Prawne ograniczenia dotyczące zautomatyzowanego podejmowania decyzji

Podobne dokumenty
Prawne aspekty Big data w sektorze bankowym 22 maja 2017

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Ochrona danych osobowych w kontekście RODO dla e-commerce i marketingu

Reforma regulacyjna sektora bankowego

Oświadczenie o ochronie danych zgodnie z RODO

Oświadczenie o ochronie danych osobowych Informacje dotyczące ochrony danych zgodnie z art. 13 i 14 RODO

Jak się ustrzec przed pozwami i uniknąć kar w następstwie wejścia w życie RODO?

KLAUZULA INFORMACYJNA DLA KANDYDATÓW DO PRACY (REKRUTACJA) Data: r. Wersja 2

POLITYKA PRYWATNOŚCI

efaktura - zgoda Klienta

IV. Cele oraz podstawa prawna przetwarzania danych osobowych Dane osobowe mogą być przetwarzane przez Bank w następujących celach:

PRAWA PODMIOTÓW DANYCH - PROCEDURA

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Procedura realizacji praw osób fizycznych

Załącznik nr 10 do Polityki Bezpieczeństwa Ochrony Danych Osobowych w Przedszkolu nr 25 w Koninie BAJKA

Administratorem Pani/Pana danych osobowych jest Galeria Słupsk.

Klauzula Informacyjna dotycząca przetwarzania danych osobowych w Międzyszkolnym Uczniowskim Klubie Sportowym OGNIWO

POLITYKA PRYWATNOŚCI I. INFORMACJE DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

I. Podstawowe Definicje

1. Szanując prawa osób odwiedzających nasz serwis (stronę internetową) oraz

Jakich Twoich danych dotyczy przetwarzanie i kto jest ich administratorem?

POLITYKA PRYWATNOŚCI dotycząca danych osobowych użytkowników strony internetowej

KLAUZULA INFORMACYJNA DLA OSÓB Z KTÓRYMI ZAWARTO UMOWY CYWILNOPRAWNE (DOSTAWY, USŁUGI I ROBOTY BUDOWLANE) Data: r.

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

I. Zakres oraz cel procedury. Zgłaszanie i obsługa praw osób fizycznych

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

10 PRZYKAZAŃ RODO DLA PRACODAWCÓW. r.pr. Edyta Jagiełło

DANE OSOBOWE W DZIAŁALNOŚCI SERWISÓW AGD. Łódź, 21 września 2018 roku

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

Uwagi Fundacji Panoptykon 1 do Kodeksu dobrych praktyk w zakresie przetwarzania danych osobowych przez banki i rejestry kredytowe 2

IV. Cele oraz podstawa prawna przetwarzania danych osobowych

POLITYKA OCHRONY PRYWATNOŚCI

POLITYKA PRYWATNOŚCI APLIKACJI MOBILNEJ POLSKIE ORZEŁKI

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

ADWOKAT URSZULA DANILCZUK-KARNAS TEL.:

Wpływ ogólnego rozporządzenia o ochronie danych osobowych (RODO) na działalność sektora ubezpieczeń przegląd zagadnienia

POLITYKA PRYWATNOŚCI

INFORMACJA O PRZETWARZANIU DANYCH OSOBOWYCH

1. Co to jest RODO? 2. Ważne pojęcia zawarte w RODO

Regulamin Programu. Akademia Bezpiecznego Puchatka. Terminy użyte w Regulaminie otrzymują następujące znaczenie:

II. W JAKIM CELU I NA JAKICH PODSTAWACH PRAWNYCH PRZETWARZAMY TWOJE DANE OSOBOWE?

Od kiedy obowiązują zmiany? RODO stosujemy od r.

Informacja o przetwarzaniu danych osobowych

Obszar I. Obszar II. Co dokładnie będziemy analizować? Nowa klasyfikacja: dane zwykłe dane wrażliwe dane biometryczne

POLITYKA REALIZACJI PRAW OSÓB, KTÓRYCH DANE DOTYCZĄ

Oświadczenie dotyczące przetwarzania danych osobowych do wniosku o kredyt

A JAK RODO WPŁYWA NA CHATBOTY?

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Ubezpieczeniowy Fundusz Gwarancyjny. Ubezpieczeniowy Fundusz Gwarancyjny 1

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

POLITYKA PRYWATNOŚCI

KLAUZULA INFORMACYJNA

POLITYKA PRYWATNOŚCI

Paweł Makowski Radca GIODO

Nowe podejście do ochrony danych osobowych. Miłocin r.

POLITYKA PRYWATNOŚCI

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych osób odwiedzających sklepy objęte monitoringiem wizyjnym-

Z OBOWIĄZKIEM INFORMACYJNYM WYNIKAJĄCYM Z RODO DEFINICJE RODO

ECDL RODO Sylabus - wersja 1.0

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Informacja dla Przedstawicieli zawodów medycznych, których dane osobowe zostały pozyskane i są przetwarzane przez Servier Polska Sp. z o.o.

Polityka prywatności serwisu ShipHub.pl. Niniejsza polityka prywatności wchodzi w życie i zaczyna obowiązywać z dniem:

Informacja dotycząca przetwarzania danych Informacja dotycząca przetwarzania danych WEBEYE POLSKA Sp. Z.o.o. (siedziba: PL Kraków, ulica

POLITYKA OCHRONY PRYWATNOŚCI PRACOWNIKÓW I PRACOWNIKÓW TYMCZASOWYCH

Informacja o przetwarzaniu danych osobowych

KLAUZULA INFORMACYJNA Konkurs Nagroda Człowiek wiedzy i doświadczenia. Informacje dotyczące ochrony danych osobowych

POLITYKA PRYWATNOŚCI -dotycząca danych osobowych klientów, dostawców i najemców-

POLITYKA PRYWATNOŚCI W SPÓŁDZIELNI MIESZKANIOWEJ W NOWYM TOMYŚLU

Aby uzyskać więcej informacji na temat danych osobowych, skontaktuj się z wyznaczonym przez nas Inspektorem Ochrony Danych Osobowych:

Klauzula informacyjna dotycząca przetwarzania danych osobowych osoby fizycznej

POLITYKA PRYWATNOŚCI PLAYLINK SA

POLITYKA OCHRONY DANYCH OSOBOWYCH

Administratorem danych jest Modtech Marta Świątek z siedzibą we Wrześni przy Ulicy Piotra Jarocińskiego 6.

INFORMACJA DLA OSOBY, KTÓREJ DANE OSOBOWE PRZETWARZANE SĄ W ZWIĄZKU UDZIELANIEM ŚWIADCZEŃ ZDROWOTNYCH PRZEZ PODMIOT LECZNICZY CENTRUM MEDYCZNE imed24

Procedura realizacji praw osób fizycznych oraz postępowania w przypadku naruszeń bezpieczeństwa przetwarzanych danych Spis treści

Ustalanie zasad i terminów retencji danych osobowych

Polityka prywatności Reform Company 3 sp. z o.o.

Uwagi Fundacji Panoptykon 1 do Kodeksu dobrych praktyk w sprawie przetwarzania danych osobowych dla celów badań naukowych przez biobanki w Polsce 2

Oświadczenie dotyczące przetwarzania danych osobowych*)

Nadzór nad przetwarzaniem danych osobowych kadrowych zgodnie z RODO

Klauzula informacyjna o przetwarzaniu danych osobowych

Podanie danych jest niezbędne do zawarcia umów, świadczenia usług oraz rozliczenia prowadzonej działalności.

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

3. Cel przetwarzania danych przez Administratora, podstawa prawna przetwarzania oraz okres, przez który dane osobowe będą przechowywane:

POLITYKA OCHRONY DANYCH OSOBOWYCH. z dnia Postanowienia Ogólne

Polityka Prywatności Przetwarzania Danych Osobowych Kandydatów REKRUTACJA ZA POŚREDNICTWEM PORTALU

3. Jakie dane osobowe przetwarzamy

POLITYKA PRYWATNOŚCI Up&More Sp. z o.o.

Czym jest RODO? Jak można skorzystać z przysługujących praw? Kim jest administrator danych osobowych (ADO) Kim jest podmiot przetwarzający?

Informacja o przetwarzaniu danych osobowych

Polityka Prywatności. 3. Dane Administratora Danych Osobowych 1) Uprzejmie informujemy, że Administratorem Pani/Pana danych osobowych jest Szkoła

FORMULARZ ZGŁOSZENIA PROJEKTU DO BUDŻETU OBYWATELSKIEGO MIASTA NOWY DWÓR MAZOWIECKI ZADANIE

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH PRZEZ FOR EVER SPÓŁKA Z OGRANICZONA ODPOWIEDZIALNOŚCIĄ

POLITYKA OCHRONY DANYCH OSOBOWYCH

SKLEP INTERNETOWY SUNBARREL.PL POLITYKA PRYWATNOŚCI (ZASADY PRZETWARZANIA DANYCH OSOBOWYCH)

Polityka ochrony danych i prywatności

POLITYKA PRYWATNOŚCI

Warszawa, 19 października 2016 Agnieszka Szydlik, adwokat, Wardyński & Wspólnicy Sylwia Paszek, radca prawny, Wardyński & Wspólnicy

POLITYKA PRYWATNOŚCI REKRUTACJA ZEWNĘTRZNA

Transkrypt:

XI Konferencja Naukowa Bezpieczeństwo w Internecie. Analityka danych Prawne ograniczenia dotyczące zautomatyzowanego podejmowania decyzji dr hab. Paweł Fajgielski, prof. KUL

Wprowadzenie Analiza danych jako podstawa podejmowania decyzji Możliwość automatyzacji procesów decyzyjnych Profilowanie jako jedna z podstaw procesów decyzyjnych Prawna regulacja dotycząca decyzji opartych na zautomatyzowanym przetwarzaniu danych osobowych (w tym profilowaniu) Podstawowe pytanie: czy analizowane dane mają charakter danych osobowych, czy też mają charakter anonimowy? Anonimizacja a pseudonimizacja danych

Profilowanie Definicja z art. 4 pkt 4) rozporządzenia 2016/679 "profilowanie" oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się; - wykorzystanie danych osobowych do oceny czynników osobowych - analiza lub prognoza (przewidywanie - profilowanie predyktywne) - prosta klasyfikacja (np. ze względu na wiek) np. w celach statystycznych, nie jest profilowaniem, jeżeli nie służy ocenie ani prognozie dotyczącej konkretnych osób

Profilowanie Wybrane zagrożenia związane z profilowaniem: - brak świadomości śledzenia, ingerencja w sferę prywatności; - zakwalifikowanie do określonej grupy mogące skutkować dyskryminacją (np. zróżnicowanie cenowe, niedostępność produktów lub informacji); - negatywne konsekwencje błędów w analizach Profilowanie - w oparciu o ogólne podstawy dopuszczalności przetwarzania danych (w tym m.in. klauzulę prawnie uzasadnionego interesu, możliwy sprzeciw osoby) Profilowanie, które jest podstawą zautomatyzowanych decyzji - ograniczenia dopuszczalności profilowania

Zautomatyzowane podejmowanie decyzji w oparciu o dane osobowe Art.. 22 rozporządzenia 2016/679 - Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie 1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. - rozległe rozumienie decyzji rozstrzygnięcia (znacznie szersze niż decyzja w rozumieniu k.p.a.) - decyzje w procedurze zautomatyzowanej (oparte wyłącznie na zautomatyzowanym przetwarzaniu), czyli decyzje podejmowane z udziałem człowieka nie podlegają wskazanym ograniczeniom - nie każda decyzja ale tylko taka, która wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa - więc co do zasady nie dotyczy to np. decyzji o rodzaju wyświetlanych reklam, czy innych rozstrzygnięć niemających istotnego znaczenia

Zautomatyzowane podejmowanie decyzji w oparciu o dane osobowe Art. 22 2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja: a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem; b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą. - węższy zakres przesłanek dopuszczalności przetwarzania - wymóg wyraźnej zgody brak możliwości wnioskowania o zgodzie z innych działań osoby - możliwość odwołania zgody w każdym czasie i konwekwencje

Zautomatyzowane podejmowanie decyzji w oparciu o dane osobowe Art. 22 3. W przypadkach, o których mowa w ust. 2 lit. a) i c) [umowa, zgoda], administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. 4. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. - interwencja ludzka - możliwość wyrażenia własnego stanowiska i zakwestionowania decyzji - niedopuszczalność automatyzacji w oparciu o dane sensytwne wyjątki: przepis, interes publiczny - niedopuszczalność automatyzacji decyzji w stosunku do dzieci? motyw 71 preambuły, motyw 38

Obowiązek informacyjny Obowiązek informowania o zautomatyzowanych decyzjach w tym o profilowaniu zasada przejrzystości Administrator ma obowiązek podać podmiotowi danych - 1) przy gromadzeniu danych od osoby, 2) z innych źródeł oraz 3) na żądanie podmiotu danych (art. 13 ust. 2 lit f; art. 14 ust. 3 lit g; art. 15 ust. 1 lit h rozporządzenia 2016/679) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. - w praktyce spełnienie obowiązku informacyjnego może być problematyczne - motyw 63 preambuły: prawo dostępu nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie. Względy te nie powinny jednak skutkować odmową udzielenia osobie, której dane dotyczą, jakichkolwiek informacji.

Odpowiedzialność Naruszenie przepisów art. 13, 14, 15 i 22 w zakresie wymogów dotyczących informowania oraz zautomatyzowanego podejmowania decyzji może skutkować nałożeniem administracyjnej kary pieniężnej - w sektorze prywatnym do 20 mln euro lub 4% rocznego obrotu - w sektorze publicznym do 100 tyś zł (do 10 tyś zł państwowe i samorządowe instytucje kultury).

Przydatne informacje Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE - WP 251 rev.01 Przyjęte w dniu 3 października 2017 r. Ostatnio zmienione i przyjęte w dniu 6 lutego 2018 r. - omówienie konstrukcji zautomatyzowanych decyzji i profilowania - analiza uprawnień i obowiązków związanych z automatyzacją i profilowaniem - wskazanie zaleceń i dobrych praktyk https://uodo.gov.pl/pl/file/1431

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres