XI Konferencja Naukowa Bezpieczeństwo w Internecie. Analityka danych Prawne ograniczenia dotyczące zautomatyzowanego podejmowania decyzji dr hab. Paweł Fajgielski, prof. KUL
Wprowadzenie Analiza danych jako podstawa podejmowania decyzji Możliwość automatyzacji procesów decyzyjnych Profilowanie jako jedna z podstaw procesów decyzyjnych Prawna regulacja dotycząca decyzji opartych na zautomatyzowanym przetwarzaniu danych osobowych (w tym profilowaniu) Podstawowe pytanie: czy analizowane dane mają charakter danych osobowych, czy też mają charakter anonimowy? Anonimizacja a pseudonimizacja danych
Profilowanie Definicja z art. 4 pkt 4) rozporządzenia 2016/679 "profilowanie" oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się; - wykorzystanie danych osobowych do oceny czynników osobowych - analiza lub prognoza (przewidywanie - profilowanie predyktywne) - prosta klasyfikacja (np. ze względu na wiek) np. w celach statystycznych, nie jest profilowaniem, jeżeli nie służy ocenie ani prognozie dotyczącej konkretnych osób
Profilowanie Wybrane zagrożenia związane z profilowaniem: - brak świadomości śledzenia, ingerencja w sferę prywatności; - zakwalifikowanie do określonej grupy mogące skutkować dyskryminacją (np. zróżnicowanie cenowe, niedostępność produktów lub informacji); - negatywne konsekwencje błędów w analizach Profilowanie - w oparciu o ogólne podstawy dopuszczalności przetwarzania danych (w tym m.in. klauzulę prawnie uzasadnionego interesu, możliwy sprzeciw osoby) Profilowanie, które jest podstawą zautomatyzowanych decyzji - ograniczenia dopuszczalności profilowania
Zautomatyzowane podejmowanie decyzji w oparciu o dane osobowe Art.. 22 rozporządzenia 2016/679 - Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie 1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. - rozległe rozumienie decyzji rozstrzygnięcia (znacznie szersze niż decyzja w rozumieniu k.p.a.) - decyzje w procedurze zautomatyzowanej (oparte wyłącznie na zautomatyzowanym przetwarzaniu), czyli decyzje podejmowane z udziałem człowieka nie podlegają wskazanym ograniczeniom - nie każda decyzja ale tylko taka, która wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa - więc co do zasady nie dotyczy to np. decyzji o rodzaju wyświetlanych reklam, czy innych rozstrzygnięć niemających istotnego znaczenia
Zautomatyzowane podejmowanie decyzji w oparciu o dane osobowe Art. 22 2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja: a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem; b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą. - węższy zakres przesłanek dopuszczalności przetwarzania - wymóg wyraźnej zgody brak możliwości wnioskowania o zgodzie z innych działań osoby - możliwość odwołania zgody w każdym czasie i konwekwencje
Zautomatyzowane podejmowanie decyzji w oparciu o dane osobowe Art. 22 3. W przypadkach, o których mowa w ust. 2 lit. a) i c) [umowa, zgoda], administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. 4. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. - interwencja ludzka - możliwość wyrażenia własnego stanowiska i zakwestionowania decyzji - niedopuszczalność automatyzacji w oparciu o dane sensytwne wyjątki: przepis, interes publiczny - niedopuszczalność automatyzacji decyzji w stosunku do dzieci? motyw 71 preambuły, motyw 38
Obowiązek informacyjny Obowiązek informowania o zautomatyzowanych decyzjach w tym o profilowaniu zasada przejrzystości Administrator ma obowiązek podać podmiotowi danych - 1) przy gromadzeniu danych od osoby, 2) z innych źródeł oraz 3) na żądanie podmiotu danych (art. 13 ust. 2 lit f; art. 14 ust. 3 lit g; art. 15 ust. 1 lit h rozporządzenia 2016/679) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. - w praktyce spełnienie obowiązku informacyjnego może być problematyczne - motyw 63 preambuły: prawo dostępu nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji.
Odpowiedzialność Naruszenie przepisów art. 13, 14, 15 i 22 w zakresie wymogów dotyczących informowania oraz zautomatyzowanego podejmowania decyzji może skutkować nałożeniem administracyjnej kary pieniężnej - w sektorze prywatnym do 20 mln euro lub 4% rocznego obrotu - w sektorze publicznym do 100 tyś zł (do 10 tyś zł państwowe i samorządowe instytucje kultury).
Przydatne informacje Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE - WP 251 rev.01 Przyjęte w dniu 3 października 2017 r. Ostatnio zmienione i przyjęte w dniu 6 lutego 2018 r. - omówienie konstrukcji zautomatyzowanych decyzji i profilowania - analiza uprawnień i obowiązków związanych z automatyzacją i profilowaniem - wskazanie zaleceń i dobrych praktyk https://uodo.gov.pl/pl/file/1431