Статья 22 📖 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

22. cikk GDPR. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

(1) Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

Комментарий эксперта

(EN) The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her. In such cases, the data subject shall have the right to obtain human intervention, to express his or her point of view, to contest the decision and to have it reconsidered.

Scope of the Right

The applicability of this article is limited to automated data processing where the decisions have a big impact on data subjects. According to the Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, this article sets up a general ban on deciding based just on automated processing, regardless of whether or not the data subject takes any action.

In a nutshell, Article 22 states that:

There is a general prohibition on completely automated individual decision-making, including profiling that has a legal or similarly significant effect;
There are exceptions to this rule;
Where one of these exceptions applies, measures must be in place to protect the data subject’s rights, freedoms, and legitimate interests.

But, the Article 22(1) ban only counts in certain cases where a decision based just on automated processing, including profiling, has a legal effect on or similarly affects someone. Even in these cases, there are specified exceptions which allow such processing to take place.

Automated Processing

An automated process can produce a recommendation about a data subject. If a person reviews and takes into account other elements to make the final decision, it won’t be a decision that’s just based on automated processing.

The controller can’t bypass Article 22 requirements by making it look like a human is involved. For example, if someone constantly uses automatically generated profiles for individuals without any actual effect on the result, that’s still a decision based solely on automated processing.

To qualify as human involvement, the controller must make sure that any oversight of the decision is significant, not just a formality. It should be done by someone who can override the decision and has the knowledge to consider all the relevant data.

Significant Effect

Even if a decision-making process does not have an effect on people’s legal rights it could still fall within the scope of Article 22 of the GDPR if it produces an effect that is equivalent or similarly significant in its impact. This means that even if there is no legal change, the data subject could still be impacted enough to require the protections under this provision. The GDPR introduces the word ‘similarly’ to the phrase ‘significantly affects’ in order to provide a threshold for significance that is similar to that of a decision producing a legal effect.

A legal effect occurs when a decision based solely on automated processing impacts someone’s legal rights, such as freedom of association, voting, and legal action, or creates legal effects like contract cancellation, entitlement/denial of social benefits, denial of admission to a country of refusal in citizenship.

According to Recital 71, typical examples of other similarly significant effects could include ‘automatic refusal of an online credit application’ or ‘e-recruiting practices without any human intervention’.

For data processing to significantly affect someone the effects of the processing must be great or important enough. This could include decisions that affect someone’s financial circumstances, such as their eligibility for credit; decisions that affect someone’s access to health services; decisions that deny someone an employment opportunity or put them at a serious disadvantage; or decisions that affect someone’s access to education, for example, university admissions.

In many typical cases, the automated decision to present targeted advertising based on profiling will not have a similarly significant effect on individuals. However, it is possible for data profiling to have an effect on individuals depending on the characteristics of the case. This includes the intrusiveness of the profiling process, the expectations and wishes of the individuals, and the knowledge of the vulnerabilities of the data subjects. Even if it has little effect on some individuals, it can have a significant impact on certain groups, such as minority groups or vulnerable adults.

Similarly, automated decision-making that results in differential pricing based on personal data or personal characteristics could also have a significant effect if, for example, prohibitively high prices effectively bar someone from certain goods or services.

Автор

Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP

Сооснователь и директор DPO LLC. Тренер и ведущий консультант

Задать вопрос

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha a döntés:

Комментарий эксперта

(EN) Paragraph 1 of this article laid down a general ban on the use of automated decision-making that has legal or similarly significant effects (as mentioned above). This prohibition is intended to serve as a safeguard, ensuring that decisions of this kind are not taken without due consideration and oversight.

This implies that the controller should not undertake the processing described in Article 22(1) unless one of the exceptions listed below applies.

a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;

Комментарий эксперта

(EN) The use of automated decision-making processes for contractual purposes may be the most appropriate way to achieve the desired outcome in certain situations. This is especially true where routine human involvement is impractical or impossible due to the large volume of data. In such instances, it is essential that the controller is able to demonstrate that the processing is necessary, taking into account whether a less privacy-intrusive method could be employed. For example, if there are alternative methods that are equally effective and less intrusive, then automated decision-making is not considered to be ‘necessary’.

Moreover, automated decision-making may also be necessary for pre-contractual processing in accordance with Article 22(1). It is essential that controllers consider the privacy implications of their automated decision-making processes, ensuring that any processing is necessary and proportionate, and that there are sufficient safeguards in place to protect individuals’ data rights.

For instance, it may be necessary to utilize automated decision-making in order to identify a short list of suitable candidates due to the exceptionally high volume of applications received for this open position. This is done with the intention of entering into a contract with the data subject in order to progress the recruitment process.

b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy

Комментарий эксперта

c) az érintett kifejezett hozzájárulásán alapul.

Комментарий эксперта Связанные статьи

Комментарий эксперта

(EN) Article 22 of the GDPR makes an exception for using explicit consent for significant automated individual decision-making. This is due to the serious privacy risks posed by such processing and, as such, a higher level of individual control over personal data is deemed appropriate.

However, ‘explicit consent’ is not defined in the GDPR. For this reason, the WP29 guidelines on consent (see the “Related” tab for Art.22(2b)) provide important guidance. These guidelines emphasize that consent must be demonstrated through clear affirmative action, such as ticking a box when visiting an internet website or choosing technical settings for an online service.

Связанные статьи

(3) A (2) bekezdés a) és c) pontjában említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

Комментарий эксперта

(EN) According to Art29 Working Party Guidelines on Automated Individual Decision-Making and Profiling for the Purposes of Regulation 2016/679 (2018) the controllers should implement measures that include providing a way for the data subject to obtain human intervention, express their point of view and contest the decision.

Recital 71 further emphasizes the need for transparency around processing, as it outlines that appropriate safeguards should include providing the data subject with specific information and the right to obtain an explanation and to challenge the decision reached after assessment. Furthermore, the controller must provide an easy way for the data subject to exercise these rights, as this ensures they are able to adequately challenge a decision or express their view if they understand how it was made and on what basis.

Errors in data or automated decision-making can lead to wrong classifications and inaccurate projections that can harm individuals. So, controllers should regularly assess their data sets to find any bias, and figure out how to handle any prejudiced elements. Data controllers must regularly review algorithms to ensure accuracy and the absence of bias. Furthermore, they should review the underlying data to guarantee that automated decisions are based on valid and reliable information.

Controllers should establish regular procedures to prevent errors, inaccuracies, and discrimination during both the design and production stages.

The European supervisory authority recommended the following measures in its Guidelines:

Ensuring regular QA checks of systems to ensure individuals are treated fairly, without discrimination based on personal data or other factors.
Algorithmic auditing that involves testing the algorithms utilized and developed by machine learning systems to validate that they are functioning as intended, and not producing discriminatory, erroneous, or unjustified results.
Provide auditor with information on how algorithm/ML system works for independent auditing of the decisions taken.
Making sure any third party algorithms you’re using have contractual assurances that they’ve been audited and tested, and are compliant with the agreed standards.
Data minimisation and setting clear timelines for using and applying the profiles
Utilization of anonymization or pseudonymization
Providing data subjects with the opportunity to express his or her point of view and contest the decision; and,
Provide a mechanism for human intervention in defined cases (e.g. a link to an appeals process at the point of automated decision delivery). Establish agreed timescales and contact point for any queries.https://gdpr-text.com/wp-admin/post.php?post=288&action=edit

(4) A (2) bekezdésben említett döntések nem alapulhatnak a személyes adatoknak a 9. cikk (1) bekezdésében említett különleges kategóriáin, kivéve, ha a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó, és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.

Комментарий эксперта Связанные статьи

Комментарий эксперта

Связанные статьи

9. cikk GDPR. A személyes adatok különleges kategóriáinak kezelése

(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

(2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha:

a) az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdésben említett tilalom nem oldható fel az érintett hozzájárulásával;

[…]

g) az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő;

[…]

Általános adatvédelmi rendelet (GDPR)

Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий

Комментарий эксперта

(EN)

Data Subject Request Letter Sample

Concern: Request to object to automated decision

Dear Madam, Dear Sir,

I am subject to a decision made by your [company | organization | etc.] based solely on [automated processing | profiling | etc.].

…

Войти
для доступа к полному тексту

Автор

Луи-Филипп Граттон PhD, LLM

Эксперт в Privacy

Задать вопрос

ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 22 GDPR:

7.2.2 Определение правового основания

Средство управления

Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.

Руководство по внедрению

В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления.

…

Войти
для доступа к полному тексту

Преамбулы

(71) Az érintett jogosult arra, hogy ne terjedjen ki rá olyan, kizárólag automatizált adatkezelésen alapuló – akár intézkedést is magában foglaló – döntés hatálya, amely a rá vonatkozó egyes személyes jellemzők kiértékelésén alapul, és amely rá nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti, mint például egy online hitelkérelem automatikus elutasítása vagy emberi beavatkozás nélkül folytatott online munkaerő-toborzás. Ilyen adatkezelésnek minősül a „profilalkotás” is, vagyis a természetes személyekre vonatkozó személyes jellemzők bármilyen automatizált személyes adatok kezelése keretében történő kiértékelése, különösen az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körökre, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők elemzésére és előrejelzésére, ha az az érintettre nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti. Megengedhető azonban az efféle adatkezelésen – ideértve profilalkotást is – alapuló döntéshozatal, ha azt az olyan uniós vagy tagállami jog kifejezetten engedélyezi, amelynek hatálya alá az adatkezelő tartozik, például a csalások és az adócsalás nyomon követése és megelőzése céljából, feltéve hogy erre az uniós intézmények vagy a tagállami felügyeleti hatóságok szabályaival, előírásaival és ajánlásaival összhangban kerül sor, vagy az adatkezelő által nyújtott szolgáltatás biztonságának és megbízhatóságának a biztosítása érdekében, vagy ha arra valamely, az érintett és egy adatkezelő közötti szerződés megkötése vagy teljesítése érdekében van szükség, vagy ha az érintett ahhoz kifejezett hozzájárulását adta. Az ilyen adatkezelés mindazonáltal csakis megfelelő garanciák mellett végezhető, amelybe beletartozik az érintett külön tájékoztatása és az ahhoz való joga, hogy emberi beavatkozást kérjen és kapjon, különösen hogy kifejtse álláspontját, hogy magyarázatot kapjon az ilyen értékelés alapján hozott döntésről és hogy megtámadja a döntést. Az ilyen intézkedés gyermekre nem vonatkozhat.

Az érintett szempontjából tekintve tisztességes és átlátható adatkezelés biztosítása érdekében – az adatkezelés konkrét körülményeinek figyelembevételével – az adatkezelő a profilalkotáshoz megfelelő matematikai és statisztikai eljárásokat alkalmaz, olyan technikai és szervezési intézkedéseket vezet be, amelyek biztosítják különösen az adatok pontatlanságát előidéző tényezők korrekcióját és a hibalehetőségek minimálisra csökkentését, továbbá a személyes adatok biztonságáról oly módon gondoskodik, amely az érintett érdekeit és jogait potenciálisan veszélyeztető tényezőket figyelembe veszi, és amely megakadályozza egyebek között az olyan hatások érvényesülését, amelyek a természetes személyek közötti hátrányos megkülönböztetést eredményeznek faji vagy etnikai származás, politikai vélemény, vallási vagy világnézeti meggyőződés, szakszervezeti tagság, genetikai vagy egészségi állapot, szexuális irányultság vagy nemi identitás alapján, illetve amelyek ilyen hatást kiváltó intézkedésekhez vezetnek. A személyes adatok különleges kategóriáit célzó automatizált döntéshozatal és profilalkotás csak bizonyos meghatározott feltételek mellett engedélyezhető.

(72) A profilalkotást ennek a rendeletnek a személyes adatok kezelésére vonatkozó rendelkezései szabályozzák, például az adatkezelés jogalapja és az adatkezelési elvek tekintetében. Az e rendelet által létrehozott Európai Adatvédelmi Testület (a továbbiakban: a Testület) számára lehetővé kell tenni, hogy erre vonatkozóan iránymutatást adjon ki.

Руководство и прецедентное право

(EN)