Hogyan szabályozza a GDPR a profilozást és az automatikus döntéshozatalt?

Hogyan szabályozza a GDPR a profilozást és az automatikus döntéshozatalt?

A profilozást és az automatikus döntéshozatalt egyre több ágazatban alkalmazzák a magán- és a közszférában. A bank- és pénzügyi szektor, az egészségügy, az adózás, a biztosítás, a marketing és reklám tevékenység csak néhány azon területek közül, ahol egyre gyakrabban használják a profilozást a döntéshozatal során.

A technológia fejlődése, a képesség nagymennyiségű adat feldolgozására, a mesterséges intelligenciát alkalmazó technológia előretörése  egyszerűbbé és olcsóbbá teszi a profilozást és az automatikus döntéshozatalt. A profilalkotás és az automatikus döntéshozatal, megfelelő jogi garancia hiányában sértheti az egyén jogait.

A GDPR rendelkezéseket vezet be annak érdekében, hogy a profilozás és az automatikus döntéshozatal ne érintse negatívan az emberek jogait és keretet kíván adni ezeknek az eljárásoknak.

Mi a profilalkotás?

A profilalkotás fogalmát a GDPR 4. cikkének 4) bekezdése határozza meg. A profilalkotás a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők alapján értékelik. Különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előre jelzésére használják.

A profilalkotásnak a GDPR szerint három feltétele van:

  • automatizált adatkezelést jelent;
  • személyes adatokat érint;
  • a célja az, hogy az egyén személyes jellemzőit elemezze, kiértékelje.

A profilakotás tehát azt jelenti, hogy az egyénről vagy emberek egy csoportjáról adatokat gyűjtenek, megvizsgálják a személyes jellemzőiket, a viselkedésüket azért, hogy különböző szempontok szerint csoportosítsák őket, vagy megjósolják, mérlegeljék, például:

  • Hogy képesek-e ellátni egy feladatot?
  • Mi az érdeklődésük?
  • Hogyan viselkednének egy adott helyzetben?

Példa a profilozásra: Az adatbázis kereskedelemmel foglakozó cégek különböző forrásokból gyűjtik az adatokat. A céljuk az, hogy a begyűjtött adatokat különböző személyes jellemzők alapján csoportosítsák, kategorizálják. Ezt követően a profilozás segítségével csoportosított adatokat eladják azoknak a cégeknek, akik szolgáltatásaikat, árujukat meghatározott célcsoportok tagjainak kívánják értékesíteni.

Mi az automatikus döntéshozatal?

Az automatikus döntéshozatal alkalmazója képes arra, hogy  technológiai eszközök segítségével hozzon döntést, emberi közrehatás nélkül. Az automatikus döntéshozatal alapulhat profilalkotáson, de megvalósulhat anélkül is.

Példa az automatikus döntéshozatalra:közlekedési bírság kiszabásakor, ha a döntés kizárólag a sebességmérőktől nyert információn alapul, automatikus döntéshozatalról van szó, amely során profilozás nem történik.

A döntés azonban alapulhatna profilozáson is. Ha a rendszer figyelné az egyén autóvezetési szokásait egy időn át és a bírság  mértéke függene attól, hogy az autóvezetővel szemben szabtak-e ki bírságot gyorshajtásért vagy egyéb közlekedési szabálysértésért, akkor az automatikus döntéshozatal már profilozáson alapulna.

Hogyan szabályozza a GDPR az automatikus döntéshozatalt?

A GDPR 22 cikke úgy rendelkezik, hogy az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

A fenti rendelkezés alól kivételt jelent, ha a döntés:

  1. az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
  2. meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít;
  3. vagy az érintett kifejezett hozzájárulásán alapul.

Az 1. és 3. pontban említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy az adatkezelő részéről emberi beavatkozást kérjen, álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.

Az 1.-3 pontban részletezett döntések nem alapulhatnak a személyes adatoknak a különleges kategóriáin, kivéve, ha az adatkezelés közérdeken alapul vagy jelentős közérdek teszi szükségessé és az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében megfelelő intézkedések megtételére került sor.

Adatvédelmi kérdése van? GDPR auditra van szüksége? Adatvédelmi tisztviselőt kell megbíznia cégénél? Irodánk vállal GDPR auditot, adatvédelmi tisztviselői megbízást.

dr. Bodnár Lilla ügyvéd, GDPR szakértő több munkajogi témájú könyv és cikk szerzője. Kérjen időpontot és segítünk cégének!

dr Bodnár Lilla ügyvéd, GDPR szakértő

Hívja irodámat:+36706323540

Minden, ami munkahelyi adatvédelem!


  Blog