GDPR: profilalkotás és automatizált döntéshozatal

A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. október 3-án iránymutatást adott ki az automatizált döntéshozatalról és a profilalkotásról (WP251), amelyet 2018. február 6-án felülvizsgált („Iránymutatás”), és amely a GDPR vonatkozó rendelkezéseinek (4. cikk 4. pontja és a 22. cikk) értelmezéséről szól.

1. Mi a profilalkotás?

A GDPR értelmében a profilalkotás „személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.”

Itt olvashatja a témában a Piac & Profit összes cikkét!

Fontos megjegyezni azt, hogy ahhoz, hogy egy adatkezelési tevékenység profilalkotásnak minősüljön, nem kell szükségképpen kizárólag automatizált adatkezelésen alapulnia. A profilalkotás mindig magában foglal bizonyos formájú automatizált adatkezelést. Egyidejűleg, az emberi beavatkozás nem szükségképpen jelenti azt, hogy ne lehetne szó profilalkotásról, azaz az emberi beavatkozás nem szükségképpen veszi ki az adatkezelést a profilalkotás fogalmi meghatározása alól.

Az Iránymutatás szerint

„a profilalkotás az egyénre (vagy egyének csoportjára) vonatkozó információ gyűjtését és a személyek jellemzőinek vagy viselkedésének abból a célból történő értékelését jelenti, hogy őket bizonyos kategóriába vagy csoportba sorolják, különösen, hogy például

- egy feladat teljesítésére vonatkozó képességüket,
- érdeklődésüket vagy
- valószínűsíthető viselkedésüket

elemezzék és/vagy azokból előrejelzéseket készítsenek.”

GDPR szótár: 15 fontos alapfogalom, amit jó ha ismersz

Vészesen közeledik az uniós adatvédelmi rendelet hatálybalépésének időpontja. Nem könnyű eligazodni a rendelet előírásai között, ebben nyújthat segítséget az alábbi GDPR szótár, amelyben szakértőnk a legfontosabb alapfogalmakkal ismerteti meg, a teljesség igénye nélkül.

2. A profilalkotás mindig magában foglal automatizált döntéshozatalt?

Nem. A profilalkotás magában foglalhat automatizált döntéshozatalt, azonban ez nem szükségképpen van így. Például, ha egy biztosítási ügynök személyes adatokat gyűjt, profilokat alkot és az egyéneket bizonyos kategóriákba sorolja és értékesíti ezen információkat biztosítóknak, akkor az ügynök profilalkotást végez, de nincs szó automatizált döntéshozatalról.

A profilalkotásnak három formája van:

(i) általános profilalkotás;
(ii) profilalkotás, amelyre döntést alapítanak és
(iii) profilalkotás, amely egy kizárólag automatizált adatkezelésen alapuló döntéshozatal része, azaz egy olyan döntéshozatal része, amely valódi emberi beavatkozás nélküli (mivel egy algoritmus hozza meg a döntést).

3. Mi az automatizált döntéshozatal?

A kizárólag automatizált döntéshozatal az arra való képességet jelenti, hogy a döntéshozatalra technológiai eszközökkel, emberi beavatkozás nélkül kerül sor.

Vannak olyan döntések is, amelyeket nem teljesen automatizált módon hoznak meg. Ez abban az esetben van így, ha van valódi emberi beavatkozás a döntéshozatal során.

GDPR: amit tudnod kell az adathordozhatóságról

A GDPR bevezeti az adathordozhatóság fogalmát és előírásokat tartalmaz arra vonatkozóan, hogy az érintettek mikor gyakorolhatják ezt a jogot. Ez azonban új fogalom a felhasználók és az adatkezelők számára is: szakértő segítségével próbálunk válaszolni a legfontosabb felmerülő kérdésekre.

4. Az automatizált döntéshozatal mindig magában foglal profilalkotást?

Nem. Automatizált döntéshozatalra sor kerülhet profilalkotással vagy anélkül. Az Iránymutatásban szereplő példa alapján „gyorshajtási bírság kizárólag kamerafelvételek alapján történő kiszabása olyan automatizált döntéshozatalt jelent, amely nem feltétlen foglal magában profilalkotást.”

Természetesen, a nem kizárólag automatizált adatkezelésen alapuló döntéshozatal is magában foglalhat profilalkotást. Az Iránymutatás azt a példát hozza, amikor a bank hitelképesség bírálatot végez valódi emberi beavatkozással annak megítéléséhez, hogy a hitelt felvenni szándékozó megkaphatja-e a kölcsönt.

5. Van különbség a “kizárólag automatizált adatkezelésen” és az “automatizált adatkezelésen” között?

Igen. Ld. fenti 3. kérdést.

6. Mire kell figyelni, ha profilalkotásról és/vagy automatizált döntéshozatalról van szó?

A GDPR 5. cikke szerinti alapelvek valamennyi profilalkotásra és automatizált döntéshozatalra vonatkoznak (abban az esetben is, ha a GDPR 22. cikke nem alkalmazandó, mert a döntés nem kizárólag automatizált adatkezelésen alapul). Így, a profilalkotást és/vagy automatizált döntéshozatalt végző jogalanyok kötelesek meggyőződni arról, hogy az adatkezelési tevékenységeik jogszerűek, tisztességesek és átláthatóak és tiszteletben tartják a célhoz kötöttség, az adattakarékosság, a pontosság és a korlátozott tárolhatóság elvét.

GDPR: szakítani kell a szabad-tilos szemlélettel

Május 25-e, az új uniós adatvédelmi szabályozás hatálybalépésének napja közel van, de azért utána is fel fog kelni a nap, ezért még most sem késő elkezdeni a felkészülést a megfelelésre, főleg azért, mert előbb utóbb úgyis mindenkinek meg kell felelnie az új előírásoknak – figyelmeztetett Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda partnere. Már csak azért is érdemes foglalkozni a megfeleléssel, mert a GDPR a kötelezettségek mellett számos lehetőséget is tartogat a cégek számára.

Úgyszintén, a profilalkotást és/vagy automatizált döntéshozatalt végző jogalanyok kötelesek megfelelő jogalappal rendelkezni az adatkezelések tekintetében a GDPR 6. cikkében foglaltak szerint (az érintett hozzájárulása, az érintettel kötött szerződés teljesítése, az adatkezelő jogi kötelezettségének teljesítése, az érintett létfontosságú érdeke, közérdek, az adatkezelő vagy harmadik fél jogos érdeke).

Nagyon lényeges, hogy a fenti jogalapok közül azonosítsuk azt, amelyik alkalmazandó lehet. Vizsgálat esetében az adatkezelő köteles igazolni azt, hogy a megfelelő jogalapot használta.

Fontos továbbá, hogy az érintettek gyakorolhatják a jogaikat a profilalkotással és/vagy automatizált döntéshozatallal kapcsolatban a GDPR 15-21. cikkeiben foglaltak alapján. Ez jelenti a tájékoztatáshoz való jogot, a hozzáférési jogot, a helyesbítés és törlés jogát, az adatkezelés korlátozásához való jogot és a tiltakozás jogát. Ha a döntéshozatal nem kizárólag automatizált adatkezelésen alapul, a GDPR 22. cikke nem alkalmazandó.

7. Mire kell figyelni, ha kizárólag automatizált adatkezelésen alapuló döntéshozatalról van szó (profilozással vagy anélkül)?

A GDPR 22. cikk (1) bekezdése szerint “az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.”

A GDPR alapján az adatkezelők kötelesek tájékoztatást adni a kizárólag automatizált adatkezelésen alapuló döntéshozatalról, nevezetesen az alkalmazott logikáról és arra vonatkozóan, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel jár.

A GDPR szerint az érintettnek joga van ahhoz, hogy tájékoztatást kapjon az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról és arra vonatkozóan, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

GDPR: kérdezz-felelek az adatkezelés jogalapjairól

A GDPR meghatározza az adatkezelési lehetséges jogalapjait. A GDPR 6. cikke hat lehetséges jogalapot tartalmaz azon személyes adatok kezelése tekintetében, amelyek nem tartoznak a személyes adatok különleges kategóriájába. Az Adatvédelmi Munkacsoport (WP29) 2017. november 28-án iránymutatást adott ki a hozzájárulásról. Az alábbiakban a jogalapokkal kapcsolatos kérdéseket válaszolja meg dr. Kovács Zoltán Balázs, a Szecskay Ügyvédi iroda partnere.

8. A GDPR 22. cikk (1) bekezdésében szereplő tilalom abszolút tilalom?

Nem. A tilalom (ami egyben az érintett joga) nem alkalmazandó, ha a döntés:

„a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.”

A fenti a) és c) pontban említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy (i) az adatkezelő részéről emberi beavatkozást kérjen, (ii) álláspontját kifejezze, és (iii) a döntéssel szemben kifogást nyújtson be.

9. Gyermekek esetében alkalmazható a kizárólag automatizált döntéshozatal?

A GDPR 22. cikke alapján úgy tűnik, hogy az mind felnőttekre, mind gyermekekre alkalmazandó (mivel nem tesz különbséget közöttük). Azonban a (71) preambulumbekezdés szerint a kizárólag automatizált adatkezelésen alapuló döntéshozatal gyermekekre nem vonatkozhat. Mindezt figyelembe véve, a WP29 azt javasolja az adatkezelőknek, hogy ne alkalmazzanak ilyen (a gyermekekre joghatással járó vagy őket hasonlóképpen jelentős mértékben érintő) döntéshozatalt / profilalkotást, kivéve, ha az ilyen döntéshozatal a gyermekek jogainak (épségének) megóvása érdekében szükséges. Ilyen esetben az adatkezelés a fenti 8. kérdésben megnevezett megfelelő kivétel alapján végezhető.

10. Hogyan viszonyul az adatvédelmi hatásvizsgálat a profilalkotáshoz és az automatizált döntéshozatalhoz?

Az Iránymutatás alapján adatvédelmi hatásvizsgálatot nem csak abban az esetben lehet szükséges készíteni, ha kizárólag automatizált adatkezelésen alapuló döntéshozatalról van szó (profilozással vagy anélkül), hanem abban az esetben is, ha a döntés automatizált adatkezelésen alapul ugyan, de nem „kizárólag automatizált adatkezelésen alapul.” Ez azt jelenti, hogy szükséges lehet adatvédelmi hatásvizsgálatot készíteni akkor is, ha a döntéshozatal nem teljesen automatizált.

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Szerző:

Kovács Zoltán Balázs (LL.M.),

Partner, Szecskay Ügyvédi Iroda, az eugdpr.blog.hu szerzője.

Mikor és mennyi bírság jár a GDPR-alapján?

A GDPR szerint a felügyeleti hatóságok különböző szankciókat alkalmazhatnak a jogszabály rendelkezéseinek meg nem felelőkkel szemben és bírságot is kiszabhatnak rájuk. Dr. Kovács Zoltán Balázs segítségével megmutatjuk mikor és mennyi bírságot szabhatnak ki ránk.