A Piac & Profit minden, a GDPR-ral kapcsolatos cikkét itt találja!

Kérdés:

Vannak-e korlátozások az automatizált adatkezelésen alapuló döntéshozatalra vonatkozóan?

Válasz:

Igen, a magánszemélyek jogosultak arra, hogy ne terjedjen rájuk ki olyan, kizárólag automatizált adatkezelésen (pl. algoritmusokon) alapuló döntés hatálya, amely rájuk nézve jogilag kötelező erejű vagy őket jelentősen befolyásolná.

Egy döntés joghatással járónak minősülhet akkor, ha az érintett törvényes jogaira vagy jogállására van hatással (például a szavazati jogra). Ezenkívül az adatkezelés jelentős mértékben befolyásolhat egy egyént, ha befolyásolja a körülményeit, viselkedését vagy választását (például az automatikus adatkezelés egy online hiteligénylés megtagadásához vezethet).

Az automatizált adatkezelésen alapuló döntéshozatal kizárólag az alábbi esetekben engedélyezett:

• algoritmuson alapuló döntés szükséges ahhoz (azaz semmilyen más módon nem lehet ugyanazt a célt elérni), hogy szerződést kössön azzal az egyénnel, akinek az adatait az ön vállalkozása/szervezete algoritmussal kezeli (pl. online hiteligénylés);
• EU- vagy nemzeti jogszabály lehetővé teszi az algoritmusok használatát, és megfelelő garanciákat biztosít az egyéni jogok, szabadságok és jogos érdekek védelmére (pl. adócsalás elleni szabályzat);
• az érintett kifejezetten hozzájárult az algoritmuson alapuló döntéshez.

Itt elérhető az Európai Bizottság adatvédelemmel kapcsolatos tájékoztatása!

A meghozott döntésnek azonban megfelelő garanciák nyújtásával védenie kell az érintett jogait, szabadságait és jogos érdekét. Kivéve azt az esetet, amikor az ilyen döntéshozatal jogszabályon alapul, a másik két esetben az érintettnek legalább tájékoztatást kell kapnia (i) arról, hogy milyen logika alapján történt a döntéshozatali eljárás, (ii) az emberi beavatkozás kérésére való jogáról, (iii) az adatkezelés lehetséges következményeiről, valamint (iv) a döntéssel szembeni kifogás lehetőségéről. Ezért az ön vállalkozásának/szervezetének ki kell alakítania a szükséges eljárásrendet annak érdekében, hogy az érintett kifejezhesse a véleményét, valamint hogy kifogást emelhessen a döntéssel szemben.

Végül pedig különös figyelmet kell fordítani arra az esetre, ha az algoritmus a személyes adatok különleges kategóriáit használja: az automatizált adatkezelésen alapuló döntéshozatal csak az alábbi körülmények között engedélyezett:

• ha az érintett kifejezett hozzájárulását adta, vagy
• az adatkezelés az EU- vagy a nemzeti jog értelmében jelentős közérdek céljából szükséges.

Továbbá ha az érintett gyermek,  kerülendő a kizárólag automatizált döntéshozatal, amely jogi vagy hasonlóan jelentős hatással jár rá nézve, mivel a gyermekek a társadalom veszélyeztetettebb csoportját képviselik.

Példa:

Vállalkozása/szervezete hiteleket nyújtó online bankot üzemeltet. Az ügyfelek megadják az adataikat, az algoritmus pedig kiszámítja, hogy ajánljon-e az ügyfélnek hitelt vagy sem, és milyen javasolt kamatlábbal. Vállalkozásának/szervezetének a döntést a leendő ügyfél tájékoztatása előtt felül kell vizsgálnia, és tájékoztatnia kell az ügyfelet arról, hogy kifejezheti a véleményét, valamint hogy kifogást emelhet a döntéssel szemben, mindvégig szem előtt tartva, hogy az érintettnek joga van ahhoz, hogy ne terjedjen ki rá az algoritmusokon alapuló döntések hatálya.

Előző kérdés: Kérheti-e valaki az adatai továbbítását egy másik szervezetnek?