Navigation
GDPR > 22 straipsnis. Automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą
Download PDF

22 straipsnis BDAR. Automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą

1. Duomenų subjektas turi teisę, kad jam nebūtų taikomas tik automatizuotu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimas, dėl kurio jam kyla teisinės pasekmės arba kuris jam panašiu būdu daro didelį poveikį.

Expert commentary
Author
Siarhei Varankevich
Siarhei Varankevich CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Co-Founder & CEO of Data Privacy Office LLC. Data Protection Trainer and Principal Consultant

2. 1 dalis netaikoma, jeigu sprendimas:

Expert commentary

a) yra būtinas siekiant sudaryti arba vykdyti sutartį tarp duomenų subjekto ir duomenų valdytojo;

Expert commentary

b) yra leidžiamas Sąjungos arba valstybės narės teisėje, kurie taikomi duomenų valdytojui ir kuriais taip pat nustatomos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti; arba

Expert commentary

c) yra pagrįstas aiškiu duomenų subjekto sutikimu.

Expert commentary
Related

3. 2 dalies a ir c punktuose nurodytais atvejais duomenų valdytojas įgyvendina tinkamas priemones, kad būtų apsaugotos duomenų subjekto teisės bei laisvės ir teisėti interesai, bent teisė iš duomenų valdytojo reikalauti žmogaus įsikišimo, pareikšti savo požiūrį ir užginčyti sprendimą.

Expert commentary

4. 2 dalyje nurodyti sprendimai negrindžiami 9 straipsnio 1 dalyje nurodytais specialių kategorijų asmens duomenimis, nebent taikomi 9 straipsnio 2 dalies a arba g punktai ir yra nustatytos tinkamos priemonės duomenų subjekto teisėms bei laisvėms ir teisėtiems interesams apsaugoti.

Expert commentary
Related
Expert commentary ISO 27701 Recitals Guidelines & Case Law Leave a comment
Expert commentary

Data Subject Request Letter Sample

Concern: Request to object to automated decision

Dear Madam, Dear Sir,

I am subject to a decision made by your [company | organization | etc.] based solely on [automated processing | profiling | etc.].

[…]


to read the full text

Author
Louis-Philippe Gratton
Louis-Philippe Gratton PhD, LLM
Privacy Expert
ISO 27701

ISO/IEC 27701, adopted in 2019, added additional ISO/IEC 27002 guidance for PII controllers.

Here is the relevant paragraphs to article 22 GDPR:

7.2.2 Identify lawful basis

Control

The organization should determine, document and comply with the relevant lawful basis for the processing of PII for the identified purposes.

Implementation guidance

Some jurisdictions require the organization to be able to demonstrate that the lawfulness of processing was duly established before the processing.

[…]


to read the full text

Recitals

(71) duomenų subjektas turėtų turėti teisę į tai, kad jam nebūtų taikomas sprendimas, kuriame gali būti numatyta priemonė, kuria vertinami su juo susiję asmeniniai aspektai, kuri grindžiama tik automatizuotu duomenų tvarkymu, ir kuri jo atžvilgiu turi teisinių pasekmių arba jam daro panašų didelį poveikį, tokį kaip automatinio internetinės kredito paraiškos atmetimas ar elektroninio įdarbinimo praktika be žmogaus įsikišimo. Toks duomenų tvarkymas apima „profiliavimą“, kurį sudaro bet kokios formos automatizuotas asmens duomenų tvarkymas, kurį vykdant vertinami su fiziniu asmeniu susiję asmeniniai aspektai, visų pirma siekiant analizuoti arba numatyti aspektus, susijusius su duomenų subjekto darbo rezultatais, ekonomine padėtimi, sveikatos būkle, asmeniniais pomėgiais ar interesais, patikimumu arba elgesiu, vieta arba judėjimu, kai tai jo atžvilgiu sukelia teisinių pasekmių arba jam daro panašų didelį poveikį. Tačiau tokiu duomenų tvarkymu, įskaitant profiliavimą, grindžiamas sprendimų priėmimas turėtų būti leidžiamas, kai jis yra aiškiai leidžiamas Sąjungos ar valstybės narės teisėje, kuri taikoma duomenų valdytojui, be kita ko, sukčiavimo ir mokesčių slėpimo stebėsenos ir prevencijos tikslais, laikantis Sąjungos institucijų ar nacionalinių priežiūros įstaigų taisyklių, standartų ir rekomendacijų, ir siekiant užtikrinti duomenų valdytojo suteiktos paslaugos saugumą ir patikimumą, arba kai tai būtina sudarant arba vykdant duomenų subjekto ir duomenų valdytojo sutartį, arba tada, kai duomenų subjektas yra davęs aiškų sutikimą. Bet kuriuo atveju tokiam duomenų tvarkymui turėtų būti taikomos tinkamos apsaugos priemonės, įskaitant konkrečios informacijos duomenų subjektui suteikimą ir teisę reikalauti žmogaus įsikišimo, pareikšti savo požiūrį, gauti sprendimo, priimto atlikus šį vertinimą, paaiškinimą ir teisę ginčyti tą sprendimą. Tokia priemonė negali būti susijusi su vaiku.

Tam, kad būtų užtikrintas sąžiningas ir skaidrus su duomenų subjektu susijusių duomenų tvarkymas, atsižvelgiant į konkrečias aplinkybes ir kontekstą, kuriame tvarkomi asmens duomenys, duomenų valdytojas profiliavimui turėtų naudoti tinkamas matematines ar statistines procedūras, įgyvendinti technines ir organizacines priemones, tinkamas visų pirma užtikrinti, kad veiksniai, dėl kurių atsiranda asmens duomenų netikslumų, būtų ištaisyti, o klaidų rizika būtų kuo labiau sumažinta, apsaugoti asmens duomenis taip, kad būtų atsižvelgiama į galimus pavojus, kylančius duomenų subjekto interesams ir teisėms, ir būtų išvengta, inter alia, diskriminacinio poveikio fiziniams asmenims dėl rasės ar etninės kilmės, politinių pažiūrų, religijos ar tikėjimo, priklausymo profesinei sąjungai, genetinės arba sveikatos būklės ar seksualinės orientacijos arba tokį poveikį turinčių priemonių atsiradimo. Automatizuotas sprendimų priėmimas ir tam tikromis asmens duomenų kategorijomis grindžiamas profiliavimas turėtų būti leidžiamas tik konkrečiomis sąlygomis;

(72) profiliavimui taikomos šio reglamento taisyklės, kuriomis reglamentuojamas asmens duomenų tvarkymas, kaip antai teisiniai duomenų tvarkymo pagrindai ar duomenų apsaugos principai. Šiuo reglamentu įkurta Europos duomenų apsaugos valdyba (toliau – Valdyba) turėtų galėti išleisti gaires ta tema;

Guidelines & Case Law Leave a comment
[js-disqus]