GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

Profilalkotás és automatizált döntéshozatal

2018. május 13. - Kovacs Zoltan Balazs

Profilalkotás és automatizált döntéshozatal

A GDPR bevezeti a profilalkotás és az automatizált döntéshozatal fogalmát és speciális szabályokat tartalmaz azokra vonatkozóan.

A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. október 3-án iránymutatást adott ki az automatizált döntéshozatalról és a profilalkotásról (WP251), amelyet 2018. február 6-án felülvizsgált („Iránymutatás”), és amely a GDPR vonatkozó rendelkezéseinek (4. cikk 4. pontja és a 22. cikk) értelmezéséről szól.

1. Mi a profilalkotás?

A GDPR értelmében a profilalkotás „személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.

Fontos megjegyezni azt, hogy ahhoz, hogy egy adatkezelési tevékenység profilalkotásnak minősüljön, nem kell szükségképpen kizárólag automatizált adatkezelésen alapulnia. A profilalkotás mindig magában foglal bizonyos formájú automatizált adatkezelést. Egyidejűleg, az emberi beavatkozás nem szükségképpen jelenti azt, hogy ne lehetne szó profilalkotásról, azaz az emberi beavatkozás nem szükségképpen veszi ki az adatkezelést a profilalkotás fogalmi meghatározása alól.

Az Iránymutatás szerint

a profilalkotás az egyénre (vagy egyének csoportjára) vonatkozó információ gyűjtését és a személyek jellemzőinek vagy viselkedésének abból a célból történő értékelését jelenti, hogy őket bizonyos kategóriába vagy csoportba sorolják, különösen, hogy például

- egy feladat teljesítésére vonatkozó képességüket,

- érdeklődésüket vagy

- valószínűsíthető viselkedésüket

elemezzék és/vagy azokból előrejelzéseket készítsenek.

2. A profilalkotás mindig magában foglal automatizált döntéshozatalt?

Nem. A profilalkotás magában foglalhat automatizált döntéshozatalt, azonban ez nem szükségképpen van így. Például, ha egy biztosítási ügynök személyes adatokat gyűjt, profilokat alkot és az egyéneket bizonyos kategóriákba sorolja és értékesíti ezen információkat biztosítóknak, akkor az ügynök profilalkotást végez, de nincs szó automatizált döntéshozatalról.

A profilalkotásnak három formája van:

(i) általános profilalkotás;

(ii) profilalkotás, amelyre döntést alapítanak és

(iii) profilalkotás, amely egy kizárólag automatizált adatkezelésen alapuló döntéshozatal része, azaz egy olyan döntéshozatal része, amely valódi emberi beavatkozás nélküli (mivel egy algoritmus hozza meg a döntést).

3. Mi az automatizált döntéshozatal?

A kizárólag automatizált döntéshozatal az arra való képességet jelenti, hogy a döntéshozatalra technológiai eszközökkel, emberi beavatkozás nélkül kerül sor.

Vannak olyan döntések is, amelyeket nem teljesen automatizált módon hoznak meg. Ez abban az esetben van így, ha van valódi emberi beavatkozás a döntéshozatal során.

4. Az automatizált döntéshozatal mindig magában foglal profilalkotást?

Nem. Automatizált döntéshozatalra sor kerülhet profilalkotással vagy anélkül. Az Iránymutatásban szereplő példa alapján „gyorshajtási bírság kizárólag kamerafelvételek alapján történő kiszabása olyan automatizált döntéshozatalt jelent, amely nem feltétlen foglal magában profilalkotást.

Természetesen, a nem kizárólag automatizált adatkezelésen alapuló döntéshozatal is magában foglalhat profilalkotást. Az Iránymutatás azt a példát hozza, amikor a bank hitelképesség bírálatot végez valódi emberi beavatkozással annak megítéléséhez, hogy a hitelt felvenni szándékozó megkaphatja-e a kölcsönt.

5. Van különbség a “kizárólag automatizált adatkezelésen” és az “automatizált adatkezelésen” között?

Igen. Ld. fenti 3. kérdést.

6. Mire kell figyelni, ha profilalkotásról és/vagy automatizált döntéshozatalról van szó?

(i) A GDPR 5. cikke szerinti alapelvek valamennyi profilalkotásra és automatizált döntéshozatalra vonatkoznak (abban az esetben is, ha a GDPR 22. cikke nem alkalmazandó, mert a döntés nem kizárólag automatizált adatkezelésen alapul). Így, a profilalkotást és/vagy automatizált döntéshozatalt végző jogalanyok kötelesek meggyőződni arról, hogy az adatkezelési tevékenységeik jogszerűek, tisztességesek és átláthatóak és tiszteletben tartják a célhoz kötöttség, az adattakarékosság, a pontosság és a korlátozott tárolhatóság elvét.

(ii) Úgyszintén, a profilalkotást és/vagy automatizált döntéshozatalt végző jogalanyok kötelesek megfelelő jogalappal rendelkezni az adatkezelések tekintetében a GDPR 6. cikkében foglaltak szerint (az érintett hozzájárulása, az érintettel kötött szerződés teljesítése, az adatkezelő jogi kötelezettségének teljesítése, az érintett létfontosságú érdeke, közérdek, az adatkezelő vagy harmadik fél jogos érdeke).

Nagyon lényeges, hogy a fenti jogalapok közül azonosítsuk azt, amelyik alkalmazandó lehet. Vizsgálat esetében az adatkezelő köteles igazolni azt, hogy a megfelelő jogalapot használta.

(iii) Fontos továbbá, hogy az érintettek gyakorolhatják a jogaikat a profilalkotással és/vagy automatizált döntéshozatallal kapcsolatban a GDPR 15-21. cikkeiben foglaltak alapján. Ez jelenti a tájékoztatáshoz való jogot, a hozzáférési jogot, a helyesbítés és törlés jogát, az adatkezelés korlátozásához való jogot és a tiltakozás jogát. Ha a döntéshozatal nem kizárólag automatizált adatkezelésen alapul, a GDPR 22. cikke nem alkalmazandó.

7. Mire kell figyelni, ha kizárólag automatizált adatkezelésen alapuló döntéshozatalról van szó (profilozással vagy anélkül)?

A GDPR 22. cikk (1) bekezdése szerint “az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

A GDPR alapján az adatkezelők kötelesek tájékoztatást adni a kizárólag automatizált adatkezelésen alapuló döntéshozatalról, nevezetesen az alkalmazott logikáról és arra vonatkozóan, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel jár.

A GDPR szerint az érintettnek joga van ahhoz, hogy tájékoztatást kapjon az automatizált döntéshozatal tényéről, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikáról és arra vonatkozóan, hogy az ilyen adatkezelés milyen jelentőséggel bír, és az érintettre nézve milyen várható következményekkel jár.

8. A GDPR 22. cikk (1) bekezdésében szereplő tilalom abszolút tilalom?

Nem. A tilalom (ami egyben az érintett joga) nem alkalmazandó, ha a döntés:

a) az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges;

b) meghozatalát az adatkezelőre alkalmazandó olyan uniós vagy tagállami jog teszi lehetővé, amely az érintett jogainak és szabadságainak, valamint jogos érdekeinek védelmét szolgáló megfelelő intézkedéseket is megállapít; vagy

c) az érintett kifejezett hozzájárulásán alapul.

A fenti a) és c) pontban említett esetekben az adatkezelő köteles megfelelő intézkedéseket tenni az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében, ideértve az érintettnek legalább azt a jogát, hogy (i) az adatkezelő részéről emberi beavatkozást kérjen, (ii) álláspontját kifejezze, és (iii) a döntéssel szemben kifogást nyújtson be.

9. Gyermekek esetében alkalmazható a kizárólag automatizált döntéshozatal?

A GDPR 22. cikke alapján úgy tűnik, hogy az mind felnőttekre, mind gyermekekre alkalmazandó (mivel nem tesz különbséget közöttük). Azonban a (71) preambulumbekezdés szerint a kizárólag automatizált adatkezelésen alapuló döntéshozatal gyermekekre nem vonatkozhat. Mindezt figyelembe véve, a WP29 azt javasolja az adatkezelőknek, hogy ne alkalmazzanak ilyen (a gyermekekre joghatással járó vagy őket hasonlóképpen jelentős mértékben érintő) döntéshozatalt / profilalkotást, kivéve, ha az ilyen döntéshozatal a gyermekek jogainak (épségének) megóvása érdekében szükséges. Ilyen esetben az adatkezelés a fenti 8. kérdésben megnevezett megfelelő kivétel alapján végezhető.

10. Hogyan viszonyul az adatvédelmi hatásvizsgálat a profilalkotáshoz és az automatizált döntéshozatalhoz?

Az Iránymutatás alapján adatvédelmi hatásvizsgálatot nem csak abban az esetben lehet szükséges készíteni, ha kizárólag automatizált adatkezelésen alapuló döntéshozatalról van szó (profilozással vagy anélkül), hanem abban az esetben is, ha a döntés automatizált adatkezelésen alapul ugyan, de nem „kizárólag automatizált adatkezelésen alapul.” Ez azt jelenti, hogy szükséges lehet adatvédelmi hatásvizsgálatot készíteni akkor is, ha a döntéshozatal nem teljesen automatizált.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

A bejegyzés trackback címe:

https://eugdpr.blog.hu/api/trackback/id/tr8113916214

Trackbackek, pingbackek:

Trackback: Munkahelyi adatkezelés a GDPR alapján 2018.07.13. 12:01:16

A munkahelyi adatkezelés során figyelemmel kell lenni a 2018. május 25-én hatályba lépett általános adatvédelmi rendeletre (GDPR), az adatkezelést a rendelet szabályaihoz kell alakítani. Munkahelyi adatkezelés legelső mozzanata, hogy fel kell mérni a v…

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.