ÚVOD
Obecné nařízení o ochraně osobních údajů (dále jen „GDPR“) kromě dalšího rozlišuje zpracovávání údajů pomocí profilování a automatizovaného individuálního rozhodování. Tyto postupy je možno využít v mnoha oblastech, např. v marketingu, zdravotnictví, pojišťovnictví či bankovnictví. Tento způsob zpracování osobních dat je velmi efektivní, neboť umožňuje naráz analyzovat větší množství velkých dat a slouží k lepší segmentaci trhu.
Definici automatizovaného rozhodování nenajdeme v Nařízení, ani v zákoně, nýbrž v Úmluvě 108. čl. 2 písm. c) stanovuje, že: „operace uskutečňované zcela nebo zčásti pomocí automatizovaných postupů: ukládání na nosiče dat, provádění logických a/nebo aritmetických operací s těmito daty, jejich změna, výmaz, vyhledávání nebo rozšiřování“. Z toho lze dovodit, že součástí automatizovaného zpracování může být i lidský faktor (např. člověk vloží osobní údaje do počítače).
Definici profilování potom lze najít v čl. 4 bod 4 GDPR. Ten říká, že „profilováním se rozumí jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména za účelem rozboru nebo odhadu resp. analýzy či předvídání aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu“.
Profilováním totiž často dochází k vyhodnocení nebo předvídání aspektů v chování osob, tedy „zaškatulkování“ do určité kategorie, a to bez vědomí dotyčné osoby. Tím ztrácí možnost volby např. při výběru zboží, či toho, jaké zprávy chce číst.
Nařízení je postaveno zejména na zákonnosti, korektnosti, transparentnosti ochrany osobních údajů. Je zřejmé, že takové shromažďování, analyzování a sdílení osobních dat může být značným rizikem pro práva a svobody osob, proto je na místě přijetí příslušných opatření.
DĚLENÍ AUTOMATIZOVANÉHO ROZHODOVÁNÍ A PROFILOVÁNÍ
Profilování může být využito třemi různými způsoby:
- obecné profilování
- rozhodování založené na profilování
- výhradně automatizované rozhodování, včetně profilování
V prvním případě jde o situaci, kdy na základě profilu sestaveném pomocí automatizovaných procesů rozhoduje člověk. Ve druhém případě o situaci rozhoduje předepsaný algoritmus a jeho rozhodnutí je doručeno subjektu údajů bez zásahu lidského faktoru.
Automatizované rozhodování může mít na subjekt údajů značný dopad. Příkladem může být přiznání nebo naopak odmítnutí zákonem garantované sociální dávky, či podrobení zvýšené úrovni bezpečnostních opatření.
Výjimky ze zákazu
V čl. 22, odst. 2 lze nalézt výjimky, kdy není uplatněn zákaz stanovený v čl. 22, odst. 1:
| Článek 22 Odstavec 1 se nepoužije, pokud je rozhodnutí: a) nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů, b) povoleno právem EU nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů, nebo c) založeno na výslovném souhlasu subjektu údajů. |
PRÁVA SUBJEKTŮ ÚDAJŮ
S ohledem na rizika, které profilování pro práva a svobody subjektů údajů představuje, je nutné, aby správce nejen dbal na dodržování čl. 12 GDPR, tedy transparentnosti, ale aby na tuto situaci subjekt údajů výslovně upozornil. Nařízení vyžaduje, aby správce subjektu údajů poskytl přesné a konkrétní informace o probíhajícím automatizovaném rozhodování založené výhradně na automatizovaném zpracování, včetně profilování, vysvětlil jejich význam a předpokládané důsledky zpracování.
Právo být informován
Správce údajů je povinen subjektu údajů poskytnout jasné a přesné informace o tom, jak automatizované rozhodování a profilování funguje.
Právo na přístup
Čl. 15, odst. 1 písm h) opravňuje subjekty údajů k získaní potvrzení o tom, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a informacím s nimi souvisejícími
Právo na výmaz
…neboli „právo být zapomenut“ opravňuje subjekt údajů požadovat, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, pokud je dán jeden z důvodů stanovený v čl. 17 GDPR