Navigace
ONOOÚ (GDPR) > Статья 22. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование
Stáhnout

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

1. Субъект данных имеет право не подвергаться решению, которое основано исключительно на автоматизированной обработке, в том числе профилировании, вызывающему для него юридические последствия или похожим образом существенно влияющему на него.

Odborný komentář
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

2. Параграф 1 не применяется, если решение:

Odborný komentář

(а) необходимо для заключения или исполнения договора между субъектом данных и контролёром данных;

Odborný komentář

(b) разрешено законодательством Союза или государства-члена, которому подчиняется контролёр, и которое также устанавливают надлежащие меры защиты прав, свобод и законных интересов субъекта данных; или

Odborný komentář

(с) основывается на отчетливом согласии субъекта данных.

Odborný komentář
Související texty

3. В случаях, указанных в пунктах (а) и (с) параграфа 2, контролёр должен применять надлежащие меры для защиты прав, свобод и легитимных интересов субъекта данных, как минимум, права требовать людского вмешательства со стороны контролёра, права выражать свою позицию, а также оспаривать это решение.

Odborný komentář

4. Решения, упомянутые в параграфе 2, не должны основываться на специальных категориях персональных данных, указанных в Статье 9(1), кроме случаев, когда применяются пункты (а) или (g) Статьи 9(2) и приняты надлежащие меры защиты прав, свобод и законных интересов субъекта данных.

Odborný komentář
Související texty
Odborný komentář ISO 27701 Body odůvodnění Pokyny & Case Law Zanechat komentář
Odborný komentář

(EN)

Data Subject Request Letter Sample

Concern: Request to object to automated decision

Dear Madam, Dear Sir,

I am subject to a decision made by your [company | organization | etc.] based solely on [automated processing | profiling | etc.].

(EN) […]


to read the full text

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 22 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

(EN) […]


to read the full text

Body odůvodnění

(71) Субъект данных должен иметь право не подвергаться решению, которое может включать в себя конкретные меры, оценивающему характеристики личности, основанному исключительно на автоматизированной обработке и влекущему правовые последствия либо влияет на него в столь же значительной степени, как, например, автоматический отказ в онлайн-форме заявки на кредит или онлайн-рекрутинга без какого-либо человеческого посредничества. Такие виды обработок включают в себя “профилирование”, которое состоит из любых форм автоматической обработки персональных данных, оценивающих характеристики личности, принадлежащие физическому лицу, в частности анализируют либо предсказывают характеристики субъекта данных, касающиеся работы, экономической ситуации, здоровья, личных предпочтений и интересов, достоверность или поведение, местоположение или перемещение, которые порождают правовые последствия, касающиеся субъекта данных либо влияют на него в столь же значительной степени. Однако, принятие решений, основанных на подобных обработках, включая профилирование, должно быть разрешено, когда это прямо разрешено законодательством Союза или государства-члена, субъектом которого является контролёр, включая мониторинг мошенничества и уклонение от налогов, предупредительные меры, осуществляемые вы соответствии регламентами, стандартами и рекомендациями ведомств Союза или национальных надзорных структур и для обеспечения безопасности и надежности предоставляемых контролёром услуг, или необходимо для заключения или исполнения договора между субъектом данных и контролёром, либо когда субъектом данных было дано прямое согласие. В любом случае подобная обработка должна подлежать соответствующим мерам защиты, которые должны включать в себя специфическую информацию о субъекте данных и право требовать людского вмешательства, для выражения своей точки зрения, требования объяснения решения, принятого в результате такой оценки, и для изменения решения. Данная мера не должна относиться к ребенку.

Для обеспечения справедливости и прозрачности обработки в отношении субъекта данных, с учетом конкретных обстоятельств и контекста обработки персональных данных, контролёр должен использовать подобающие математические или статистические процедуры профилирования, выполнения технических и организационных мер, гарантирующих, в частности, что факторы, приводящие к неточностям персональных данных, исправлены и риск ошибок минимизированы, защиту персональных данных таким способом, который учитывает потенциальные риски, связанные с интересами и правами субъекта данных, и не допускать, среди прочего, дискриминационного воздействия на физических лиц на основе расового или этнического происхождения, политических предпочтений, религии или убеждений, членства в профсоюзе, генетических предрасположенностей, состояния здоровья или сексуальной ориентации, или не допустить принятия мер, которые могут воздействовать подобным образом. Автоматизированный процесс принятия решения и профилирование, базирующиеся на специальных категориях персональных данных (чувствительные данные) должна быть разрешена только при определенных условиях.

(72) Профилирование подчиняется настоящему Регламенту части обработки персональных данных, в том числе правовым основаниям обработки, принципам защиты данных. Европейский совет по защите персональных данных, учрежденный настоящим Регламентом, должен быть в состоянии давать руководящие указания по данному вопросу.

Pokyny & Case Law Zanechat komentář
[js-disqus]