Навигация
GDPR > Статья 22. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование
Скачать в PDF

Статья 22 GDPR. Автоматизированное принятие решений в индивидуальных случаях, в том числе профилирование

1. Субъект данных имеет право не подвергаться решению, которое основано исключительно на автоматизированной обработке, в том числе профилировании, вызывающему для него юридические последствия или похожим образом существенно влияющему на него.

Комментарий эксперта
Автор
Siarhei Varankevich
Сергей Воронкевич CIPP/E, CIPM, CIPT, MBA, FIP
FIP_IAPP
Сооснователь и директор DPO LLC. Тренер и ведущий консультант

2. Параграф 1 не применяется, если решение:

Комментарий эксперта

(а) необходимо для заключения или исполнения договора между субъектом данных и контролёром данных;

Комментарий эксперта

(b) разрешено законодательством Союза или государства-члена, которому подчиняется контролёр, и которое также устанавливают надлежащие меры защиты прав, свобод и законных интересов субъекта данных; или

Комментарий эксперта

(с) основывается на отчетливом согласии субъекта данных.

Комментарий эксперта
Связанные статьи

3. В случаях, указанных в пунктах (а) и (с) параграфа 2, контролёр должен применять надлежащие меры для защиты прав, свобод и легитимных интересов субъекта данных, как минимум, права требовать людского вмешательства со стороны контролёра, права выражать свою позицию, а также оспаривать это решение.

Комментарий эксперта

4. Решения, упомянутые в параграфе 2, не должны основываться на специальных категориях персональных данных, указанных в Статье 9(1), кроме случаев, когда применяются пункты (а) или (g) Статьи 9(2) и приняты надлежащие меры защиты прав, свобод и законных интересов субъекта данных.

Комментарий эксперта
Связанные статьи
Комментарий эксперта ISO 27701 Преамбулы Руководство и прецедентное право Оставить комментарий
Комментарий эксперта

(EN)

Data Subject Request Letter Sample

Concern: Request to object to automated decision

Dear Madam, Dear Sir,

I am subject to a decision made by your [company | organization | etc.] based solely on [automated processing | profiling | etc.].


для доступа к полному тексту

Автор
Louis-Philippe Gratton
Луи-Филипп Граттон PhD, LLM
Эксперт в Privacy
ISO 27701

ISO/IEC 27701, принятый в 2019, добавил дополнительное руководство к ISO/IEC 27002 для контролеров персональных данных (ПИИ).

Приводим соответствующий параграф к статье 22 GDPR:

7.2.2 Определение правового основания

Средство управления

Организация должна определить, задокументировать и соблюдать соответствующие правовые основания для обработки ПИИ в определенных целях.

Руководство по внедрению

В некоторых юрисдикциях организация должна иметь возможность продемонстрировать, что законность обработки была должным образом установлена до её осуществления.


для доступа к полному тексту

Преамбулы

(71) Субъект данных должен иметь право не подвергаться решению, которое может включать в себя конкретные меры, оценивающему характеристики личности, основанному исключительно на автоматизированной обработке и влекущему правовые последствия либо влияет на него в столь же значительной степени, как, например, автоматический отказ в онлайн-форме заявки на кредит или онлайн-рекрутинга без какого-либо человеческого посредничества. Такие виды обработок включают в себя “профилирование”, которое состоит из любых форм автоматической обработки персональных данных, оценивающих характеристики личности, принадлежащие физическому лицу, в частности анализируют либо предсказывают характеристики субъекта данных, касающиеся работы, экономической ситуации, здоровья, личных предпочтений и интересов, достоверность или поведение, местоположение или перемещение, которые порождают правовые последствия, касающиеся субъекта данных либо влияют на него в столь же значительной степени. Однако, принятие решений, основанных на подобных обработках, включая профилирование, должно быть разрешено, когда это прямо разрешено законодательством Союза или государства-члена, субъектом которого является контролёр, включая мониторинг мошенничества и уклонение от налогов, предупредительные меры, осуществляемые вы соответствии регламентами, стандартами и рекомендациями ведомств Союза или национальных надзорных структур и для обеспечения безопасности и надежности предоставляемых контролёром услуг, или необходимо для заключения или исполнения договора между субъектом данных и контролёром, либо когда субъектом данных было дано прямое согласие. В любом случае подобная обработка должна подлежать соответствующим мерам защиты, которые должны включать в себя специфическую информацию о субъекте данных и право требовать людского вмешательства, для выражения своей точки зрения, требования объяснения решения, принятого в результате такой оценки, и для изменения решения. Данная мера не должна относиться к ребенку.

Для обеспечения справедливости и прозрачности обработки в отношении субъекта данных, с учетом конкретных обстоятельств и контекста обработки персональных данных, контролёр должен использовать подобающие математические или статистические процедуры профилирования, выполнения технических и организационных мер, гарантирующих, в частности, что факторы, приводящие к неточностям персональных данных, исправлены и риск ошибок минимизированы, защиту персональных данных таким способом, который учитывает потенциальные риски, связанные с интересами и правами субъекта данных, и не допускать, среди прочего, дискриминационного воздействия на физических лиц на основе расового или этнического происхождения, политических предпочтений, религии или убеждений, членства в профсоюзе, генетических предрасположенностей, состояния здоровья или сексуальной ориентации, или не допустить принятия мер, которые могут воздействовать подобным образом. Автоматизированный процесс принятия решения и профилирование, базирующиеся на специальных категориях персональных данных (чувствительные данные) должна быть разрешена только при определенных условиях.

(72) Профилирование подчиняется настоящему Регламенту части обработки персональных данных, в том числе правовым основаниям обработки, принципам защиты данных. Европейский совет по защите персональных данных, учрежденный настоящим Регламентом, должен быть в состоянии давать руководящие указания по данному вопросу.

Руководство и прецедентное право Оставить комментарий
[js-disqus]