Automatizované rozhodovanie o fyzických osobách a GDPR – ako na to ísť (s)právne?

V dôsledku čoraz razantnejšieho nástupu technológii a najmä umelej inteligencie sa korporácie snažia minimalizovať svoje náklady prostredníctvom automatizácie rôznych postupov a procesov. Neraz sa tieto automatizované procesy týkajú osobných údajov, pričom spôsob automatizácie môže mať dopad na práva dotknutých fyzických osôb. Z pohľadu korporácii je preto dôležité, aby automatizácia bola v súlade s legislatívou v oblasti ochrany osobných údajov, najmä s nariadením Európskeho parlamentu a Rady (EÚ) 2016/679 (ďalej len „GDPR“).

Jedným z práv, ktoré GDPR priznáva fyzickým osobám, je právo nebyť dotknutý rozhodnutím, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov (bez ľudských zásahov), pričom takéto rozhodnutie má právne účinky voči dotknutej osobe, alebo ju inak významne ovplyvňuje – čl. 22 ods. 1 GDPR. V prípade, že sa týmto spôsobom spracúvajú osobné údaje za účelom vyhodnotenia osobných aspektov dotknutej osoby, ako napríklad pracovné výkony alebo kredibilita, ide o tzv. „profilovanie“. Právo nebyť dotknutý automatizovaným individuálnym rozhodovaním však nie je absolútne a v praxi sa s profilovaním možno stretnúť napríklad pri žiadaní o úver. V modelovom príklade Vás banka – prevádzkovateľ – požiada, aby ste jej poskytli osobné údaje a použije algoritmus na ich vyhodnotenie. Následne Vám poskytne výstup, podľa ktorého Vám úver buď bude, alebo nebude poskytnutý. Ďalším príkladom profilovania môže byť napríklad spracúvanie osobných údajov za účelom odmeňovania zamestnancov.

Na to, aby právo dotknutej osoby nebyť ovplyvnený rozhodnutím založeným na automatizovanom spracúvaní osobných údajov mohlo byť obmedzené, musí dané rozhodnutie spadať aspoň pod jednu z troch výnimiek v zmysle čl. 22 ods. 2 GDPR, a to:

a)     ak je rozhodnutie nevyhnutné na uzavretie alebo plnenie zmluvy;

b)     je to povolené právom EÚ alebo právom členského štátu, ak sú zaručené vhodné opatrenia na ochranu práv/oprávnených záujmov dotknutej osoby, alebo

c)     dotknutá osoba na to dala výslovný súhlas.

V prípadoch podľa a) a c) musí prevádzkovateľ takisto zabezpečiť, aby mala dotknutá osoba nárok na ľudský zásah zo strany prevádzkovateľa (napr. dodatočná kontrola rozhodnutia), právo vyjadriť svoje stanovisko, ako aj právo účinne napadnúť dané rozhodnutie. Rovnako je podstatné zabezpečiť transparentnosť spracúvania v zmysle čl. 12 GDPR a dotknutej osobe poskytnúť relevantné údaje ako účel spracúvania, jeho právny rámec a iné. Ak prevádzkovateľ poruší niektoré práva uvedené v čl. 12 alebo čl. 22 GDPR, hrozí mu pokuta až do výšky 20 000 000 €, alebo v prípade podniku do výšky 4 % celkového svetového obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.

Ak máte záujem využívať prostriedky automatizovaného spracúvania osobných údajov vo Vašej spoločnosti, naša advokátska kancelária Vám rada poskytne cenné rady, ako na to ísť po právnej stránke správne!

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (GDPR),

Mesarčík, M. Ochrana osobných údajov. 1. vydanie. Bratislava: C. H. Beck, 2020. s. 117 – 119.