Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Od teorii do praktyki zautomatyzowanego podejmowania decyzji

23-02-2018 Autor: Sławomir Kowalski

Rodo okazuje się zbiorem wyzwań interpretacyjnych. Jednym z nich jest kwestia opisana w art. 22 rodo dotycząca podejmowania decyzji, będących wynikiem wyłącznie zautomatyzowanego przetwarzania danych osobowych.

 

Może mieć to bardzo duże znaczenie praktyczne nie tylko dla podmiotów świadczących zaawansowane technologicznie usługi oparte na złożonej analizie dużej ilości danych, ale także dla podmiotów stosujących automatyzację procesów biznesowych, co w dzisiejszym świecie jest już standardem. Z tego powodu tak ważna jest odpowiedź na pytanie o zakres zastosowania i rzeczywisty sens tego przepisu.

Zakaz czy  prawo

Wątpliwości może budzić już sam charakter przepisu, który jest postrzegany przeważnie jako generalny zakaz podejmowania decyzji, opartej wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, o ile taka decyzja wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób istotnie na nią wpływa. Warto zwrócić uwagę, że taka interpretacja art. 22 ust. 1 rodo nie ma podstaw w literalnym brzmieniu przepisu. Nie formułuje on przecież zakazu, ale odnosi się do prawa podmiotu danych do tego, by nie podlegać zautomatyzowanej decyzji.

Konstrukcja przepisu wyraźnie odbiega od art. 9 rodo, który przewiduje zakaz przetwarzania danych szczególnych kategorii i wprost na ten zakaz wskazuje. Ponadto art. 22 został umieszczony w rozdziale III rodo zatytułowanym „Prawa osoby, której dane dotyczą”, a zatem w części opisującej uprawnienia podmiotów danych, które te podmioty mogą wykonywać, podejmując odpowiednie działania, np. składając wniosek lub zgłaszając sprzeciw. Względy kontekstowe i literalne brzmienie przepisu przemawiają zatem za uznaniem, że nie ma on charakteru zakazowego, ale jest źródłem uprawnienia podmiotu danych.

Jednoznaczne stanowisko zajęła w tym zakresie Grupa Robocza art. 29. Z wytycznych dotyczących zautomatyzowanego podejmowania indywidualnych decyzji oraz profilowania1 wynika, że Grupa Robocza art. 29 interpretuje art. 22 ust. 1 jako generalny zakaz zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach, o ile przetwarzanie wywołuje wobec podmiotu danych istotne skutki, a przetwarzanie w ten sposób danych osobowych jest dopuszczalne jedynie na zasadzie wyjątku, w sytuacjach określonych w art. 22 ust. 2 rodo. Grupa Robocza art. 29 rozstrzyga tę kwestię arbitralnie i nie uzasadnia swojego stanowiska. Biorąc jednak pod uwagę praktyczną doniosłość wytycznych formułowanych przez Grupę Roboczą art. 29, należy się spodziewać, że jej stanowisko będzie przyjmowane przez podmioty dostosowujące się do rodo jako punktu odniesienia do podejmowanych działań dostosowawczych.

Przesłanka decyzji

Istnienie indywidualnie skierowanej do podmiotu danych decyzji jest podstawowym warunkiem zastosowania przedmiotowego zakazu przetwarzania. Jeśli zatem wynikiem przetwarzania danych nie będzie decyzja, to zakaz nie ma zastosowania. Ten właśnie element odróżnia zautomatyzowane podejmowanie decyzji od profilowania, które samo w sobie nie musi prowadzić do decyzji.

Decyzja nie musi być komunikowana podmiotowi danych. Wystarczy, że w wyniku automatycznego przetwarzania nastąpi skutek skierowany wobec podmiotu danych. Jeśli zatem system informatyczny wykryje działanie użytkownika sieci informatycznej, mogące wskazywać na nieprawidłowość jego zachowania i w związku z tym będzie go dokładniej obserwował i analizował jego dalsze działania, to mamy do czynienia z decyzją. Tym bardziej decyzją będzie uniemożliwienie dalszego korzystania z usługi przez użytkownika, którego działania zostały zakwalifikowane jako niebezpieczne lub niezgodne z ustalonymi warunkami.

Przesłanka wyłącznie zautomatyzowanego przetwarzania

Warto zwrócić uwagę, że przesłanka zautomatyzowania dotyczy decyzji, ale już nie ewentualnego komunikowania tej decyzji podmiotowi danych. W przypadku, gdy decyzja jest wynikiem wyłącznie automatycznego przetwarzania, a komunikacja tej decyzji odbywa się z udziałem człowieka, np. konsultanta przekazującego telefonicznie odpowiedź na złożony wniosek, to nie ma to wpływu na ocenę istnienia przesłanek zastosowania zakazu z art. 22 ust. 1 rodo.

Pojęcie zautomatyzowanego przetwarzania nie zostało zdefiniowane w rodo. Definicja znajduje się natomiast w Konwencji nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych2. Zgodnie z nią ,,«automatyczne przetwarzanie» oznacza operacje wykonywane w całości lub części przy pomocy metod zautomatyzowanych w tym rejestrowanie danych, z zastosowaniem do nich operacji logicznych i/albo arytmetycznych, ich modyfikowanie, usuwanie, odzyskiwanie lub rozpowszechnianie”. Zakres pojęcia zautomatyzowanego przetwarzania na podstawie tej definicji jest bardzo szeroki i obejmuje każde przetwarzanie, jakie odbywa się z wykorzystaniem oprogramowania.

[...]

Autor jest adwokatem w kancelarii Maruta Wachta sp.j.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.