Nawigacja
RODO > Artyku艂 22. Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie
Pobierz jako plik PDF

Artyku艂 22 RODO. Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie

Article 22 GDPR. Automated individual decision-making, including profiling

1. Osoba, kt贸rej dane dotycz膮, ma prawo do tego, by nie podlega膰 decyzji, kt贸ra opiera si臋 wy艂膮cznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywo艂uje wobec tej osoby skutki prawne lub w podobny spos贸b istotnie na ni膮 wp艂ywa.

1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.

Komentarz eksperta
(EN) Author
Siarhei Varankevich
(EN) Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
(EN) Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

2. Ust. 1 nie ma zastosowania, je偶eli ta decyzja:

2. Paragraph聽1 shall not apply if the decision:

a) jest niezb臋dna do zawarcia lub wykonania umowy mi臋dzy osob膮, kt贸rej dane dotycz膮, a administratorem;

(a)聽is necessary for entering into, or performance of, a contract between the data subject and a data controller;

b) jest dozwolona prawem Unii lub prawem pa艅stwa cz艂onkowskiego, kt贸remu podlega administrator i kt贸re przewiduje w艂a艣ciwe 艣rodki ochrony praw, wolno艣ci i prawnie uzasadnionych interes贸w osoby, kt贸rej dane dotycz膮; lub

(b)聽is authorised by Union or Member聽State law to which the controller is subject and which also lays down suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests; or

c) opiera si臋 na wyra藕nej zgodzie osoby, kt贸rej dane dotycz膮.

(c)聽is based on the data subject’s explicit consent.

Powi膮zane teksty

3. W przypadkach, o kt贸rych mowa w ust. 2 lit. a) i c), administrator wdra偶a w艂a艣ciwe 艣rodki ochrony praw, wolno艣ci i prawnie uzasadnionych interes贸w osoby, kt贸rej dane dotycz膮, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyra偶enia w艂asnego stanowiska i do zakwestionowania tej decyzji.

3. In the cases referred to in points (a) and (c) of paragraph聽2, the data controller shall implement suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests, at least the right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision.

4. Decyzje, o kt贸rych mowa w ust. 2, nie mog膮 opiera膰 si臋 na szczeg贸lnych kategoriach danych osobowych, o kt贸rych mowa w art. 9 ust. 1, chyba 偶e zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istniej膮 w艂a艣ciwe 艣rodki ochrony praw, wolno艣ci i prawnie uzasadnionych interes贸w osoby, kt贸rej dane dotycz膮.

4. Decisions referred to in paragraph 2 shall not be based on special categories of personal data referred to in Article聽9(1), unless point (a) or (g) of Article 9(2) applies and suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests are in place.

Powi膮zane teksty
Komentarz eksperta ISO 27701 Motywy Wytyczne & Case Law zostaw komentarz
Komentarz eksperta

(EN)

Data Subject Request Letter Sample

Concern: Request to object to automated decision

Dear Madam, Dear Sir,

I am subject to a decision made by your [company | organization | etc.] based solely on [automated processing | profiling | etc.].


aby uzyska膰 dost臋p do pe艂nego tekstu

(EN) Author
Louis-Philippe Gratton
(EN) Louis-Philippe Gratton PhD, LLM
(EN) Privacy Expert
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 22 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.


aby uzyska膰 dost臋p do pe艂nego tekstu

Motywy

(71) Osoba, kt贸rej dane dotycz膮, powinna mie膰 prawo do tego, by nie podlega膰 decyzji 鈥 mog膮cej obejmowa膰 okre艣lone 艣rodki 鈥 kt贸ra ocenia jej czynniki osobowe, opiera si臋 wy艂膮cznie na przetwarzaniu zautomatyzowanym i wywo艂uje wobec osoby, kt贸rej dane dotycz膮, skutki prawne lub w podobny spos贸b znacz膮co na ni膮 wp艂ywa, jak na przyk艂ad automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. Do takiego przetwarzania zalicza si臋 鈥瀙rofilowanie鈥 鈥 kt贸re polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalaj膮cym oceni膰 czynniki osobowe osoby fizycznej, a w szczeg贸lno艣ci analizowa膰 lub prognozowa膰 aspekty dotycz膮ce efekt贸w pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowa艅, wiarygodno艣ci lub zachowania, lokalizacji lub przemieszczania si臋 osoby, kt贸rej dane dotycz膮 鈥 o ile wywo艂uje skutki prawne wzgl臋dem tej osoby lub w podobny spos贸b znacz膮co na ni膮 wp艂ywa. Niemniej podejmowanie decyzji na podstawie takiego przetwarzania, w tym profilowania, powinno by膰 dozwolone, w przypadku gdy jest to wyra藕nie dopuszczone prawem Unii lub prawem pa艅stwa cz艂onkowskiego, kt贸remu podlega administrator, w tym do cel贸w monitorowania i zapobiegania 鈥 zgodnie z uregulowaniami, standardami i zaleceniami instytucji Unii lub krajowych podmiot贸w nadzoruj膮cych 鈥 oszustwom i uchylaniu si臋 od podatk贸w oraz do zapewniania bezpiecze艅stwa i niezawodno艣ci us艂ug 艣wiadczonych przez administratora, lub gdy jest niezb臋dne do zawarcia lub wykonania umowy mi臋dzy osob膮, kt贸rej dane dotycz膮, a administratorem, lub gdy osoba, kt贸rej dane dotycz膮, wyrazi艂a wyra藕n膮 zgod臋. Przetwarzanie takie powinno zawsze podlega膰 odpowiednim zabezpieczeniom, obejmuj膮cym informowanie osoby, kt贸rej dane dotycz膮, prawo do uzyskania interwencji cz艂owieka, prawo do wyra偶enia w艂asnego stanowiska, prawo do uzyskania wyja艣nienia co do decyzji wynik艂ej z takiej oceny oraz prawo do zakwestionowania takiej decyzji. Takie przetwarzanie nie powinno dotyczy膰 dzieci.

(71) The data subject should have the right not to be subject to a decision, which may include a measure, evaluating personal aspects relating to him or her which is based solely on automated processing and which produces legal effects concerning him or her or similarly significantly affects him or her, such as automatic refusal of an online credit application or e-recruiting practices without any human intervention. Such processing includes 鈥榩rofiling鈥 that consists of any form of automated processing of personal data evaluating the personal aspects relating to a natural person, in particular to analyse or predict aspects concerning the data subject's performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, where it produces legal effects concerning him or her or similarly significantly affects him or her. However, decision-making based on such processing, including profiling, should be allowed where expressly authorised by Union or Member聽State law to which the controller is subject, including for fraud and tax-evasion monitoring and prevention purposes conducted in accordance with the regulations, standards and recommendations of Union institutions or national oversight bodies and to ensure the security and reliability of a service provided by the controller, or necessary for the entering or performance of a contract between the data subject and a controller, or when the data subject has given his or her explicit consent. In any case, such processing should be subject to suitable safeguards, which should include specific information to the data subject and the right to obtain human intervention, to express his or her point of view, to obtain an explanation of the decision reached after such assessment and to challenge the decision. Such measure should not concern a child.

Aby zapewni膰 rzetelno艣膰 i przejrzysto艣膰 przetwarzania wobec osoby, kt贸rej dane dotycz膮, maj膮c na uwadze konkretne okoliczno艣ci i kontekst przetwarzania danych osobowych, administrator powinien stosowa膰 odpowiednie matematyczne lub statystyczne procedury profilowania, wdro偶y膰 艣rodki techniczne i organizacyjne zapewniaj膮ce w szczeg贸lno艣ci korekt臋 powodujcych nieprawid艂owo艣ci w danych osobowych i maksymalne zmniejszenie ryzyka b艂臋d贸w, zabezpieczy膰 dane osobowe w spos贸b uwzgl臋dniaj膮cy potencjalne ryzyko dla interes贸w i praw osoby, kt贸rej dane dotycz膮, oraz zapobiegaj膮cy m.in. skutkom w postaci dyskryminacji os贸b fizycznych z uwagi na pochodzenie rasowe lub etniczne, pogl膮dy polityczne, wyznanie lub przekonania, przynale偶no艣膰 do zwi膮zk贸w zawodowych, stan genetyczny lub zdrowotny, orientacj臋 seksualn膮 lub skutkuj膮cy 艣rodkami maj膮cymi taki efekt. Zautomatyzowane podejmowanie decyzji i profilowanie oparte na szczeg贸lnych kategoriach danych osobowych powinny by膰 dozwolone wy艂膮cznie przy zachowaniu szczeg贸lnych warunk贸w.

In order to ensure fair and transparent processing in respect of the data subject, taking into account the specific circumstances and context in which the personal data are processed, the controller should use appropriate mathematical or statistical procedures for the profiling, implement technical and organisational measures appropriate to ensure, in particular, that factors which result in inaccuracies in personal data are corrected and the risk of errors is minimised, secure personal data in a manner that takes account of the potential risks involved for the interests and rights of the data subject and that prevents, inter alia, discriminatory effects on natural persons on the basis of racial or ethnic origin, political opinion, religion or beliefs, trade union membership, genetic or health status or sexual orientation, or that result in measures having such an effect. Automated decision-making and profiling based on special categories of personal data should be allowed only under specific conditions.

(72) Profilowanie podlega przepisom niniejszego rozporz膮dzenia dotycz膮cym przetwarzania danych osobowych, takim jak przepisy okre艣laj膮ce podstawy prawne przetwarzania lub zasady ochrony danych. Europejska Rada Ochrony Danych ustanowiona niniejszym rozporz膮dzeniem powinna mie膰 mo偶liwo艣膰 wydawania wskaz贸wek w tym wzgl臋dzie.

(72) Profiling is subject to the rules of this Regulation governing the processing of personal data, such as the legal grounds for processing or data protection principles. The European Data Protection Board established by this Regulation (the 鈥楤oard鈥) should be able to issue guidance in that context.

Wytyczne & Case Law zostaw komentarz
[js-disqus]