(71) Субъект данных должен иметь право не подвергаться решению, которое может включать в себя конкретные меры, оценивающему характеристики личности, основанному исключительно на автоматизированной обработке и влекущему правовые последствия либо влияет на него в столь же значительной степени, как, например, автоматический отказ в онлайн-форме заявки на кредит или онлайн-рекрутинга без какого-либо человеческого посредничества.
Такие виды обработок включают в себя “профилирование”, которое состоит из любых форм автоматической обработки персональных данных, оценивающих характеристики личности, принадлежащие физическому лицу, в частности анализируют либо предсказывают характеристики субъекта данных, касающиеся работы, экономической ситуации, здоровья, личных предпочтений и интересов, достоверность или поведение, местоположение или перемещение, которые порождают правовые последствия, касающиеся субъекта данных либо влияют на него в столь же значительной степени.
Однако, принятие решений, основанных на подобных обработках, включая профилирование, должно быть разрешено, когда это прямо разрешено законодательством Союза или государства-члена, субъектом которого является контролёр, включая мониторинг мошенничества и уклонение от налогов, предупредительные меры, осуществляемые вы соответствии регламентами, стандартами и рекомендациями ведомств Союза или национальных надзорных структур и для обеспечения безопасности и надежности предоставляемых контролёром услуг, или необходимо для заключения или исполнения договора между субъектом данных и контролёром, либо когда субъектом данных было дано прямое согласие.
В любом случае подобная обработка должна подлежать соответствующим мерам защиты, которые должны включать в себя специфическую информацию о субъекте данных и право требовать людского вмешательства, для выражения своей точки зрения, требования объяснения решения, принятого в результате такой оценки, и для изменения решения.
Данная мера не должна относиться к ребенку.
Для обеспечения справедливости и прозрачности обработки в отношении субъекта данных, с учетом конкретных обстоятельств и контекста обработки персональных данных, контролёр должен использовать подобающие математические или статистические процедуры профилирования, выполнения технических и организационных мер, гарантирующих, в частности, что факторы, приводящие к неточностям персональных данных, исправлены и риск ошибок минимизированы, защиту персональных данных таким способом, который учитывает потенциальные риски, связанные с интересами и правами субъекта данных, и не допускать, среди прочего, дискриминационного воздействия на физических лиц на основе расового или этнического происхождения, политических предпочтений, религии или убеждений, членства в профсоюзе, генетических предрасположенностей, состояния здоровья или сексуальной ориентации, или не допустить принятия мер, которые могут воздействовать подобным образом.
Автоматизированный процесс принятия решения и профилирование, базирующиеся на специальных категориях персональных данных (чувствительные данные) должна быть разрешена только при определенных условиях.
Перевод на русский язык выполнен одновременно с 4 официальных языков Евросоюза (английский, польский, французский и немецкий) коллективом профессионалов в области информационной приватности: С.Воронкевич, А.Богуславская, П.Лозовенко, И.Чернышева, С.Радыно, С.Головнева. Общая редакция: Сергей Воронкевич CIPP/E, CIPM, FIP, MBA. Маппинг статей и преамбул сделан на основе публикации ICO — https://ico.org.uk/media/about-the-ico/disclosure-log/2014536/irq0680151-disclosure.pdf
© Перевод на русский ООО «Дата Прайваси Офис».