Odpowiedź
Tak, osoby fizyczne nie powinny podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu (takim jak algorytmy), która wywołuje wobec nich skutki prawne lub w podobny sposób istotnie na nie wpływa.
Decyzję można uznać za wywołującą skutki prawne, gdy wpływa na prawa przysługujące danej osobie lub jej status prawny (jak np. prawo do głosowania). Ponadto przetwarzanie może mieć istotne skutki dla danej osoby, jeśli wpływa na jej sytuację osobistą, zachowanie lub podejmowane wybory (na przykład zautomatyzowane przetwarzanie może prowadzić do odrzucenia internetowego wniosku o kredyt).
Wykorzystanie zautomatyzowanego przetwarzania do podejmowania decyzji jest dozwolone wyłącznie w następujących przypadkach
- decyzja na podstawie algorytmu jest niezbędna (czyli jest to jedyny możliwy sposób na osiągnięcie tego samego celu) do zawarcia lub wykonania umowy z osobą, której dane Twoja firma/organizacja przetwarza za pomocą algorytmu (np. internetowy wniosek o kredyt),
- szczegółowe przepisy prawa unijnego lub krajowego pozwalają na korzystanie z algorytmów i w związku z tym przewidują odpowiednie zabezpieczenia praw, wolności oraz uzasadnionych interesów osób fizycznych (np. regulacje dotyczące zapobiegania uchylaniu się od opodatkowania),
- osoba fizyczna udzieliła wyraźnej zgody na podejmowanie decyzji na podstawie algorytmu.
Tak podjęta decyzja musi jednak chronić prawa, wolności i uzasadnione interesy jednostki poprzez odpowiednie zabezpieczenia. Poza przypadkami, w których taka forma podejmowania decyzji jest oparta na przepisach prawa, osobę fizyczną należy poinformować co najmniej o (i) zasadach podejmowania takich decyzji, (ii) prawie do uzyskania interwencji człowieka, (iii) możliwych konsekwencjach przetwarzania oraz (iv) prawie do zakwestionowania takiej decyzji. Twoja firma/organizacja musi zatem przygotować wymagane rozwiązania proceduralne, aby osoba, której dane dotyczą, mogła wyrazić swoje stanowisko i miała możliwość zakwestionowania takiej decyzji.
Wreszcie, należy w szczególności zwracać uwagę, czy używany algorytm wykorzystuje szczególne kategorie danych osobowych: zautomatyzowane podejmowanie decyzji jest dozwolone wyłącznie w następujących okolicznościach:
- gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę, lub
- przetwarzanie jest niezbędne do realizacji znaczącego interesu publicznego na podstawie prawa UE bądź przepisów krajowych.
Ponadto jeśli dane dotyczą dzieci, należy unikać podejmowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywołują wobec nich skutki prawne lub w podobny sposób istotnie na nie wpływają, gdyż dzieci stanowią grupę społeczną wymagającą szczególnej opieki.
Przykład
Twoja firma/organizacja prowadzi bank internetowy oferujący pożyczki. Klienci wprowadzają swoje dane, a algorytm generuje informacje dotyczące tego, czy należy danemu klientowi przedstawić ofertę kredytu i jakie mu zaproponować oprocentowanie. Przed przedstawieniem decyzji potencjalnemu klientowi Twoja firma/organizacja powinna ją zweryfikować, a ponadto poinformować go o przysługującym mu prawie do wyrażenia swojej opinii i możliwości zakwestionowania decyzji, pamiętając, że klient ma prawo do tego, by nie podlegać decyzji opartej na algorytmach.
Odnośniki
Example
Your company/organisation is an online bank offering loans. Clients insert their data and an algorithm produces results on whether they should be offered a loan or not and the suggested interest rate. Your company/organisation needs to review the said decision before communicating to the prospective client and inform him that he may express his opinion and eventually contest the decision, keeping in mind that the individual has the right not to be subject to a decision based on algorithms.