Kilka słów na temat: RODO. Część 2

Zaczniemy jak zawsze od podstawy prawnej, czyli art.22 rozporządzenia.
Link do rozporządzenia :
https://giodo.gov.pl/pl/file/10574
https://giodo.gov.pl/234/id_art/9276/j/pl

Art.22

Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie

1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja:

a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a Administratorem ;

b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub

c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

3. W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

4. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

Profilowanie to szczególny sposób profilowania danych osobowych, który:
- odbywa się automatycznie,
-ma na celu ocenę osoby fizycznej lub przewidywanie jej zachowaniu.
Przykładami profilowania może być dobór reklam wyświetlanych podczas przeglądania stron internetowych na podstawie naszej aktywności na stronach (np. reklamy na Facebook), bądź automatyczne obliczanie składek ubezpieczeniowych na różnych strona porównawczych w oparciu o podane przez nas wcześniej dane.

Jeżeli zautomatyzowaliśmy cały proces decyzyjny, a decyzje te wywołują skutki prawne to musimy poinformować tę osobę, którą te skutki prawne dotyczą i proces będzie mógł przebiegać dalej dopiero gdy :
- osoba, którą dotyczy profilowanie wyrazi wyraźną zgodę,
- profilowanie jest obligatoryjne do zawarcia lub wykonywania umowy z tą osobą,
- profilowanie jest dopuszczalne przez szczególne przepisy prawa

RODO wprowadza na nas obowiązek informacyjny, który ma bardzo szeroki zakres, ale nie mówi nam w jaki sposób to wykonać. W rozporządzeniu nie znajdziemy dokładnej instrukcji jak i kiedy przekazywać wszystkie informacje o przetwarzanych danych osobie, której to dotyczy tak żeby udowodnić, że się spełniło ten obowiązek.

W takiej sytuacji najlepiej stworzyć procedury wewnętrzne, które mają na celu dokładne określenie : kto, kiedy i w jaki sposób przekazał informację o przetworzeniu danych.
Najlepiej jest informować osoby podczas czynności pozyskiwania danych w taki sposób, żeby dokładnie wiedziały w jaki sposób ich dane będą używane.

Mamy nadzieję, że trochę rozświetlimy Państwu proces profilowania przedstawiony w RODO i nie będzie to już dla państwa problemem.

Zachęcamy do dyskusji oraz zadawania pytań pod artykułami związanymi z RODO w komentarzach.

Źródła:
1. RODO Przewodnik ze wzorami pod redakcją Macieja Gawrońskiego, wydawnictwo Wolters Kluwer
2. Przewodnik po RODO dla małych i średnich przedsiębiorstw autorstwa dr. Pawła Litwińskiego, Ministerstwo Przedsiębiorczości i Technologii, Warszawa 2018r.

Czytaj także: 9 informacji, które pomogą w przygotowaniu do RODO

Czytaj także: Słów kilka na temat: RODO. Część 1