Strona główna » Wiadomości » Analizy i komentarze » Dr Mednis: zakazane będą zautomatyzowane decyzje

Dr Mednis: zakazane będą zautomatyzowane decyzje

06.02.18

- Nie musimy żądać zgód na samo profilowanie. Nawet RODO pośrednio przyznaje, że profilowanie może opierać się na przesłankach innych niż zgoda, w szczególności  tzw. uzasadnionym interesie. Ale w takim przypadku zainteresowana osoba może zgłosić sprzeciw - wyjaśnia dr Arwid Mednis.

articleImage: Dr Mednis: zakazane będą zautomatyzowane decyzje Własne

Rozmowa z dr Arwidem Mednisem, Head of TMT/IP w kancelarii PwC, WPiA UW.

Czym jest profilowanie w nowym ujęciu rozporządzenia ogólnego o ochronie danych osobowych?
Profilowanie oznacza taki sposób przetwarzania danych, który polega na pewnej kategoryzacji ludzi oraz dopasowaniu konkretnej osoby do określonej kategorii, na podstawie cech tej osoby. To oznacza, że osoba może być oceniana na podstawie cech przypisanych grupie, do której ją zaliczono. Tu pojawia się problem dokładności tych cech. Jeśli np. profilowanie odbywa się na potrzeby badania ryzyka ubezpieczeniowego, to zaliczenie do pewnej grupy wiekowej powoduje, że osobie mogą być przypisane określone cechy, których ten konkretny człowiek nie posiada. Przykładowo, osoba w pewnym wieku musi np. zapłacić wyższą składkę za ubezpieczenie życiowe, choć cieszy się idealnym zdrowiem. A zatem mamy problem niedokładności profilowania. W związku z tym, jeśli dokonujemy kategoryzacji i kategorie przykładamy do konkretnych ludzi, to - w wypadku zautomatyzowanego procesu - algorytm powinien być jak najdokładniejszy. Inaczej taka firma może mieć kłopoty z wyjaśnieniem, dlaczego daną osobę przypisała do określonej kategorii, np. wysokiego ryzyka, i odmawia ubezpieczenia albo wylicza wyższe składki. Ten przykład to oczywiście uproszczenie, ale chodzi o pokazanie, że korelacje pomiędzy określonymi czynnikami, nie muszą oznaczać faktycznej przyczynowości zjawisk, a zatem profil osoby może być nieprawdziwy.

Czy algorytm trzeba ujawnić?
Nie, ale trzeba przedstawić osobie w ramach obowiązku informacyjnego podstawowe zasady działania algorytmu i jakie elementy bierze pod uwagę. Osoba, której dane się przetwarza, ma prawo dowiedzieć się o wszystkim, co firma o tej osobie wie i w jaki sposób te dane wykorzystuje. A firma ma obowiązek go o tym poinformować. Np. osoby mogą zapytać, po co firmie informacja np. o kolorze oczu. Firma może powiedzieć: istnieje korelacja między kolorem oczu a stanem zdrowia, gdyż na to wskazują statystyki. To oczywiście znowu przykład, który nie musi być prawdziwy.

Jakie obowiązki wynikają z tego dla przedsiębiorców?
Przede wszystkim obowiązek informacyjny w związku z profilowaniem. A także, zapewnienie dostępu do danych, jakie firma zbiera w związku z profilowaniem. Osoba ma także prawo dowiedzieć się o zasadach profilowania. Ponadto, RODO odróżnia profilowanie od  podejmowania zautomatyzowanych decyzji. Profilowanie jest zatem rodzajem oceny, na podstawie której może, ale nie musi zapaść zautomatyzowana decyzja. Zautomatyzowane decyzje generalnie są zaś zakazane, chyba że podejmujemy je po to, żeby zawrzeć lub zrealizować umowę, mamy szczególną podstawę prawną lub ewentualnie zgodę osoby.

RODO. Ogólne rozporządzenie o ochronie danych. Komentarz

RODO. Ogólne rozporządzenie o ochronie danych. Komentarz >>

Czy teraz, według nowych przepisów, wycofanie zgody na profilowanie będzie łatwiejsze czy trudniejsze?
Nie musimy żądać zgód na samo profilowanie. Nawet RODO w art. 21 pośrednio przyznaje, że profilowanie może opierać się na przesłankach innych niż zgoda, w szczególności przesłankach tzw. uzasadnionego interesu. Ale w takim przypadku osoba może zgłosić sprzeciw. W związku z tym, te firmy, które nie mają podstaw prawnych w innych przepisach, będą musiały na to zareagować. Zgoda też może być wycofana.

Zgoda nie musi być pisemna?
Nie. Może być wyrażona ustnie, ale pamiętajmy, że administrator musi udowodnić, że ma tę zgodę (według zasady rozliczalności). To można udowodnić, jeśli ma np. odpowiednie procedury.

Nie wystarczy kliknięcie "zgoda"?
Może tak być, o ile do profilowania nie wykorzystujemy np. danych genetycznych czy biometrycznych. Wtedy zgoda musi być wyraźna, ale niekoniecznie pisemna. Jeśli zgoda udzielona jest przez kliknięcie, to firma musi zapewnić równie łatwe wycofanie zgody, co najmniej w taki sam sposób jak jej udzielenie.

Czy zgoda jest potrzebna do podjęcia zautomatyzowanej decyzji?
Jeśli nie mamy szczególnej podstawy prawnej lub nie wykażemy, że jest to niezbędne do zawarcie umowy, wówczas jedynym rozwiązaniem jest zgoda, z tym że musi być wyraźna. Nie wystarczy więc dowolne zachowanie potwierdzające zamiar udzielenia zgody, tylko musi to być oświadczenie o zgodzie na podjęcie zautomatyzowanej decyzji. Poza tym, zgoda musi spełniać inne cechy, z których wyróżniłbym dobrowolność. Nikt nie może zostać zmuszony do jej udzielenia.


Rozmawiała: Katarzyna Żaczkiewicz-Zborska
 

WKP Galeria Zdjęć

Średnia ocena artykułu (oddanych głosów: 0)

 
ZOBACZ TAKŻE

  • Konferencja o RODO - "Zainwestuj w prywatność"

    Obrazek do artykułu: Konferencja o RODO -

    Przygotowanie do ogólnego rozporządzenia o ochronie danych (RODO) to temat przewodni obchodów Dnia Ochrony Danych Osobowych w 2018 r., których punktem kulminacyjnym będzie konferencja 29 stycznia br. p.t "Zainwestuj w prywatność. Przygotowujemy się... Więcej

  • Nowy przewodnik po RODO dotyczący szacowania ryzyka

    Obrazek do artykułu: Nowy przewodnik po RODO dotyczący szacowania ryzyka

    Zgodnie z RODO, każdy podmiot musi samodzielnie oceniać ryzyko, jakie przetwarzanie danych osobowych może spowodować dla praw i wolności osób, których te dane dotyczą. To właśnie te wartości należy przede wszystkim brać pod uwagę. Więcej

  • Warto zadbać o anonimizację danych osobowych przed wejściem RODO

    Obrazek do artykułu: Warto zadbać o anonimizację danych osobowych przed wejściem RODO

    Ogólne Rozporządzenie o Ochronie Danych Osobowych (tzw. RODO), które zacznie obowiązywać już za pół roku, stanowi ogromne wyzwanie dla właścicieli firm. Nowe przepisy obejmą wszystkich przedsiębiorców, przetwarzających dane osobowe w sposób... Więcej

  • Sekwencja obowiązków wynikających z RODO

    Obrazek do artykułu: Sekwencja obowiązków wynikających z RODO

    Nie istnieje gotowa dokumentacja zgodna z nowymi przepisami, która zastępuje obowiązujące „polityki” i „instrukcje”. Bez zrozumienia istoty zmian, nie da się odpowiednio przygotować do wdrożenia RODO - tłumaczy dr Dominik Lubasz, radca prawny i... Więcej

  • RODO: ochrona danych już od fazy projektowania

    Obrazek do artykułu: RODO: ochrona danych już od fazy projektowania

    Obowiązek stosowania mechanizmów zapewniających zgodność z RODO powstaje na każdym etapie działań związanych z przygotowaniem prac zorientowanych do przetwarzania danych, począwszy od ich projektowania - pisze adwokat Rafał Rozwadowski z kancelarii... Więcej

Zapisz się na newsletter
Polecamy w oficjalnej księgarni
Wolters Kluwer Profinfo.pl

zaastepstwo.pl
NAJCZĘŚCIEJ CZYTANE