane dotyczą, o przysługującym jej prawie do uzyskania interwencji człowieka, i przygotować wymagane rozwiązania proceduralne, a ponadto poinformować o prawie do wyrażenia własnego stanowiska i prawie do zakwestionowania takiej decyzji.
Decyzje podejmowane za pomocą algorytmów oparte na szczególnych kategoriach danych osobowych powinny być dozwolone wyłącznie po uzyskaniu zgody osoby, której dotyczą, lub gdy są dozwolone przez prawo UE lub przepisy krajowe (zob. wyżej).
Przykład
Bierzesz pożyczkę, korzystając z usług bankowości internetowej. W tym celu musisz podać swoje dane, a następnie algorytm bankowy generuje informację o zdolności kredytowej i proponowanym oprocentowaniu. W tym momencie musisz otrzymać także informację o tym, że masz prawo wyrazić swoje stanowisko, zakwestionować decyzję, a także zażądać, aby decyzja oparta na algorytmie została zweryfikowana przez człowieka.
Odnośniki
Example
You use an online bank for a loan. You are asked to insert your data and the bank’s algorithm tells you whether the bank will grant you the loan or not and gives the suggested interest rate. You must be informed that you may express your opinion, contest the decision and demand that the decision made via the algorithm be reviewed by a person.