29-es Munkacsoport WP251 iránymutatás az automatizált döntéshozatalról és profilalkotásról
A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT
Iránymutatás az automatizált döntéshozatallal és a profilalkotással kapcsolatban a 2016/679 rendelet alkalmazásához
Elfogadás időpontja: 2017. október 3.
A legutóbbi felülvizsgálat és elfogadás időpontja: 2018. február 6.
Ez a munkacsoport a 95/46/EK irányelv 29. cikke alapján jött létre. A munkacsoport adatvédelemmel, valamint a magánélet védelmével kapcsolatos kérdésekkel foglalkozó független európai tanácsadó szerv. A feladatait a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke határozza meg.
A titkársági feladatokat ellátja: Európai Bizottság, Jogérvényesülési Főigazgatóság, C. Igazgatóság (Alapvető jogok és uniós polgárság), B-1049 Brüsszel, Belgium, MO-59 02/013. sz. iroda.
AZ EGYÉNEKNEK A SZEMÉLYES ADATOK FELDOLGOZÁSA TEKINTETÉBEN VALÓ VÉDELMÉVEL FOGLALKOZÓ
MUNKACSOPORT
amelyet az 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvvel hoztak létre,
tekintettel az említett irányelv 29. és 30. cikkére,
tekintettel eljárási szabályzatára,
ELFOGADTA EZT AZ IRÁNYMUTATÁST:
TARTALOMJEGYZÉK
I. BEVEZETÉS
II. FOGALOMMEGHATÁROZÁSOK
A. PROFILALKOTÁS
B. AUTOMATIZÁLT DÖNTÉSHOZATAL
C. HOGYAN KEZELI A GDPR A FOGALMAKAT?
III. A PROFILALKOTÁSRA ÉS AZ AUTOMATIZÁLT DÖNTÉSHOZATALRA VONATKOZÓ ÁLTALÁNOS RENDELKEZÉSEK
A. ADATVÉDELMI ELVEK
1. Az 5. cikk (1) bekezdésének a) pontja: Jogszerűség, tisztességes eljárás és átláthatóság
2. Az 5. cikk (1) bekezdésének b) pontja: További adatkezelés és célhoz kötöttség
3. Az 5. cikk (1) bekezdésének c) pontja: Adattakarékosság
4. Az 5. cikk (1) bekezdésének d) pontja: Pontosság
5. Az 5. cikk (1) bekezdésének e) pontja: Korlátozott tárolhatóság
B. AZ ADATKEZELÉS JOGALAPJA
1. A 6. cikk (1) bekezdésének a) pontja: hozzájárulás
2. A 6. cikk (1) bekezdésének b) pontja – szerződés teljesítéséhez szükséges
3. A 6. cikk (1) bekezdésének c) pontja – jogi kötelezettség teljesítéséhez szükséges
4. A 6. cikk (1) bekezdésének d) pontja – létfontosságú érdekek védelméhez szükséges
5. A 6. cikk (1) bekezdésének e) pontja – közérdekű feladat vagy közhatalmi jogosítvány gyakorlásához szükséges
6. A 6. cikk (1) bekezdésének f) pontja – az adatkezelő vagy egy harmadik fél jogos érdekei miatt szükséges
C. 9. CIKK: KÜLÖNLEGES ADATKATEGÓRIÁK
D. AZ ÉRINTETT JOGAI
1. 13. és 14. cikk: A tájékoztatáshoz való jog
2. 15. cikk: Hozzáférési jog
3. 16. cikk: A helyesbítéshez való jog, 17. cikk: A törléshez való jog, 18. cikk: Az adatkezelés korlátozásához való jog
4. 21. cikk: A tiltakozáshoz való jog
IV. A 22. CIKKBEN MEGHATÁROZOTT, KIZÁRÓLAG AUTOMATIZÁLT DÖNTÉSHOZATALRA VONATKOZÓ KÜLÖNÖS RENDELKEZÉSEK
A. „KIZÁRÓLAG AUTOMATIZÁLT ADATKEZELÉSEN ALAPULÓ DÖNTÉS”
B. „JOGHATÁS” VAGY „HASONLÓKÉPPEN JELENTŐS” HATÁS
C. KIVÉTELEK A TILALOM ALÓL
1. Szerződés teljesítése
2. Uniós vagy tagállami jog által engedélyezett
3. Kifejezett hozzájárulás
D. A SZEMÉLYES ADATOK KÜLÖNLEGES KATEGÓRIÁI: A 22. CIKK (4) BEKEZDÉSE
E. AZ ÉRINTETT JOGAI
1. A 13. cikk (2) bekezdésének f) pontja és a 14. cikk (2) bekezdésének g) pontja: Tájékoztatáshoz való jog
2. A 15. cikk (1) bekezdésének h) pontja: Hozzáférési jog
F. MEGFELELŐ GARANCIÁK ALKALMAZÁSA
V. A GYERMEKEK ÉS A PROFILALKOTÁS
VI. ADATVÉDELMI HATÁSVIZSGÁLATOK (DPIA) ÉS ADATVÉDELMI TISZTVISELŐ (DPO)
I. Bevezetés
Az általános adatvédelmi rendelet (a továbbiakban: GDPR) külön foglalkozik a profilalkotással és az automatizált egyedi döntéshozatallal, ideértve a profilalkotást is.
Profilalkotást és automatizált döntéshozatalt egyre több ágazatban alkalmaznak, mind a köz-, mind a magánszférában. A bank- és pénzügyek, az egészségügy, az adózás, a biztosítás, a marketing és reklám csak néhány példa azon területekre, ahol egyre rendszeresebben végeznek profilalkotást a döntéshozatal támogatására.
A technológia fejlődése és a nagy adathalmazok elemzésének képessége, a mesterséges intelligencia és a gépi tanulás megkönnyíti profilok létrehozását és az automatizált döntéshozatalt, ami jelentős hatást gyakorolhat a természetes személyek jogaira és szabadságaira.
Azáltal, hogy az interneten és a tárgyak internetével (IoT) kapcsolatos eszközök révén széles körben rendelkezésre állnak a személyes adatok, továbbá mód van ezekkel kapcsolatban összefüggéseket megállapítani és kapcsolatokat kialakítani, lehetővé válik meghatározni, elemezni és előrejelezni az egyének személyiségének vagy magatartásának, érdeklődési körének és szokásainak bizonyos jellemzőit.
A profilalkotás és az automatizált döntéshozatal hasznos lehet az egyének és a szervezetek számára, mivel olyan előnyökkel jár, mint például:
• a nagyobb hatékonyság; és
• az erőforrás-megtakarítás.
Számos kereskedelmi alkalmazásuk van, például használhatók a piac jobb szegmentálására, valamint a szolgáltatások és termékek egyéni igényekhez történő igazítására. A gyógyászat, az oktatás, az egészségügy és a közlekedés számára is előnyösek lehetnek ezek az eljárások.
Azonban a profilalkotás és az automatizált döntéshozatal jelentős kockázatot jelenthet a személyek jogaira és szabadságaira, amelyek megfelelő garanciákat igényelnek.
Ezek az eljárások lehetnek homályosak. A természetes személyek esetleg nem tudják, hogy profilalkotásban vesznek részt, vagy nem értik, ez mivel jár.
A profilalkotás ráerősíthet a meglevő sztereotípiákra és társadalmi szegregációra. Emellett a személyeket bizonyos kategóriákba skatulyázhatja be, és a számukra javasolt preferenciákra korlátozhatja őket. Ez alááshatja az egyének választási szabadságát például bizonyos termékek vagy szolgáltatások – könyvek, zene vagy hírcsatornák – tekintetében. Bizonyos esetekben a profilalkotás pontatlan előrejelzésekhez vezethet. Más esetekben a szolgáltatások és áruk igénybevételének megtagadásához és indokolatlan megkülönböztetéshez vezethet.
A GDPR új rendelkezéseket vezet be a profilalkotásból és az automatizált döntéshozatalból eredő, különösen, de nem kizárólagosan a magánélet védelmét fenyegető kockázatok kezelésére. Ezen iránymutatás célja, hogy tisztázza ezeket a rendelkezéseket.
A dokumentum a következőkre terjed ki:
• A profilalkotás és az automatizált döntéshozatal meghatározása és ezek általános megközelítése a GDPR alapján – II. fejezet
• A profilalkotásra és az automatizált döntéshozatalra vonatkozó általános rendelkezések – III. fejezet
• Különös rendelkezések a 22. cikkben meghatározott kizárólag automatizált döntéshozatal tekintetében – IV. fejezet
• A gyermekek és a profilalkotás – V. fejezet
• Adatvédelmi hatásvizsgálat és adatvédelmi tisztviselők – VI. fejezet
A mellékletek a helyes gyakorlatra vonatkozó, az uniós tagállamok tapasztalatain alapuló ajánlásokat tartalmaznak.
A 29. cikk szerinti adatvédelmi munkacsoport (a továbbiakban: WP29) figyelemmel kíséri a jelen iránymutatás alkalmazását, és adott esetben további részletekkel egészítheti ki.
II. Fogalommeghatározások
A GDPR rendelkezéseket vezet be annak biztosítására, hogy a profilalkotást és az automatizált egyedi döntéshozatalt (függetlenül attól, hogy magában foglal-e profilalkotást) ne alkalmazzák a természetes személyek jogaira indokolatlan hatást gyakorló módon; ilyenek például:
• az átláthatóságra és méltányosságra vonatkozó különleges előírások;
• a nagyobb mértékű elszámoltathatóságra vonatkozó kötelezettségek;
• az adatkezelés jogalapjainak meghatározása;
• a természetes személyek azon joga, hogy tiltakozzanak a profilalkotás, illetve kifejezetten a marketing céljára szolgáló profilalkotás ellen; továbbá
• a bizonyos feltételek teljesülése esetén elvégzendő adatvédelmi hatásvizsgálat.
A GDPR nemcsak az automatizált adatkezelés vagy profilalkotás eredményeként hozott döntésekre összpontosít. Vonatkozik a profilok létrehozását célzó adatgyűjtésre, valamint az ilyen profilok természetes személyekre való alkalmazására is.
A. Profilalkotás
A profilalkotást a GPPR 4. cikkének (4) bekezdése az alábbiak szerint határozza meg:
személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.
A profilalkotás három elemből áll:
• valamilyen formájú automatizált kezelésnek kell lennie;
• személyes adatok tekintetében kell végezni; és
• a profilalkotás célja egy természetes személy személyes jellemzőinek értékelése.
A 4. cikk (4) bekezdése az „automatizált kezelés bármely formájára” utal, és nem „kizárólag” automatizált adatkezelésre (amelyre a 22. cikk hivatkozik). A profilalkotásnak magában kell foglalnia az automatizált adatkezelés valamilyen formáját, bár az emberi beavatkozás nem feltétlenül jelenti azt, hogy az adott tevékenységre nem alkalmazható a meghatározás.
A profilalkotás olyan eljárás, amely egy sor statisztikai következtetést foglalhat magában. Gyakran használják arra, hogy különböző forrásokból származó adatok felhasználásával előrejelzéseket tegyenek emberekről oly módon, hogy az egyénről más, statisztikai szempontból hasonlónak tűnő személyek tulajdonságai alapján vonnak le következtetéseket.
A GDPR értelmében a profilalkotás a személyes adatok olyan automatizált kezelése, amely személyes jellemzők értékelésére, különösen természetes személyek elemzésére vagy velük kapcsolatos előrejelzések készítésére irányul. Az „értékelés” szó használata arra utal, hogy a profilalkotás együtt jár a személyre vonatkozó valamilyen értékeléssel vagy megítéléssel.
A természetes személyek ismert tulajdonságokon (pl. életkor, nem vagy magasság) alapuló egyszerű besorolása nem vezet szükségképpen profilalkotáshoz. Ez függ az osztályozás céljától. Például lehetséges, hogy egy vállalkozás statisztikai célokból és az ügyfelek összesített áttekintése érdekében osztályozni kívánja a vevőit az életkoruk vagy a nemük alapján, anélkül, hogy bármilyen előrejelzést készítene vagy következtetést vonna le az egyénekről. Ebben az esetben a cél nem az egyéni jellemzők értékelése, és ezért ez nem profilalkotás.
A GDPR-t az Európa Tanács CM/Rec(2010)13 számú ajánlásában2 („ajánlás”) szereplő meghatározás ihlette, de nem azonos azzal, mivel az ajánlás kizárja az olyan adatkezelést, amely nem foglal magában következtetést. Mindazonáltal az ajánlás hasznosan kifejti, hogy a profilalkotás három különböző szakaszból állhat:
• adatgyűjtés;
• automatizált elemzés az összefüggések felismerésére;
• az összefüggések alkalmazása adott természetes személyre a jelenlegi vagy jövőbeli viselkedés jellemzőinek azonosítására.
A profilalkotást végző adatkezelőknek gondoskodnia kell arról, hogy az összes fenti szakasz
tekintetében megfeleljenek a GDPR követelményeinek.
Általánosságban elmondható, hogy a profilalkotás egy természetes személyről (vagy természetes személyek csoportjáról) való információgyűjtést és a jellemzőik vagy a viselkedési mintáik értékelését jelenti annak érdekében, hogy bizonyos kategóriába vagy csoportba sorolja őt (őket), különösen, hogy elemezze a következőket és/vagy előrejelzéseket tegyen például a következőkről:
• képesség egy feladat végrehajtására;
• érdeklődési kör; vagy
• várható magatartás.
Példa
Egy adatközvetítő különböző nyilvános és magánforrásokból gyűjt adatokat akár az ügyfelei nevében, akár a saját céljaira. Az adatközvetítő az adatok összeállítása útján profilokat hoz létre természetes személyekről, és őket szegmensekbe helyezi. Ezeket az információkat olyan cégeknek adja el, akik célzottabbá szeretnék tenni termékeiket és szolgáltatásaikat. Az adatközvetítő profilalkotást végez azáltal, hogy egy személyt az érdeklődési köre alapján egy bizonyos kategóriába sorol.
Hogy történik-e a 22. cikk (1) bekezdésében írt automatizált döntéshozatal, az a körülményektől függ.
B. Automatizált döntéshozatal
Az automatizált döntéshozatal hatóköre eltérő, és részben átfedheti a profilalkotást, vagy abból eredhet. Önmagában az automatizált döntéshozatal az a képesség, hogy technológiai eszközök segítségével, emberi beavatkozás nélkül hoznak döntéseket. Az automatizált döntések alapulhatnak bármilyen adaton, például:
• közvetlenül az érintett természetes személyek által megadott adatokon (például kérdőívre adott válaszok);
• természetes személyekről megfigyelt adatokon (például egy alkalmazás révén gyűjtött helymeghatározási adatok);
• származtatott vagy kikövetkeztetett adatokon, például a természetes személy már létrehozott profilján (pl. hitelminősítési pontszám).
Az automatizált döntéseket meg lehet hozni profilalkotással vagy anélkül; a profilalkotás történhet automatizált döntéshozatal nélkül. Azonban a profilalkotás és az automatizált döntéshozatal nem feltétlenül elkülönült tevékenységek. Valami, ami egyszerű automatizált döntéshozatali folyamatként indul, átalakulhat profilalkotáson alapuló folyamattá attól függően, hogy az adatokat hogyan használják fel.
Példa
Gyorshajtási bírság kiszabása pusztán a sebességmérő kamerákból származó bizonyítékok alapján automatizált döntéshozatali folyamatnak minősül, amely nem feltétlenül jár profilalkotással.
Azonban profilalkotáson alapuló döntéssé válik, ha az idők folyamán figyelemmel kísérik a természetes személy vezetési szokásait, és például a kiszabott bírság összege olyan más tényezőkre is kiterjedő értékelés eredménye, mint például, hogy a gyorshajtás ismétlődő szabálysértés-e, vagy hogy a vezető a közelmúltban elkövetett-e más közlekedési szabálysértést.
A nem kizárólagosan automatizált döntések is magukban foglalhatnak profilalkotást. Például jelzálogkölcsön odaítélése előtt a bank figyelembe veheti a hitelfelvevő hitelminősítési pontszámát, de emberek által végzett további érdemi beavatkozást követően hoznak csak bármiféle döntést az egyénre vonatkozóan.
C. Hogyan kezeli a GDPR a fogalmakat?
A profilalkotásnak három lehetséges alkalmazási módja van:
(i) általános profilalkotás;
(ii) profilalkotáson alapuló döntéshozatal; és
(iii) kizárólag automatizált döntéshozatal, ideértve a profilalkotást is, ami joghatással jár az érintettre vagy hasonlóképpen jelentős mértékben érinti az érintettet (a 22. cikk (1) bekezdése).
A (ii) és (iii) közötti különbséget legjobban a következő két példa mutatja, amelyben egy személy az interneten keresztül hitelért folyamodik:
• ember dönt a hitelnyújtásról, kizárólag automatizált eszközökkel létrehozott profil alapján (ii);
• algoritmus dönt a hitelnyújtásról, és a döntést automatikusan, bármilyen előzetes és érdemi emberi értékelés nélkül megküldik a természetes személynek (iii).
Az adatkezelők akkor végezhetnek profilalkotást és automatizált döntéshozatalt, ha megfelelnek az összes elvnek és az adatkezelésre jogszerű alapjuk van. További garanciákat és korlátozásokat kell alkalmazni a kizárólag automatizált döntéshozatal, ezen belül a profilalkotás esetében, amint ezt a 22. cikk (1) bekezdése meghatározza.
Az iránymutatás III. fejezete bemutatja a GDPR azon rendelkezéseit, amelyeket minden profilalkotásra és automatizált egyedi döntéshozatalra alkalmazni kell. Ez magában foglalja a nem kizárólag automatizált döntéshozatali folyamatokat is.
Az iránymutatás IV. fejezete azokat a különös rendelkezéseket mutatja be, amelyek csak a kizárólag automatizált egyedi döntéshozatalra vonatkoznak, ideértve a profilalkotást is. Az ilyen fajta adatkezelésre általános tilalom vonatkozik, ami a természetes személyek jogait és szabadságait érintő lehetséges kockázatokat tükrözi.
III. A profilalkotásra és az automatizált döntéshozatalra vonatkozó általános rendelkezések
A rendelkezésekről készült ezen áttekintés minden profilalkotásra és automatizált döntéshozatalra vonatkozik. A IV. fejezetben szereplő további különös rendelkezések akkor alkalmazandók, ha az adatkezelés a 22. cikk (1) bekezdésében szereplő meghatározás hatálya alá tartozik.
A. Adatvédelmi elvek
Az elvek vonatkoznak minden, személyes adatokat érintő profilalkotásra és automatizált döntéshozatalra4. A megfelelés elősegítése érdekében az adatkezelőknek a következő kulcsfontosságú területeket kell figyelembe vennie:
1. Az 5. cikk (1) bekezdésének a) pontja: Jogszerűség, tisztességes eljárás és átláthatóság
Az adatkezelés átláthatósága a GDPR alapvető követelménye.
A profilalkotási folyamat gyakran láthatatlan az érintettek számára. Úgy működik, hogy származtatott vagy következtetett adatokat hoznak létre a természetes személyekről – „új” személyes adatokat, amelyeket nem közvetlenül maguk az érintettek bocsátottak rendelkezésre. Az egyének eltérő megértési szinttel rendelkeznek, és előfordulhat, hogy kihívást jelent számukra a profilalkotási és automatizált döntéshozatali folyamatokban foglalt komplex technikák megértése.
A 12. cikk (1) bekezdése szerint az adatkezelő a személyes adatai kezelésére vonatkozó tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva köteles nyújtani.
A közvetlenül az érintettől gyűjtött adatok esetében ezt a gyűjtés időpontjában kell rendelkezésre bocsátani (13. cikk); a közvetett módon szerzett adatok esetében a tájékoztatást a 14. cikk (3) bekezdésében megadott határidőkön belül kell megadni.
Példa
Egyes biztosítók az egyén járművezetői magatartása alapján kínálnak biztosítási díjakat és szolgáltatásokat. Az ilyen esetekben figyelembe vett elemek közé tartozhat a megtett távolság, a vezetésre fordított idő és a megtett utazás, valamint az (okos) autóban levő érzékelők által gyűjtött adatok alapján készített előrejelzések. Az összegyűjtött adatokat profilalkotásra használják, hogy azonosítsák a rossz vezetési magatartást (pl. erőteljes gyorsítás, hirtelen fékezés és gyorshajtás). Ezt az információt összevethetik más forrásokkal (például: időjárás, forgalom, út típusa), hogy jobban megértsék a járművezetői magatartást.
Az adatkezelőnek biztosítania kell, hogy jogszerű alapja legyen az ilyen fajta adatfeldolgozásra. Az adatkezelőnek tájékoztatnia kell az érintettet az összegyűjtött adatokról, és adott esetben arról, hogy sor kerül-e a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatalra, az alkalmazott logikáról és az ilyen adatkezelés jelentőségéről és várható következményeiről.
Az információra és a személyes adatokhoz való hozzáférésre vonatkozó konkrét követelményeket a III. fejezet (D. szakasz) és a IV. fejezet (E. szakasz) tárgyalja.
Az adatkezelésnek emellett tisztességesnek és átláthatónak kell lennie.
A profilalkotás tisztességtelen lehet és hátrányos megkülönböztetést eredményezhet, ha például megtagadják az emberektől a foglalkoztatási lehetőségekhez, hitelhez vagy biztosításhoz való hozzáférést, vagy ha túlságosan kockázatos és költséges pénzügyi termékekkel veszik őket célba. Az alábbi példa, amely nem felelne meg az 5. cikk (1) bekezdésének a) pontjában meghatározott előírásainak, azt mutatja, hogy a tisztességtelen profilalkotás hogyan vezethet ahhoz, hogy egyes fogyasztóknak kevésbé vonzó ajánlatokat kínálnak, mint másoknak.
Példa
Egy adatközvetítő fogyasztói profilokat ad el pénzügyi vállalkozásoknak úgy, hogy a fogyasztó erre nem adott engedélyt vagy nem ismeri az alapul szolgáló adatokat. A profilok a fogyasztókat kategóriákba sorolják (olyan címek alatt, mint „Vidékiek, megélhetési gondokkal”, „Etnikai másodlagos városi küszködők”, „Nehéz indulás: Fiatal egyedülálló szülők”) vagy a fogyasztókat gazdaságilag kiszolgáltatott helyzetükre összpontosítva „pontozzák”. A pénzügyi cégek az ilyen fogyasztóknak gyorskölcsönöket és egyéb „nem hagyományos” pénzügyi szolgáltatásokat kínálnak (magas költségű kölcsönök és egyéb, pénzügyileg kockázatos termékek).
2. Az 5. cikk (1) bekezdésének b) pontja: További adatkezelés és célhoz kötöttség
A profilalkotás magában foglalhatja eredetileg valamilyen más célból gyűjtött személyes adatok felhasználását.
Példa
Néhány mobilalkalmazás helymeghatározási szolgáltatást kínál, ami lehetővé teszi a felhasználó számára, hogy kedvezményeket kínáló közeli éttermeket találjon. A gyűjtött adatokat azonban felhasználják az érintett marketing céljára szolgáló profiljának elkészítéséhez is, hogy azonosítsák az étkezési szokásait vagy általában az életmódját. Az érintett arra számít, hogy az adatait éttermek keresésére fogják felhasználni, és nem arra, hogy pizza-házhozszállítási reklámokat kapjon csak azért, mert az alkalmazás megállapította, hogy későn ér haza. A helymeghatározási adatok ilyen további felhasználása nem egyeztethető az adatgyűjtés eredeti céljával, és ezért az érintett személy hozzájárulása szükséges hozzá.
Az, hogy ez a további adatkezelés összeegyeztethető-e az adatgyűjtés eredeti céljával, számos tényezőtől függ, beleértve azt is, hogy az adatkezelő eredetileg milyen tájékoztatást adott az érintettnek. Ezek a tényezők tükröződnek a GDPR-ben, és az alábbiakban foglalhatók össze:
• az adatok gyűjtésének céljai és a további adatkezelés céljai közötti esetleges kapcsolat;
• az adatok gyűjtésének körülményei és az érintettek észszerű várakozásai azok további felhasználásáról;
• az adatok jellege;
• a további adatkezelés hatása az érintettekre; valamint
• az adatkezelő által a tisztességes adatkezelés biztosítása és az érintetteket érintő indokolatlan hatások megelőzése érdekében alkalmazott garanciák.
3. Az 5. cikk (1) bekezdésének c) pontja: Adattakarékosság
A profilalkotás révén teremtett üzleti lehetőségek, olcsóbb tárolási költségek és a nagy mennyiségű információ feldolgozására való képesség arra bátoríthatja a szervezeteket, hogy több személyes adatot gyűjtsenek, mint amennyi valójában szükséges, feltételezve, hogy ez hasznosnak bizonyulhat a jövőben. Az adatkezelőknek biztosítaniuk kell, hogy betartják az adattakarékosság elvét, valamint a célhoz kötöttség követelményét és a tárolási időkorlátozás elveit.
Az adatkezelőknek képesnek kell lenniük arra, hogy világosan megmagyarázzák és indokolják, hogy miért van szükség a személyes adatokat gyűjtésére és tárolására, vagy pedig fontolóra kell venniük, hogy a profilalkotáshoz összesített, anonimizált vagy (ha ez elegendő védelmet biztosít) álnevesített adatokat használjanak.
4. Az 5. cikk (1) bekezdésének d) pontja: Pontosság
Az adatkezelőknek a pontosságot a profilalkotás folyamatának minden szakaszában figyelembe kell venniük, különösen, amikor:
• adatokat gyűjtenek;
• adatokat elemeznek;
• természetes személyről profilt alkotnak; vagy
• a profilt a természetes személyt érintő döntéshozatalhoz használják.
Ha az automatizált döntéshozatali vagy profilalkotási folyamatban felhasznált adatok pontatlanok, az azokon alapuló bármilyen döntés vagy profil helytelen lesz. Előfordulhat, hogy a döntéseket elavult adatok alapján vagy a külső adatok téves értelmezése alapján hozzák. A pontatlanságok azzal járhatnak, hogy nem megfelelő előrejelzéseket vagy megállapításokat tesznek az egészségi állapotra vagy a hitel- vagy biztosítási kockázatra vonatkozóan.
Még ha a nyers adatokat pontosan is rögzítik, lehet, hogy az adathalmaz nem teljesen reprezentatív vagy az analitika rejtett torzítást tartalmaz.
Az adatkezelők erőteljes intézkedéseket kötelesek bevezetni annak folyamatos ellenőrzésére és biztosítására, hogy az újra felhasznált vagy közvetve szerzett adatok pontosak és naprakészek legyenek. Ez megerősíti annak fontosságát, hogy egyértelmű tájékoztatást kell adni a kezelt személyes adatokról annak érdekében, hogy az érintett helyesbíthesse az esetleges hibákat és hogy javíthassa az adatok minőségét.
5. Az 5. cikk (1) bekezdésének e) pontja: Korlátozott tárolhatóság
A gépi tanulási algoritmusokat arra tervezik, hogy nagy mennyiségű információt dolgozzanak fel és olyan összefüggéseket állapítsanak meg, amelyek lehetővé teszik a szervezetek számára, hogy az egyénekről nagyon átfogó, intim profilokat alakítsanak ki. Jóllehet profilalkotás esetén lehetnek előnyei az adatok megőrzésének, hiszen így több adat áll rendelkezésre, amiből az algoritmus tanulhat, az adatkezelőknek meg kell felelniük az adattakarékosság elvének a személyes adatokat gyűjtése során, és biztosítaniuk kell, hogy az ilyen személyes adatokat nem őrzik hosszabb ideig, mint amennyi a személyes adatok kezelésének céljaihoz szükséges és azokkal arányos.
Az adatkezelő adattárolási szabályzatának figyelembe kell vennie az érintettek jogait és szabadságait, összhangban az 5. cikk (1) bekezdése e) pontjának követelményeivel.
Az adatkezelőnek meg kell győződnie arról is, hogy az adatokat a tárolási idő alatt folyamatosan
frissítik a pontatlanságok kockázatának csökkentése érdekében.
B. Az adatkezelés jogalapja
A 22. cikk (1) bekezdésében meghatározott automatizált döntéshozatal csak akkor megengedett, ha a IV. fejezetben (C. és D. szakaszok) ismertetett kivételek egyike fennáll. A következő jogszerű
adatkezelési alapok minden egyéb automatizált egyedi döntéshozatalra és profilalkotásra vonatkoznak.
1. A 6. cikk (1) bekezdésének a) pontja: hozzájárulás
A hozzájárulással mint az adatkezelés jogalapjával a WP29 hozzájárulással kapcsolatos iránymutatása foglalkozik. A kifejezett hozzájárulás az egyik kivétel a 22. cikk (1) bekezdésében az automatizált döntéshozatalra és profilalkotásra vonatkozóan meghatározott tilalom alól.
A profilalkotás lehet homályos. Gyakran olyan adatokra támaszkodik, amelyeket más adatokból származtattak vagy következtettek ki, nem pedig a közvetlenül az érintettek által megadott adatokra.
Azoknak az adatkezelőknek, akik a hozzájárulásra kívánnak támaszkodni a profilalkotás alapjaként, képesnek kell lenniük igazolni, hogy az érintettek pontosan értik, mihez járulnak hozzá, és emlékezniük kell arra, hogy a hozzájárulás nem mindig megfelelő alap az adatkezelésre. Az érintetteknek minden esetben elegendő releváns tájékoztatást kell kapniuk a tervezett felhasználásról és az adatkezelés következményeiről annak érdekében, hogy az általuk adott hozzájárulás tájékozott döntésen alapuljon.
2. A 6. cikk (1) bekezdésének b) pontja – szerződés teljesítéséhez szükséges
Az adatkezelők azért alkalmazzák a profilalkotási és automatizált döntéshozatali folyamatokat, mert azok:
• potenciálisan nagyobb következetességet vagy méltányosságot tesznek lehetővé a döntéshozatali folyamatban (pl. csökkentve az esetleges emberi hibát, a megkülönböztetést és a hatalommal való visszaélést);
• csökkentik annak kockázatát, hogy a vevők nem fizetnek az árukért vagy szolgáltatásokért (például hitelképességi referencia alkalmazása esetén); vagy
• lehetővé teszik számukra, hogy rövidebb idő alatt hozzanak döntéseket és növeljék a hatékonyságot.
A fentiektől függetlenül ezek a megfontolások önmagukban nem elegendőek annak bizonyítására, hogy az ilyen típusú adatkezelés szükséges a szerződés teljesítéséhez a 6. cikk (1) bekezdés b) pont alapján. Amint azt a WP29 jogos érdekről szóló véleménye leírja, a szükségességet megszorítóan kell értelmezni.
Az alábbi egy olyan példa az olyan profilalkotásra, amely nem felel meg a 6. cikk (1) bekezdésének b) pontja szerinti adatkezelési jogalapnak.
Példa
A felhasználó néhány tételt vásárol egy online kiskereskedőtől. A szerződés teljesítése érdekében a kiskereskedőnek kezelnie kell a felhasználó hitelkártya-adatait a fizetés céljából, valamint a felhasználó címét, hogy kiszállítsa az árut. A szerződés teljesítése nem függ attól, hogy felhasználóról a weboldalon tett látogatásai alapján az ízlésére és életmódjára vonatkozó profilt alkotnak. Még ha a profilalkotást a szerződés apró betűs része kifejezetten említi is, ez a tény önmagában nem teszi azt „szükségessé” a szerződés teljesítéséhez.
3. A 6. cikk (1) bekezdésének c) pontja – jogi kötelezettség teljesítéséhez szükséges
Előfordulhatnak olyan esetek, ahol jogi kötelezettség áll fenn a profilalkotásra, például csalások vagy pénzmosás megelőzésével kapcsolatban. A WP29 jogos érdekről szóló véleménye16 hasznos tudnivalókkal szolgál az adatkezelés ezen jogalapjáról, ideértve az alkalmazandó garanciákat.
4. A 6. cikk (1) bekezdésének d) pontja – létfontosságú érdekek védelméhez szükséges
Olyan helyzetek tartoznak ide, ahol az adatkezelés olyan érdek védelmében történik, amely létfontosságú az érintett vagy más természetes személy életéhez.
Bizonyos típusú adatkezelés fontos közérdeket szolgálhat, valamint az érintett létfontosságú érdekeit szolgálhatja. Ilyen példa lehet az olyan modellek létrehozását célzó profilalkotás, amelyek életveszélyes betegségek terjedését jelzik előre, illetve a humanitárius szükséghelyzetekben végzett profilalkotás. Az adatkezelő azonban ilyen esetekben és elvben csak akkor hivatkozhat létfontosságú érdekekre, ha az adatkezelésre nincs más jogalap. Ha az adatkezelés személyes adatok különleges kategóriájára vonatkozik, az adatkezelő köteles biztosítani, hogy eleget tesz a 9. cikk (2) bekezdése c) pontjának.
5. A 6. cikk (1) bekezdésének e) pontja – közérdekű feladat vagy közhatalmi jogosítvány gyakorlásához szükséges
A 6. cikk (1) bekezdésének e) pontja bizonyos körülmények között megfelelő alap lehet a közszférában történő profilalkotásra. A feladatnak vagy funkciónak egyértelmű jogi alappal kell rendelkeznie.
6. A 6. cikk (1) bekezdésének f) pontja – az adatkezelő vagy egy harmadik fél jogos érdekei miatt szükséges
A profilalkotás akkor megengedett, ha az adatkezelő vagy egy harmadik fél jogos érdekei miatt szükséges. Azonban a 6. cikk (1) bekezdésének f) pontja nem alkalmazható automatikusan pusztán az adatkezelő vagy a harmadik fél jogos érdeke miatt. Az adatkezelőnek el kell végeznie az érdekmérlegelést annak felmérésére, hogy a saját érdekei elsőbbséget élveznek-e az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben.
Különösen a következő feltételek relevánsak:
• a profil részletességi szintje (tágan leírt csoportban profilozott érintett, pl. „angol irodalom iránt érdeklődő emberek”, vagy szegmentált és szemcsés szinten célzott);
• a profil átfogó jellege (a profil az érintettnek csak egy kisebb jellemzőjét írja le vagy átfogóbb képet fest róla);
• a profilalkotás hatása (az érintettre gyakorolt hatás); valamint
• a profilalkotási eljárás tisztességességét, megkülönböztetésmentességét és pontosságát biztosító garanciák.
Bár a WP29 jogos érdekkel kapcsolatos véleménye a 95/46/EK adatvédelmi irányelv (a továbbiakban: az irányelv) 7. cikkén alapul, olyan példákat tartalmaz, amelyek ettől függetlenül hasznosak és relevánsak a profilalkotást végző adatkezelők számára. Azt is megemlíti, hogy nehéz lehet az adatkezelők számára a jogos érdek jogalapként való alkalmazásának igazolása a marketing vagy reklám céljából folytatott tolakodó profilalkotási és nyomonkövetési gyakorlatok esetében, például akkor, ha ezek magukban foglalják az egyének számos weboldalon, helyen, eszközön, szolgáltatáson vagy adatközvetítőn keresztül történő nyomon követését.
Az adatkezelőnek figyelembe kell vennie a profilok jövőbeli felhasználását vagy összekapcsolását, amikor a 6. cikk (1) bekezdésének f) pontja szerinti érvényességet értékeli.
C. 9. cikk: Különleges adatkategóriák
Az adatkezelők a személyes adatok különleges kategóriáit csak akkor kezelhetik, ha eleget tesznek a 9. cikk (2) bekezdésében meghatározott feltételek egyikének és a 6. cikk egyik feltételének. Ez magában foglalja a profilalkotásból származtatott vagy következtetett különleges kategóriájú adatokat is.
A profilalkotás különleges kategóriájú adatokat hozhat létre olyan adatokból, amik önmagukban nem minősülnek különleges kategóriájúnak, de azzá válnak, ha más adatokkal összekapcsolják őket. Például elképzelhető, hogy következtetni lehet valaki egészségi állapotára, ha az élelmiszer-vásárlási előzményeit összekapcsolják az élelmiszerek minőségére és energiatartalmára vonatkozó adatokkal.
Olyan összefüggések fedezhetők fel, amelyek jeleznek valamit a természetes személyek egészségi állapotáról, politikai vagy vallási meggyőződéséről vagy szexuális irányultságáról, amint azt az alábbi példa mutatja:
Példa
Egy tanulmány összekapcsolta a Facebook „lájkokat” egy korlátozott felmérés adataival, és megállapította, hogy a kutatók pontosan előrejelezték a férfi felhasználók szexuális orientációját az esetek 88%-ában, a felhasználók etnikai származását az esetek 95%-ában pontosan előrejelezték, azt pedig, hogy a felhasználó keresztény vagy muszlim, az esetek 82%-ában.
Ha a profilalkotásból érzékeny preferenciákra és jellemzőkre következtetnek, az adatkezelőnek meg kell győződnie arról, hogy:
• az adatkezelés nem összeegyeztethetetlen az eredeti céllal;
• törvényes alapot azonosítottak a különleges kategóriájú adatok kezelésére; és
• tájékoztatják az érintettet az adatkezelésről.
A különleges kategóriájú adatokon végzett, a 22. cikk (1) bekezdésének meghatározása alá eső automatizált döntéshozatalt a IV. fejezet (D. szakasz) tárgyalja.
D. Az érintett jogai
A GDPR erőteljesebb jogokkal ruházza fel az érintetteket, és új kötelezettségeket hoz létre az adatkezelőkre vonatkozóan. A profilalkotás kontextusában ezek a jogok perben érvényesíthetők a profilt létrehozó adatkezelővel, valamint – ha ezek a szervezetek nem azonosak – az érintettről (emberi beavatkozással vagy anélkül) automatizált döntéshozatalt végző adatkezelővel szemben.
Példa
Egy adatközvetítő személyes adatok profilozását vállalja. Összhangban a 13. és a 14. cikkben írt kötelezettségeivel, az adatközvetítőnek tájékoztatnia kell a természetes személyt az adatkezelésről, ideértve arról is, hogy a profilt meg kívánják-e osztani más szervezetekkel. Az adatközvetítő köteles külön is bemutatni a tiltakozáshoz való jog részleteit a 21. cikk (1) bekezdése alapján.
Az adatközvetítő megosztja a profilt egy másik céggel. Ez a cég a profilt arra használja, hogy közvetlen üzletszerzési célú anyagokat küldjön a természetes személynek.
A cégnek tájékoztatnia kell a természetes személyt (a 14. cikk (1) bekezdésének c) pontja) az ilyen profil felhasználásának céljáról és arról, hogy az információt milyen forrásból szerezte (a 14. cikk (2) bekezdésének f) pontja). A cégnek tájékoztatnia kell az érintettet a közvetlen üzletszerzési célú adatkezeléssel szembeni tiltakozásra való jogáról is, ideértve a profilalkotást is (a 21. cikk (2) bekezdése).
Az adatközvetítőnek és a cégnek biztosítania kell az érintett számára a felhasznált adatokhoz való hozzáférés jogát (15. cikk), hogy helyesbíthesse a hibás adatokat (16. cikk), és bizonyos körülmények között törölhess a profilt vagy az annak létrehozásához felhasznált személyes adatokat (17. cikk). Az érintettet tájékoztatni kell a profiljáról is, például arról, hogy milyen „szegmensekben” vagy „kategóriákba” helyezték el őt.
Ha a cég a profilt az érintettre joghatással járó vagy az érintettet hasonlóképpen jelentős mértékben érintő, kizárólag automatizált döntéshozatali folyamat részeként használja, a cég minősül adatkezelőnek a 22. cikk rendelkezéseire is figyelemmel. (Ez nem jelenti azt, hogy az adatközvetítőre ne lenne alkalmazandó a 22. cikk hatálya alól, ha az adatkezelés megfelel a vonatkozó küszöbértéknek.)
1. 13. és 14. cikk: A tájékoztatáshoz való jog
Tekintettel a GDPR alapjául szolgáló átláthatósági alapelvre, az adatkezelőknek biztosítania kell, hogy világosan és egyszerűen elmagyarázzák a természetes személyeknek a profilalkotási vagy az automatizált döntéshozatali folyamat működését.
Különösen ahol az adatkezelés profilalapú döntéshozatalt foglal magában (függetlenül attól, hogy arra kiterjednek-e a 22. cikk rendelkezései), az érintett számára egyértelművé kell tenni azt a tényt, hogy az adatkezelés célja mind a) a profilalkotás, mind b) a létrehozott profil alapján történő döntéshozatal.
A (60) preambulumbekezdés rögzíti, hogy a profilalkotásról való tájékoztatás részét képezi az adatkezelő 5. cikk (1) bekezdésének a) pontja szerinti kötelezettségeinek. Az érintettnek joga van arra, hogy tájékoztatást kapjon az adatkezelőtől a „profilalkotásról” és bizonyos körülmények között joga van tiltakozni a „profilalkotás” ellen, tekintet nélkül arra, hogy a profilalkotás alapján sor kerül-e kizárólag automatizált egyedi döntéshozatalra.
További általános iránymutatás az átláthatóságról elérhető a GDPR szerinti átláthatóságról szóló WP29-iránymutatásban.
2. 15. cikk: Hozzáférési jog
A 15. cikk feljogosítja az érintettet, hogy tájékoztatást kapjon a profilalkotáshoz felhasznált bármilyen személyes adat részleteiről, ideértve a profil kialakításához használt adatkategóriákat.
Az adatkezelésre vonatkozó, a 15. cikk (3) bekezdése szerinti általános tájékoztatáson felül az adatkezelő köteles rendelkezésre bocsátani a profil kialakításához bemenetként felhasznált adatokat, továbbá hozzáférést biztosítani a profilra vonatkozó információhoz és arra vonatkozó részleteket megadni, hogy az érintettet mely szegmensekbe sorolták.
Ez más, mint a 20. cikk szerinti adathordozhatósághoz való jog, ahol az adatkezelő csak az érintett által megadott vagy az adatkezelő által megfigyelt adatokat köteles átadni, nem pedig magát a profilt.
A (63) preambulumbekezdés bizonyos védelmet ad az adatkezelők számára az üzleti titkok vagy szellemi tulajdon feltárása tekintetében, ami különösen fontos lehet a profilalkotással kapcsolatban. Kimondja, hogy a hozzáférés joga nem érintheti hátrányosan mások jogait és szabadságait, beleértve az üzleti titkokat vagy a szellemi tulajdont, és különösen a szoftverek védelmét biztosító szerzői jogokat. Azonban az adatkezelők nem hivatkozhatnak az üzleti titkuk védelmére ürügyként arra, hogy megtagadják a hozzáférést vagy visszautasítsák az érintett tájékoztatását.
A (63) preambulumbekezdés azt is rögzíti, hogy „ha lehetséges, az adatkezelő távoli hozzáférést biztosíthat egy biztonságos rendszerhez, amelyen keresztül az érintett a saját személyes adataihoz közvetlenül hozzáférhet.”
3. 16. cikk: A helyesbítéshez való jog, 17. cikk: A törléshez való jog, 18. cikk: Az adatkezelés korlátozásához való jog
A profilalkotás magában foglalhat előrejelzést, ami növeli a pontatlanság kockázatát. A bemeneti adatok pontatlanok vagy lényegtelenek lehetnek, vagy lehet, hogy kiragadták azokat az összefüggésből. Lehet, hogy valami gond van az összefüggések azonosítására használt algoritmussal.
A 16. cikk szerinti helyesbítéshez való jogot lehet alkalmazni például ott, ahol a természetes személyt olyan kategóriába sorolták, amelyik elárul valamit egy feladat elvégzésére való képességéről, és az ilyen profil téves információn alapul. A természetes személyek vitathatják a felhasznált adatok pontosságát, és a velük kapcsolatban alkalmazott bármilyen csoportosítást vagy kategorizálást.
A helyesbítéshez és a törléshez való jog vonatkozik mind a „bemeneti személyes adatokra” (a profil létrehozásához használt személyes adatokra), mind a „kimeneti adatokra” (maga a profil vagy a személyhez rendelt „pontszám”).
A 16. cikk azt a jogot is biztosítja az érintett számára, hogy további információval egészítse ki a személyes adatokat.
Példa
A helyi rendelőintézet számítógépes rendszere az egyént egy olyan csoportba helyezi, amely esetében a legnagyobb a szívbetegség valószínűsége. Ez a „profil” nem feltétlenül pontatlan, még akkor sem, ha az egyén soha nem szenved szívbetegségben.
A profil csupán azt mondja ki, hogy nagyobb a valószínűsége annak, hogy ő is ilyen betegségben fog szenvedni. Statisztikai szempontból ez tényszerűen helytálló lehet.
Mindazonáltal az érintettnek joga van kiegészítő nyilatkozatot tenni, figyelembe véve az adatkezelés célját. A fenti forgatókönyvben ez alapulhat például egy fejlettebb számítógépes gyógyászati rendszeren (és statisztikai modellen), amely további adatokat faktorál és részletesebb vizsgálatokat végez, mint a helyi rendelőintézetben levő, korlátozottabb képességekkel rendelkező rendszer.
Az adatkezelés korlátozásához való jog (18. cikk) a profilalkotási folyamat minden szakaszára vonatkozik.
4. 21. cikk: A tiltakozáshoz való jog
Az adatkezelő köteles kifejezetten felhívni az érintettek figyelmét a tiltakozáshoz való jog részleteire, ahogyan ezeket a 21. cikk (1) és (2) bekezdése meghatározza, és ezt az egyéb tájékoztatástól egyértelműen és elkülönítve kell megjeleníteni (a 21. cikk (4) bekezdése).
A 21. cikk (1) bekezdése szerint az érintett a saját helyzetével kapcsolatos okokból tiltakozhat az adatkezelés ellen (ideértve a profilalkotást is). Az adatkezelők kifejezetten kötelesek biztosítani ezt a jogot minden olyan helyzetben, ahol az adatkezelés a 6. cikk (1) bekezdésének e) vagy f) pontján alapul.
Ha az érintett gyakorolja ezt a jogát, az adatkezelő köteles megszakítani (vagy nem kezdheti meg) a profilalkotási folyamatot, kivéve, ha olyan kényszerítő erejű jogos érdeket tud bizonyítani, amely felülírja az érintett érdekeit, jogait és szabadságait. Lehet, hogy az adatkezelőnek törölnie kell az érintett személyes adatot.
A GDPR nem ad semmilyen magyarázatot arra, hogy mi minősül kényszerítő erejű jogos érdeknek. Ez lehet a helyzet például akkor, ha a profilalkotás hasznos a társadalom (vagy a tágabb közösség) számára, és nem csak az adatkezelő üzleti érdekei szempontjából, mint például a fertőző betegségek terjedését előre jelző profilalkotás.
Az adatkezelőnek:
• meg kell vizsgálnia a profilalkotás jelentőségét a saját különös célkitűzései tekintetében;
• meg kell vizsgálnia a profilalkotás hatását az érintett érdekeire, jogaira és szabadságaira – ezt a cél eléréséhez szükséges legkisebb mértékre kell korlátozni; valamint
• el kell végezni az érdekmérlegelést.
Mindig kell mérlegelést végezni az adatkezelő érdekei és az érintett tiltakozásának (személyes, szociális vagy szakmai okkal kapcsolatos) alapja között. Ellentétben a 95/46/EK irányelvvel, a kényszerítő erejű jogos érdek fennállásának bizonyítása az adatkezelőt terheli, nem pedig az érintettet.
A 21. cikk szövegéből kitűnik, hogy az érdekmérlegelési teszt eltér a 6. cikk (1) bekezdésének f) pontjában meghatározottaktól. Más szóval, nem elegendő, ha az adatkezelő egyszerűen azt bizonyítja, hogy a jogos érdekre vonatkozó korábbi elemzése helyes volt. Ez a mérlegelési teszt megköveteli, hogy a jogos érdek kényszerítő legyen, ami azt jelenti, hogy magasabb küszöböt határoz meg a tiltakozással szembeni elsőbbségre vonatkozóan.
A 21. cikk (2) bekezdése feltétlen jogot ad az érintettnek, hogy tiltakozzon a személyes adatainak közvetlen üzletszerzési célú kezelése ellen, ideértve a profilalkotást is, olyan mértékben, amelyben az összefügg az ilyen közvetlen üzletszerzéssel. Ez azt jelenti, hogy nincs szükség semmilyen érdekmérlegelésre; az adatkezelő köteles tiszteletben tartani a természetes személy kívánságait a tiltakozás okának megkérdőjelezése nélkül. A (70) preambulumbekezdés tovább magyarázza ezt a jogot, és kimondja, hogy azt bármikor és díjmentesen lehet gyakorolni.
IV. A 22. cikkben meghatározott, kizárólag automatizált döntéshozatalra vonatkozó különös rendelkezések
A 22. cikk (1) bekezdése szerint:
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.
A rendelkezésben a „jogosult” kifejezés nem azt jelenti, hogy a 22. cikk (1) bekezdése csak akkor aktív, ha az érintett hivatkozik rá. A 22. cikk (1) bekezdése általános tilalmat állapít meg a kizárólag automatizált adatkezelésen alapuló döntéshozatal tekintetében. Ez a tilalom attól függetlenül fennáll, hogy az érintett tesz-e intézkedést a személyes adatai kezelésével kapcsolatban.
Összegezve, a 22. cikk értelmében:
(i) főszabályként általános tilalom vonatkozik a joghatással vagy hasonlóképpen jelentős hatással járó, kizárólag automatizált egyedi döntéshozatalra;
(ii) a szabály alól vannak kivételek;
(iii) ha valamelyik ilyen kivétel fennáll, akkor intézkedéseket kell tenni az érintettek jogainak és szabadságainak, továbbá jogos érdekeinek védelmére.
Ez az értelmezés megerősíti azt az elképzelést, hogy az érintett rendelkezzen a személyes adataival, ami összhangban van a GDPR alapelveivel. A 22. cikk tilalomként, és nem érvényesíthető jogként való értelmezése azt jelenti, hogy a természetes személyeket automatikusan védik azoktól a hatásokból, amelyekkel az ilyen adatkezelés esetleg járhat. A cikk szövegezése azt sugallja, hogy ez a szándék, amit alátámaszt a (71) preambulumbekezdés is, amely kimondja:
Megengedhető azonban az efféle adatkezelésen – ideértve profilalkotást is – alapuló döntéshozatal, ha azt (…) uniós vagy tagállami jog kifejezetten engedélyezi (…), vagy arra (…) szerződés megkötése vagy teljesítése érdekében van szükség, vagy ha az érintett ahhoz kifejezett hozzájárulását adta.
Ez azt mutatja, hogy a 22. cikk (1) bekezdésén alapuló adatkezelés általában nem megengedett.
Azonban a 22. cikk (1) bekezdésének tilalma csak olyan konkrét körülmények között áll fenn, amikor a döntést kizárólag automatizált adatkezelés (ideértve a profilalkotást is) alapján hozzák meg, és annak joghatása vagy egy hasonlóképpen jelentősen hatása van valakire, ahogy ezt az iránymutatás pontosabban elmagyarázza. Még ezekben az esetekben is vannak meghatározott kivételek, amelyek lehetővé teszik az ilyen adatkezelés végzését.
Az alább részletesebben tárgyalt ilyen megkövetelt garanciák közé tartozik a tájékoztatáshoz való jog (amint ezt a 13. és a 14. cikk tárgyalja – kifejezetten érdemi tájékoztatás az alkalmazott logikáról, továbbá jelentősége és várható következményei az érintettre nézve), valamint a garanciák, mint például az emberi beavatkozás kérésének joga és a döntéssel szembeni kifogás joga (ezzel a 22. cikk (3) bekezdése foglalkozik).
Bármilyen adatkezeléshez, amely az érintettekre valószínűleg magas kockázattal jár, az adatkezelő köteles adatvédelmi hatásvizsgálatot (a továbbiakban: DPIA) végezni. Amellett, hogy foglalkozik az adatkezeléshez kapcsolódó egyéb kockázatokkal, a DPIA különösen hasznos lehet azon adatkezelők számára, akik nem biztosak abban, hogy a tervezett tevékenység a 22. cikk (1) bekezdésének
meghatározása alá esik-e, és ha azt egyértelmű kivétel lehetővé teszi, akkor milyen garanciákat kell alkalmazni.
A. „Kizárólag automatizált adatkezelésen alapuló döntés”
A 22. cikk (1) bekezdése a „kizárólag” automatizált adatkezelésen „alapuló” döntésekre utal. Ez azt jelenti, hogy nincs emberi részvétel a döntési folyamatban.
Példa
Egy automatizált folyamat eredményeként olyasmi áll elő, ami lényegében az érintettre vonatkozó ajánlás. Ha egy ember a végleges döntés meghozatala során megvizsgál és figyelembe vesz más tényezőket, az ilyen döntés nem lesz „kizárólag” automatikus adatkezelésen „alapuló” döntés.
Az adatkezelő nem kerülheti meg a 22. cikk rendelkezéseit azáltal, hogy emberi közreműködést épít be. Például, ha valaki rendszeresen automatikusan generált profilokat alkalmaz természetes személyek tekintetében anélkül, hogy tényleges befolyást gyakorolna az eredményre, ez továbbra is kizárólag automatizált adatkezelésen alapuló döntésnek minősül.
Ahhoz, hogy emberi részvételnek minősüljön, az adatkezelőnek biztosítania kell, hogy a döntést érintő áttekintés érdemi, és nem csak jelképes gesztus. Olyan személynek kell végeznie, aki jogkörrel és kompetenciával rendelkezik a döntés megváltoztatására. Az elemzés részeként az összes releváns adatot figyelembe kell venni.
A DPIA részeként az adatkezelőnek azonosítania és rögzítenie kell az esetleges emberi részvétel
mértékét a döntéshozatali folyamatban és azt, hogy erre milyen fázisban kerül sor.
B. „Joghatás” vagy „hasonlóképpen jelentős” hatás
A GDPR az automatizált döntéshozatalt, ideértve a profilalkotást is, úgy ismeri el, mint ami súlyos következményekkel járhat a természetes személyekre nézve. A GDPR nem határozza meg a „joghatás” vagy a „hasonlóképpen jelentős” fogalmakat, azonban a megfogalmazás egyértelművé teszi, hogy a 22. cikk csak a súlyos következményt jelentő hatásokra terjed ki.
„Joghatással járó döntés”
A joghatás megköveteli, hogy a döntés, amely kizárólag automatizált adatkezelésen alapul, befolyásolja valaki törvényes jogait, például az egyesülés szabadsága, a választáson való szavazás joga vagy a jogi eljárás indításához való jog tekintetében. Joghatás lehet olyasmi is, ami befolyásolja a személy jogállását vagy szerződésen alapuló jogait. Az ilyen jellegű hatásra való példák közé tartoznak a természetes személyekre vonatkozó azon automatizált döntések, amik eredményeként:
• szerződést mondanak fel;
• a törvény által biztosított adott szociális ellátást – például gyermekkel kapcsolatos vagy lakhatási támogatást – ítélnek oda vagy tagadnak meg;
• megtagadják a belépést egy országba vagy megtagadják az állampolgárságot.
„Őt érintő hasonlóképpen jelentős mérték”
Még akkor is, ha a döntéshozatali folyamat nincs hatással az emberek törvényes jogaira, az mégis a 22. cikk hatálya alá tartozhat, ha olyan hatást eredményez, amely a befolyását tekintve ugyanolyan vagy hasonlóképpen jelentős.
Más szavakkal, még akkor is, ha nincs változás a törvényes jogaikban vagy kötelezettségeikben, az elegendő mértékben befolyásolja az érintetteket ahhoz, hogy megköveteljék az e rendelkezés szerinti védelmet. A GDPR hozzákapcsolja a „hasonlóképpen” kifejezést (ami nem szerepel a 95/46/EK irányelv 15. cikkében) a „jelentős mértékben befolyásolja” kifejezéshez. Ezért a jelentőség küszöbértékének hasonlónak kell lennie, mint egy joghatással járó döntés küszöbértékének.
A (71) preambulumbekezdés az alábbi jellemző példákat adja: „egy online hitelkérelem automatikus elutasítása” vagy „emberi beavatkozás nélkül folytatott online munkaerő-toborzás”.
Ahhoz, hogy az adatkezelés jelentős mértékben érintsen valakit, az adatkezelés hatásának kellően nagynak vagy fontosnak kell lennie ahhoz, hogy figyelmet érdemeljen. Más szóval, a döntésnek képesnek kell lennie arra, hogy:
• jelentősen befolyásolja az érintett természetes személyek körülményeit, viselkedését vagy választásait;
• hosszan tartó vagy tartós hatást gyakoroljon az érintettre; vagy
• a legszélsőségesebb esetben természetes személyek kirekesztéséhez vagy hátrányos megkülönböztetéséhez vezessen.
Nehéz pontosan meghatározni, hogy mit kell kellően jelentős mértékűnek tekinteni ahhoz, hogy elérje küszöböt, azonban a következő döntések ebbe a kategóriába tartozhatnak:
• az egyén anyagi körülményeit befolyásoló döntések, például a hitelre való jogosultságát illetően;
• olyan döntések, amelyek befolyásolják az egyén egészségügyi szolgáltatásokhoz való hozzáférését;
• olyan döntések, amelyek megtagadnak valakitől egy foglalkoztatási lehetőséget, vagy valakit súlyos hátránynak tesznek ki;
• döntések, amely befolyásolják valakinek az oktatáshoz való hozzáférését, például: egyetemi felvétel.
Ez elvezet minket az online reklám kérdéséhez, amely egyre inkább támaszkodik automatizált eszközökre, és kizárólag automatizált egyedi döntéshozatalt foglal magában. Amellett, hogy meg kell felelnie az GDPR általános rendelkezéseinek, amelyekkel a III. fejezet foglalkozik, az elektronikus hírközlési adatvédelmi rendelet rendelkezései szintén relevánsak lehetnek. Ezen túlmenően a gyermekek fokozott védelmet igényelnek, amint ezt az V. fejezet kifejti.
Sok tipikus esetben a profilalkotáson alapuló célzott reklám bemutatására vonatkozó döntésnek nem lesz hasonlóan jelentős mértékű hatása a természetes személyekre; ilyen lehet például egy vezető online divatüzlet reklámra, amely egyszerű demográfiai profilon alapul: „25 és 35 év közötti nők a brüsszeli régióban, akiket valószínűleg érdekel a divat és egyes ruházati cikkek”.
Azonban elképzelhető, hogy lehet ilyen hatása az eset sajátos jellemzőitől függően, ideértve:
• a profilalkotási folyamat tolakodó jellegét, beleértve a természetes személyek nyomon követését különböző weboldalakon, eszközökön és szolgáltatásokon keresztül;
• az érintett természetes személyek elvárásait és kívánságait;
• a hirdetés közlésének módját; vagy
• a célba vett érintettek sebezhetőségére vonatkozó ismeretek felhasználását.
Az olyan adatkezelés, amelynek általában kis hatása lehet a természetes személyekre, jelentős hatást gyakorolhat a társadalom bizonyos csoportjaira, például a kisebbségi csoportokra vagy a kiszolgáltatott helyzetű felnőttekre. Például ha valakit, akiről az információk szerint vagy valószínűsíthetően pénzügyi nehézségekkel küzd, rendszeresen magas kamatozású hitelekről szóló hirdetésekkel vesznek célba, és ő elfogadja az ilyen ajánlatokat, akkor potenciálisan további adósságot halmoz fel.
A személyes adatokon vagy személyes jellemzőkön alapuló megkülönböztető árazást eredményező automatizált döntéshozatalnak is jelentős hatása lehet akkor, ha például a büntető jellegű magas árak ténylegesen megakadályozzák, hogy valaki igénybe vegyen bizonyos árukat vagy szolgáltatásokat.
Hasonlóképpen jelentős hatást válthatnak ki az automatizált döntés érintettjétől eltérő természetes személyek intézkedései is. Ezt az alábbi példa mutatja be.
Példa
Elméletileg egy hitelkártya-társaság eljárhat úgy, hogy egy ügyfél kártyalimitjét nem az adott ügyfél saját visszafizetési előzményei alapján, hanem nem hagyományos hitelképességi kritériumok alapján csökkenti, például az ugyanazon a területen lakó és ugyanazokban az áruházakban vásároló más ügyfelek elemzése alapján.
Ez azt jelentheti, hogy valakit mások cselekedetei alapján fosztanak meg lehetőségektől.
Eltérő összefüggésben az ilyen típusú jellemzők felhasználása azzal az előnnyel járhatna, hogy hitelt nyújtanak olyanoknak, akiknek nincs hagyományos hitelezési előzménye, és akiket egyébként elutasítottak volna.
C. Kivételek a tilalom alól
A fent írtak szerint a 22. cikk (1) bekezdése általános tilalmat emel a joghatással vagy hasonlóképpen jelentős hatással járó kizárólag automatizált egyedi döntéshozatallal szemben.
Ez azt jelenti, hogy az adatkezelő csak akkor végezhet a 22. cikk (1) bekezdésében leírt adatkezelést, ha a 22. cikk (2) bekezdésében szereplő valamelyik kivétel fennáll – ha a döntés:
a) szerződés megkötése vagy teljesítése érdekében szükséges;
b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy
c) az érintett kifejezett hozzájárulásán alapul.
Ha a döntéshozatal a 9. cikk (1) bekezdésében meghatározott különleges adatkategóriákat érinti, az adatkezelőnek biztosítania kell a 22. cikk (4) bekezdése követelményeinek való megfelelést is.
1. Szerződés teljesítése
Az adatkezelők használhatnak kizárólag automatizált döntéshozatali folyamatokat szerződéses célokra, ha úgy vélik, hogy ez a legmegfelelőbb mód a cél eléréséhez. A rutinszerű emberi beavatkozás néha egyszerűen a kezelt adatok puszta mennyisége miatt célszerűtlen vagy lehetetlen lehet.
Az adatkezelőnek be kell tudnia mutatni, hogy az ilyen típusú adatkezelés szükséges, figyelembe véve azt, hogy alkalmazható-e a magánéletbe kevésbé beavatkozó módszer. 35 Ha más hatékony és kevésbé tolakodó eszközökkel el lehet érni ugyanazt a célt, akkor az nem minősül „szükségesnek”.
A 22. cikk (1) bekezdésében írt automatizált döntéshozatal szükséges lehet a szerződéskötést megelőző adatkezeléshez.
Példa
Egy vállalkozás egy betöltetlen munkakört hirdet. Mivel a kérdéses vállalkozás népszerű mint munkáltató, a vállalkozáshoz több ezer pályázat érkezik be. A pályázatok kivételesen magas száma miatt a vállalkozás úgy gondolhatja, hogy a megfelelő jelöltek kiválasztása gyakorlatilag lehetetlen, ha nem alkalmaznak először teljesen automatizált eszközöket a nem releváns pályázatok kiszűrésére. Ebben az esetben automatizált döntéshozatalra lehet szükség annak érdekében, hogy az előválogatott jelöltekről listát készítsenek azzal a szándékkal, hogy szerződést kössenek az érintettel.
A III. fejezet (B. szakasz) további információt tartalmaz a szerződésről mint az adatkezelés jogszerű alapjáról.
2. Uniós vagy tagállami jog által engedélyezett
Sor kerülhet automatizált döntéshozatal – ideértve a profilalkotást is – alkalmazására a 22. cikk (2) bekezdésének b) pontja alapján, amennyiben uniós vagy tagállami jogszabály engedélyezi az alkalmazását. A vonatkozó jogszabálynak az érintettek jogait és szabadságait, valamint jogos érdekeit védő megfelelő intézkedéseket is meg kell határoznia.
A (71) preambulumbekezdés szerint ez magában foglalhatja a 22. cikk (1) bekezdésében írt automatizált döntéshozatalt a csalás és az adókijátszás megelőzése, illetve az adatkezelő által nyújtott szolgáltatás biztonságának és megbízhatóságának biztosítása érdekében.
3. Kifejezett hozzájárulás
A 22. cikk kifejezett hozzájárulást követel meg. A 22. cikk (1) bekezdésének meghatározása szerinti adatkezelés jelentős adatvédelmi kockázatot jelent, és ezért helyénvalónak tekinthető a személyes adatokra vonatkozó magas szintű egyéni rendelkezés biztosítása.
A GDPR nem határozza meg a „kifejezett hozzájárulás” fogalmát. A WP29 hozzájárulással kapcsolatos iránymutatása36 útmutatást ad annak értelmezéséről.
A III. fejezet (B. szakasz) bővebb információt ad a hozzájárulásról általában.
D. A személyes adatok különleges kategóriái: a 22. cikk (4) bekezdése
A (22. cikk (1) bekezdésében leírt) automatizált döntéshozatal, amely a személyes adatok különleges kategóriáit érinti, csak a következő együttes feltételek megléte esetén megengedett (a 22. cikk (4) bekezdése):
• fennáll a 22. cikk (2) bekezdése szerinti egyik kivétel; és
• a 9. cikk (2) bekezdésének a) vagy g) pontja alkalmazandó.
a 9. cikk (2) bekezdésének a) pontja: az érintett kifejezett hozzájárulása; vagy
a 9. cikk (2) bekezdésének g) pontja: az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát, és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.
Mindkét fenti esetben az adatkezelőnek megfelelő intézkedéseket is meg kell határoznia az érintettek jogai és szabadságai, valamint jogos érdekei védelmére.
E. Az érintett jogai
1. A 13. cikk (2) bekezdésének f) pontja és a 14. cikk (2) bekezdésének g) pontja: Tájékoztatáshoz való jog
Figyelemmel a 22. cikk szerinti profilalkotás által az érintettek jogaira gyakorolt kockázatokra és beavatkozásra, az adatkezelőknek különösen gondosan kell eljárnia az átláthatósági kötelezettségek tekintetében.
A 13. cikk (2) bekezdésének f) pontja és a 14. cikk (2) bekezdésének g) pontja megköveteli az adatkezelőtől, hogy könnyen hozzáférhető tájékoztatást adjon a kizárólag automatizált adatkezelésen alapuló, joghatással vagy hasonlóan jelentős hatással járó automatizált döntéshozatalról, ideértve a profilalkotást is.
Ha az adatkezelő a 22. cikk (1) bekezdésében leírt automatizált döntéseket hoz, akkor köteles:
• közölni az érintettel, hogy ilyen típusú tevékenységet végez;
• érdemi tájékoztatást adni az alkalmazott logikáról; valamint
• bemutatni, hogy az ilyen adatkezelés milyen jelentőséggel és milyen várható következményekkel bír.
Ezen tájékoztatás megadása segíti az adatkezelőket biztosítani azt, hogy eleget tegyenek a 22. cikk (3) bekezdésében és a (71) preambulumbekezdésben írt egyes garanciáknak.
Ha az automatizált döntéshozatal és a profilalkotás nem felel meg a 22. cikk (1) bekezdésében szereplő meghatározásnak, akkor is helyes gyakorlat, ha megadják a fenti tájékoztatást. Az
adatkezelőnek mindenesetre elegendő információt kell adnia az érintettek számára ahhoz, hogy az adatkezelés tisztességes legyen, és eleget kell tennie a 13. és 14. cikkek minden egyéb tájékoztatási követelményének is.
Érdemi tájékoztatás az „alkalmazott logikáról”
A gépi tanulás elterjedése és összetettsége miatt kihívást jelenthet annak megértése, hogyan működik egy automatizált döntéshozatali folyamat vagy profilalkotás.
Az adatkezelőnek egyszerű módszereket kell találnia arra, hogy bemutassa az érintetteknek a háttérben levő logikai alapot vagy a döntés meghozatala során alkalmazott szempontokat. A GDPR azt írja elő, hogy az adatkezelőknek érdemi információt kel adniuk az alkalmazott logikáról, nem pedig azt, hogy feltétlenül bonyolult magyarázatot kell nyújtaniuk az alkalmazott algoritmusokról vagy az algoritmust teljes egészében fel kell tárniuk. A megadott információnak azonban kellően átfogónak kell lennie az érintettek számára, hogy megértsék a döntés indokait.
Példa
Egy adatkezelő hitelképességi pontozást alkalmaz egy természetes személy hitelkérelmének elbírálására és elutasítására. A pontszám származhat egy hitelinformácós intézettől, vagy az is lehet, hogy azt közvetlenül az adatkezelő birtokában levő információk alapján számolták ki.
Függetlenül az információ forrásától (amelyről tájékoztatni kell az érintettet a 14. cikk (2) bekezdésének f) pontja alapján, ha a személyes adatokat nem az érintettől szerezték be), amennyiben az adatkezelő az ilyen pontszámra támaszkodik, képesnek kell lennie arról és a logikai alapról az érintett számára magyarázatot nyújtani.
Az adatkezelő elmagyarázza, hogy ez a folyamat segít neki a tisztességes és felelős hitelezési döntések meghozatalában. Részletesen bemutatja a döntés meghozatala során figyelembe vett főbb jellemzőket, az ilyen információk forrását és relevanciáját. E körbe tartozhat például:
• az érintett által a kérelemben megadott információk;
• korábbi ügyfélmagatartásra vonatkozó információk, ideértve az esetleges fizetési hátralékokat; és
• hivatalos állami nyilvántartásokból származó információk, például csalási nyilvántartási és fizetésképtelenségi nyilvántartási adatok.
Az adatkezelő arról is tájékoztatja az érintettet, hogy az alkalmazott hitelképességi pontozási módszereket rendszeresen tesztelik annak biztosítása érdekében, hogy azok továbbra is tisztességesek, hatékonyak és pártatlanok legyenek. Az adatkezelő kapcsolattartási adatokat ad meg az érintettnek, ahol az kérheti az elutasító döntés felülvizsgálatát, összhangban a 22. cikk (3) bekezdésével.
Jelentőség” és „várható következmények”
Ez a kifejezés arra utal, hogy információt kell szolgáltatni a tervezett vagy jövőbeni adatkezelésről, és hogy az automatizált döntéshozatal hogyan érintheti az érintetteket. Ahhoz, hogy ez az információ érdemi és érthető legyen, a lehetséges hatásokra vonatkozó valós és kézzelfogható példákat kell megadni.
Digitális kontextusban az adatkezelők további eszközöket is használhatnak az ilyen hatások bemutatására.
Példa
Egy biztosító társaság az ügyfelek járművezetési magatartásának figyelemmel kísérésén alapuló automatizált döntéshozatali eljárást alkalmaz. Az adatkezelés jelentőségének és várható következményeinek bemutatására kifejti, hogy a veszélyes járművezetés magasabb biztosítási díjakat eredményezhet, és egy fiktív járművezetőket összehasonlító alkalmazást biztosít, akik között van olyan, akinek veszélyes vezetési szokásai vannak, mint például erőteljes gyorsítás és hirtelen fékezés.
Ábrákat használ, amely tippeket ad, hogyan lehet javítani ezeken a szokásokon és ennek következtében hogyan csökkenthetők a biztosítási díjak.
Az adatkezelők hasonló vizuális technikákat vehetnek igénybe egy korábbi döntésük meghozatalának magyarázatához is.
2. A 15. cikk (1) bekezdésének h) pontja: Hozzáférési jog
A 15. cikk (1) bekezdésének h) pontja feljogosítja az érintetteket, hogy a 13. cikk (2) bekezdésének f) pontjában és a 14. cikk (2) bekezdésének g) pontjában előírtakkal megegyező tájékoztatást kapjanak a kizárólag automatizált döntéshozatalról, ideértve a profilalkotást is, nevezetesen az alábbiakról:
• az automatizált döntéshozatal ténye, ideértve a profilalkotást;
• az alkalmazott logikára vonatkozó érthető információk; valamint
• az ilyen adatkezelés jelentősége és várható következményei az érintettre nézve.
Az adatkezelőnek ezeket az információkat a 13. cikkből eredő kötelezettségei szerint már ezt megelőzően biztosítania kellett az érintetteknek.
A 15. cikk (1) bekezdésének h) pontja szerint az adatkezelőnek az adatkezelés várható következményeiről kell tájékoztatnia az érintettet, nem pedig egy adott döntést kell megmagyaráznia. A (63) preambulumbekezdés tisztázza ezt, kimondva, hogy minden érintettnek hozzáférési joggal kell rendelkeznie, hogy „megismerje” az automatizált adatkezelést, beleértve az alkalmazott logikát, és legalább abban az esetben, amikor az profilalkotásra épül, az ilyen adatkezelés következményeit.
A 15. cikk szerinti jogainak gyakorlása révén az érintett megismerheti a vele kapcsolatban hozott döntést, ideértve az olyat is, amelyik profilalkotáson alapul.
Az adatkezelőnek általános információt kell adnia az érintett részére (különösen a döntéshozatali folyamatban figyelembe vett szempontokról, és azok összesített szintű „súlyozásáról”), amely szintén hasznos lehet az érintett számára a döntés megtámadásához.
F. Megfelelő garanciák alkalmazása
Ha az adatkezelés alapja a 22. cikk (2) bekezdésének a) pontja vagy a 22. cikk (2) bekezdésének c) pontja, a 22. cikk (3) bekezdése előírja, hogy az adatkezelők kötelesek megfelelő intézkedéseket tenni az érintettek jogainak, szabadságainak és jogos érdekeinek védelme érdekében. A 22. cikk (2) bekezdésének b) pontja értelmében az adatkezelést lehetővé tevő uniós vagy tagállami jognak garanciákat biztosító intézkedéseket is meg kell állapítania.
Az ilyen intézkedések közé kell tartoznia legalább annak, hogy lehetővé teszik az érintett számára, hogy emberi beavatkozást kérjen, az álláspontját kifejezze, és a döntéssel szemben kifogást nyújtson be.
Az emberi beavatkozás kulcsfontosságú elem. Bármilyen felülvizsgálatot olyan személynek kell végeznie, aki megfelelő jogkörrel és képességgel rendelkezik a döntés megváltoztatására. A felülvizsgálónak alaposan meg kell vizsgálnia az összes releváns adatot, ideértve az érintett által rendelkezésre bocsátott minden további információt.
A (71) preambulumbekezdés kiemeli, hogy a megfelelő biztosítékoknak minden esetben tartalmazniuk
kell a következőket:
(…) az érintett külön tájékoztatása és az ahhoz való joga, hogy (…) magyarázatot kapjon az ilyen értékelés alapján hozott döntésről és hogy megtámadja a döntést.
Az adatkezelőnek egyszerű módot kell biztosítania az érintett számára ezen jogok gyakorlására.
Ez hangsúlyozza, hogy az adatkezelésnek átláthatónak kell lennie. Az érintett csak akkor lesz képes megtámadni egy döntést vagy kifejezni a véleményét, ha teljes mértékben megérti, hogyan és milyen alapon hozták meg a döntést. Az átláthatósági követelményeket a IV. fejezet (E. szakasz) tárgyalja.
A gyűjtött vagy megosztott adatokban levő hibák, illetve torzulások vagy az automatizált döntéshozatali folyamatban levő hibák, illetve torzulások a következőket eredményezhetik:
• helytelen besorolások; és
• pontatlan előrejelzéseken alapuló értékelések; amelyek
• hátrányos hatással vannak a természetes személyekre.
Az adatkezelőknek rendszeresen értékelniük kell az általuk kezelt adatállományokat, hogy ellenőrizzék az esetleges torzulásokat, és hogy módszereket dolgozzanak ki bármilyen esetleges káros elem kezelésére, ideértve az összefüggésekre való esetleges túlzott támaszkodást. További hasznos intézkedés az algoritmusokat ellenőrző rendszerek alkalmazása és az automatizált
döntéshozatal (ideértve a profilalkotást is) pontosságának és helytállóságának rendszeres ellenőrzése.
Az adatkezelőknek megfelelő eljárásokat és intézkedéseket kell bevezetnie a hibák, pontatlanságok43 vagy az adatok különleges kategóriái alapján történő megkülönböztetés megakadályozására. Ezeket az intézkedéseket ciklikusan kell alkalmazni; nemcsak a tervezési szakaszban, hanem folyamatosan, ahogy a profilalkotást a természetes személyekre alkalmazzák. Az ilyen tesztek eredményét fel kell használni a rendszer kialakításának fejlesztéséhez.
A megfelelő garanciákra vonatkozó további példák az Ajánlások szakaszban találhatók.
V. A gyermekek és a profilalkotás
A GDPR az adatkezelőket terhelő további kötelezettségeket vezet be, ha gyermekek személyes adatait kezelik.
Maga a 22. cikk nem tesz különbséget abban, hogy az adatkezelés felnőttekre vagy gyermekekre vonatkozik-e. Azonban a (71) preambulumbekezdés kimondja, hogy joghatással vagy hasonlóképpen jelentős hatással járó automatizált döntéshozatal, ideértve a profilalkotást is, nem alkalmazható gyermekekkel kapcsolatban. Tekintettel arra, hogy ez a megfogalmazás nem tükröződik magában a cikkben, a WP29 nem tekinti úgy, hogy ez a gyermekekkel kapcsolatos ilyen jellegű adatkezelés abszolút tilalmát jelentené. Azonban, figyelembe véve ezt a preambulumbekezdést, a WP29 azt javasolja, hogy az adatkezelőknek általános szabályként nem szabad a 22. cikk (2) bekezdésében meghatározott kivételekre támaszkodniuk az ilyen adatkezelés indoklása érdekében.
Előállhatnak azonban bizonyos körülmények, amelyek között szükség van arra, hogy az adatkezelők gyermekekre joghatással vagy hasonlóképpen jelentős hatással járó, kizárólag automatizált döntéshozatal végezzenek, ideértve a profilalkotást is, például a jólétük megvédése érdekében. Ha így van, akkor az adatkezelés adott esetben a 22. cikk (2) bekezdésének a), b) vagy c) pontja alapján végezhető.
Az ilyen esetekben megfelelő garanciákat kell biztosítani, ahogy azt a 22. cikk (2) bekezdésének b) pontja és a 22. cikk (3) bekezdése előírja, és ezért azoknak megfelelőeknek kell lennie a gyermekek számára. Az adatkezelőnek biztosítania kell, hogy az ilyen garanciák hatékonyan védik azon gyermekek jogait, szabadságait és jogos érdekeit, akiknek az adatait kezeli.
A gyermekek különleges védelmének szükségessége tükröződik a (38) preambulumbekezdésben, amely szerint:
A gyermekek személyes adatai különös védelmet érdemelnek, mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal. Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére.
A 22. cikk nem zárja ki, hogy az adatkezelők kizárólag automatizált döntéseket hozzanak gyermekekkel kapcsolatban, ha a döntésnek nem lesz a joghatása vagy hasonlóképpen jelentős hatása a gyermekre. Azonban a gyermek választásait és viselkedését befolyásoló kizárólag automatizált döntéshozatalnak – a szóban forgó választások és viselkedések jellegétől függően – potenciálisan joghatása vagy hasonló jelentős hatása lehet a gyermekre.
Mivel a gyermekek kiszolgáltatottabb társadalmi csoportot képeznek, a szervezeteknek általában tartózkodniuk kell a gyermekek marketing céljából történő profilozásától. A gyermekek különösen fogékonyak lehetnek az online környezetben, és könnyebben befolyásolhatók viselkedésalapú reklámokkal. Például az online játékoknál a profilalkotás arra használható, hogy olyan játékosokat vegyenek célba, akik az algoritmus szerint nagyobb valószínűséggel költenek pénzt a játékra; emellett használható személyre szabott reklámok küldésére is. A gyermek életkora és érettsége befolyásolhatja azt, hogy mennyibe képes megérteni az ilyen jellegű marketing mögötti motivációt vagy a következményeket.
A 40. cikk (2) bekezdésének g) pontja kifejezetten utal a gyermekeket érintő garanciákat tartalmazó magatartási kódexek készítésére; lehetőség van a meglevő kódexek fejlesztésére is.
VI. Adatvédelmi hatásvizsgálatok (DPIA) és adatvédelmi tisztviselő (DPO)
Az elszámoltathatóság fontos terület és kifejezett előírás a GDPR alapján.
Az egyik legfontosabb elszámoltathatósági eszközként az adatvédelmi hatásvizsgálat lehetővé teszi az adatkezelő számára, hogy felmérje, milyen kockázatokkal jár az automatizált döntéshozatal, ideértve a profilalkotást is. Ez egy módszer annak bemutatására, hogy megfelelő intézkedéseket alkalmaztak az ilyen kockázatok kezelésére és a GDPR-nek való megfelelés igazolására.
A 35. cikk (3) bekezdésének a) pontja kiemeli annak szükségességét, hogy az adatkezelő DPIA-t végezzen a következő esetekben:
a természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
A 35. cikk (3) bekezdésének a) pontja profilalkotást magában foglaló értékelésekre és automatizált adatkezelésre „épülő” döntésekre hivatkozik, nem pedig „kizárólag” automatizált adatkezelésre. Szerintünk ez azt jelenti, hogy a 35. cikk (3) bekezdésének a) pontja alkalmazandó a joghatással vagy hasonlóképpen jelentős hatással járó olyan döntéshozatalra –, ideértve a profilalkotást is –, amely nem teljesen automatizált, továbbá a 22. cikk (1) bekezdésében meghatározott kizárólag automatizált döntéshozatalra.
Ha az adatkezelő olyan „modellt” irányoz elő, amelyben kizárólag automatizált döntéseket hoz, amelyek a róluk készült profilok alapján nagy hatást gyakorolnak a természetes személyekre, és az adatkezelő nem támaszkodhat a természetes személyek hozzájárulására, velük kötött szerződésre vagy ezt engedélyező törvényre, akkor az adatkezelő nem folytathatja ezt.
Az adatkezelő továbbra is tervezhet profilalkotáson alapuló döntéshozatali „modellt”, amennyiben jelentősen növeli az emberi beavatkozás mértékét annak érdekében, hogy a modell ne legyen teljesen automatizált döntéshozatali folyamat, bár az adatkezelés még így is jelenthet kockázatot a természetes személyek alapvető jogaira és szabadságaira. Ebben a helyzetben az adatkezelőnek biztosítania kell, hogy képes kezelni ezeket a kockázatokat, és megfelel a jelen iránymutatás III. fejezetében leírt követelményeknek.
A DPIA hasznos módszer lehet az adatkezelő számára ahhoz is, hogy azonosítsa, milyen intézkedéseket fog bevezetni az adatkezeléssel járó adatvédelmi kockázatok kezelésére. Az ilyen intézkedések közé tartozhatnak a következők:
• az érintettek tájékoztatása az automatizált döntéshozatali folyamat tényéről és logikájáról;
• annak elmagyarázása, hogy az adatkezelésnek milyen jelentősége van és milyen várható következményekkel jár az érintettre nézve;
• eszközök biztosítása az érintettek számára a döntés elleni tiltakozásra; valamint
• annak lehetővé tétele az érintettek számára, hogy kifejezzék az álláspontjukat.
Az eset sajátosságaitól függően egyéb profilalkotási tevékenységek is indokolttá tehetik a DPIA-t. Az adatkezelők további információkat találnak a WP29 DPIA-val kapcsolatos iránymutatásában, amely segítséget nyújt annak megállapításához is, hogy szükség van-e DPIA elvégzésére.
További elszámoltathatósági követelmény a DPO kijelölésének követelménye, amennyiben a profilalkotás és/vagy az automatizált döntéshozatal az adatkezelő fő tevékenysége, és az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszi szükségessé (a 37. cikk (1) bekezdésének b) pontja).