GDPR: Λήψη αυτοματοποιημένων αποφάσεων και κατάρτιση προφίλ

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΣ) θα ισχύσει από τις 25 Μαΐου 2018 αντικαθιστώντας την οδηγία 95/46/ΕΚ για την Προστασία Προσωπικών Δεδομένων. Ο κανονισμός στοχεύει τόσο στην θέσπιση ενός ενιαίου πλαισίου προστασίας των προσωπικών δεδομένων σε όλη την Ένωση όσο και στην διασφάλιση της ελεύθερης διασυνοριακής διακίνησης δεδομένων.

Στα πλαίσια των αρχών του κανονισμού, τα υποκείμενα των δεδομένων αποκτούν νέα δικαιώματα, μεταξύ άλλων αυτών της ενημέρωσης, της πρόσβασης και της λήθης. Απαγορεύεται η χρήση προσωπικών δεδομένων χωρίς την ελεύθερη συγκατάθεση, ειδικά όταν πρόκειται για ευαίσθητη κατηγορία δεδομένων, και η συγκατάθεση μπορεί να ανακληθεί ελεύθερα οποιαδήποτε στιγμή. Επιπλέον, εισάγεται ρύθμιση για την κατάρτιση προφίλ και τα δικαιώματα των υποκειμένων έναντι της απολύτως αυτοματοποιημένης λήψης αποφάσεων και τις συνέπειες της. Τέλος, δίνεται ιδιαίτερη βαρύτητα στην ασφάλεια των προσωπικών δεδομένων ώστε να προστατεύονται στο μέγιστο τα ατομικά δικαιώματα.

Κατάρτιση προφίλ

Η κατάρτιση προφίλ είναι μια έννοια που προήλθε από τον χώρο της εγκληματολογίας, ωστόσο, η δυνατότητα συλλογής και επεξεργασίας μεγάλου όγκου δεδομένων, την καθιστά συνήθη πρακτική για κάθε είδους οργανισμό. Ο ΓΚΠΔ, στην προσπάθεια του να ενισχύσει την δυνατότητα των υποκειμένων να προστατεύσουν τα προσωπικά τους δεδομένα, θέτει ορισμένους περιορισμούς στην αυτοματοποιημένη επεξεργασία δεδομένων και την λήψη αποφάσεων χωρίς την εμπλοκή ανθρώπινου παράγοντα.

Σύμφωνα με το Άρθρο 4 του ΓΚΠΔ, η «κατάρτιση προφίλ» ορίζεται ως,

οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας δεδομένων προσωπικού χαρακτήρα που συνίσταται στη χρήση δεδομένων προσωπικού χαρακτήρα για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου.

Σε άλλο σημείου του κανονισμού υπαγορεύεται πως για να οριστεί μια επεξεργασία δεδομένων ως κατάρτιση προφίλ θα πρέπει να υπάρχει η πρόθεση της λήψης αποφάσεων ή η πρόβλεψη των προτιμήσεων, στάσεων ή συμπεριφοράς των φυσικών προσώπων βάσει των αποτελεσμάτων της επεξεργασίας. Παραδείγματα τέτοιων πρακτικών είναι ο σχεδιασμός στοχευμένων εκστρατειών εμπορικής προώθησης ή τιμολόγησης προϊόντων.

Ο ΓΚΠΔ προβλέπει μια σειρά από δικαιώματα για τα υποκείμενα των δεδομένων ειδικά ως προς την χρήση προσωπικών δεδομένων με σκοπό την αυτόματη λήψη αποφάσεων όπως η κατάρτιση προφίλ. Έτσι στα δικαιώματα ενημέρωσης, της πρόσβασης και της πλήρης συγκατάθεσης πριν την χρήση των προσωπικών δεδομένων (ειδικά αν πρόκειται για ειδική κατηγορία δεδομένων), προστίθεται το δικαίωμα να μην υπόκειται σε απόφαση με την οποία αξιολογούνται προσωπικές πτυχές που το αφορούν, λαμβανόμενη αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας και η οποία παράγει έννομα αποτελέσματα έναντι του προσώπου αυτού ή το επηρεάζει σημαντικά κατά ανάλογο τρόπο (αιτιολογική σκέψη 71 του ΓΚΠΔ).

Όσον αφορά την ενημέρωση, το υποκείμενο θα πρέπει να γνωρίζει τον χρόνο συλλογής δεδομένων με σκοπό την κατάρτιση προφίλ και λεπτομέρειες για την διαδικασία που ακολουθεί ο υπεύθυνος της επεξεργασίας. Ο τελευταίος οφείλει, επιπλέον, να ελέγχει την αξιοπιστία των μέσων που χρησιμοποιεί (τεχνολογία, στατιστικές και μαθηματικές μέθοδοι και οργανωτική δομή), ώστε να αποφεύγονται τα σφάλματα και οι διακρίσεις βάσει των ιδιαίτερων χαρακτηριστικών των υποκειμένων όπως η φυλή, ο σεξουαλικός προσανατολισμός ή η πολιτική πεποίθηση.

Αν για κάποιον λόγο η κατάρτιση προφίλ επιβάλλεται από τον νόμο (π.χ. πάταξη της φοροδιαφυγής ή πρόληψη της απάτης), κρίνεται απαραίτητη ή πραγματοποιηθεί μετά την ελεύθερη συγκατάθεση του υποκειμένου,

η επεξεργασία αυτή θα πρέπει να υπόκειται σε κατάλληλες εγγυήσεις, οι οποίες θα πρέπει να περιλαμβάνουν ειδική ενημέρωση του υποκειμένου των δεδομένων και το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης, το δικαίωμα διατύπωσης της άποψης του, το δικαίωμα να λάβει αιτιολόγηση της απόφασης που ελήφθη στο πλαίσιο της εν λόγω εκτίμησης και το δικαίωμα αμφισβήτησης της απόφασης (αιτιολογική σκέψη 71 του ΓΚΠΔ).

Να σημειωθεί πως ο κανονισμός υπογραμμίζει ότι οι παραπάνω περιορισμοί αφορούν μόνο σε αποφάσεις λαμβανόμενες αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας. Ως παραδείγματα παραθέτει τις περιπτώσεις άρνησης αιτήματος επιγραμμικής πίστωσης ή τις ηλεκτρονικές προσλήψεις χωρίς ανθρώπινη παρέμβαση.

Ακόμα και αν η κατάρτιση προφίλ είναι καθ’ όλα νόμιμη, το υποκείμενο έχει δικαίωμα να αντιταχθεί οποιαδήποτε στιγμή στην επεξεργασία και ο υπεύθυνος υποχρεούνται να παύσει την επεξεργασία δεδομένων εκτός αν καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου των δεδομένων ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων (Άρθ. 21 του ΓΚΠΔ). Από την άλλη, αν τα δεδομένα υπόκεινται σε επεξεργασία για σκοπούς εμπορικής προώθησης και το υποκείμενο αντιταχθεί, ο υπεύθυνος δεν μπορεί να επικαλεστεί κάποιον λόγο για την συνέχισή της.

Περισσότερα για την αυτοματοποιημένη λήψη αποφάσεων εδώ. 

 

Διαβάστε επίσης για τον GDPR:

Πεδίο εφαρμογής αρχές και ασφάλεια

Τα δικαιώματά μου ως χρήστης

 

Leave a Comment

Your email address will not be published. Required fields are marked *

Subscribe To Our Newsletter

Subscribe To Our Newsletter

Join our mailing list to receive the latest news and updates from our team.

You have Successfully Subscribed!

Scroll to Top