Упражнявайте правата си - член 22 - бъдете защитени от автоматизирано вземане на решения!

Знаете ли, че GDPR също така защитава вашите лични данни от несправедливо обект на автоматизирано решение? Ако смятате, че това може да е от значение за решение, взето за вас (напр. Банка, отказваща ипотека или отказано членство във фитнес залата), или се интересувате да научите повече, прочетете, за да разберете как да упражните правото си да бъдете защитени от автоматизирано вземане на решения ...

This page has been translated automatically. Leave us a message if something is not right.

Вашето право да бъдете защитени от автоматизирано вземане на решения!

Какво е автоматизирано вземане на решения?

Автоматизираното вземане на решения (или ADM) е вземането на решения чрез технологични средства, като алгоритъм или компютър. GDPR забранява на хората да бъдат подлагани на решения, „базирани единствено на автоматизирана обработка“. Това означава, че при определени обстоятелства компаниите, органите и другите субекти не могат да вземат решения относно лица, използващи само технологии и без човешка намеса.

Данните, използвани в ADM, могат да се събират по различни начини: данните могат да бъдат предоставени директно от физическите лица, например чрез въпросник, чрез наблюдение на лица, събиране на данни за местоположението от приложение на вашия телефон или чрез извличане на данни от профил, който вече имате създаден или създаден за вас.

Някои примери за случаи, при които може да бъдете обект на ADM: вашата банка отказва заем въз основа на алгоритъм в компютърна програма, доставчик на далекосъобщения не ви приема като клиент, защото агенция за кредитоспособност е върнала отрицателен резултат за вас или за оператора на платформа е санкциониран от алгоритъм, защото той отказа няколко искания.

ADM не трябва да се бърка с профилиране . Профилирането включва обработка на лични данни с цел оценка на лични аспекти, например характеристиките или поведенческите модели на индивидите. Това често се прави, за да се поставят индивидите в определени категории за по-нататъшен анализ или прогнозиране на поведението им. Профилирането не винаги води до ADM и ADM не винаги се взема въз основа на профилиране.

Стъпка 1: Определете правото, което искате да упражните

Стъпка 2: Данни за контакт на контролера

Стъпка 3: Изгответе вашата заявка

Стъпка 4: Отговор на контролера

Стъпка 5: Ами ако контролерът откаже моята заявка?

В кои случаи е забранено използването на ADM за вземане на решения относно мен?

Правото да бъде защитен от ADM е малко по-различно от другите права на субекта на данни в GDPR, тъй като включва защита, която ще съществува независимо дали дадено лице отправя искане до администратора или предприема правно действие. Това право забранява използването на ADM.

Използването на ADM е забранено, когато:

Решението се основава единствено на автоматизирано решение : Обикновено това са ситуации, когато решението се взема без човешка намеса. Човешката намеса трябва да идва от някой с властта и компетентността да промени решението, ако е необходимо. Администраторът не може да се опита да избегне забраната, като измисли някакво минимално или много свободно участие на човека.
Решението поражда правни последици или подобни значими последици
- Правните ефекти означават резултати, които засягат законните права или правния статут на дадено лице. Това може да включва прекратяване на договор, отказ от ползи или определени права, като например предприемане на правни действия или гласуване, или отказ за промяна в гражданството или семейното ви положение.
- Подобни значими ефекти означават ефекти със съпоставима тежест с горните правни ефекти. Това може да включва отказ на онлайн заявление за кредит, подлагане на процес на електронно набиране без човешка намеса, невъзможност за достъп до здравни услуги или образование, отказ от възможности за работа или дискриминация в някой от тези процеси.

Има ли изключения от тази забрана?

Да. Ако за обработката се използват определени правни основания, няма забрана за вземане на решения, използвайки само ADM.

Контролерите могат да използват ADM без човешка намеса само когато:

Решението е необходимо за изпълнение на договор ;
Решението е разрешено съгласно законодателството на ЕС или националното законодателство , като например за измама или укриване на данъци;
Вие изрично приехте да бъдете обект на такова решение;

ADM не трябва да включва конкретни категории данни („ чувствителни данни “), освен при определени обстоятелства и подлежащи на предпазни мерки.

Ако не сте сигурни в правната основа, която се използва за обработката на личните ви данни, или кои данни се обработват за ADM, можете да направите заявка за достъп до администратора. Те имат законово задължение да ви предоставят тази информация.

GDPR дава ли ми някакви права, които мога да упражня по отношение на ADM?

Да! В резултат на автоматичната защита на GDPR срещу ADM имате право да получавате определена информация и имате право на няколко предпазни мерки .

Информация. В случаите, когато е налице ADM, вие имате право да знаете следната информация:

смислено обяснение за това как е взето решението, като включената логика и данните, използвани за вземане на решението;
значението на обработката: администраторът трябва да обясни защо е прието решението и мотивите зад заключението;
последствията, предвидени за вас в резултат на обработката, т.е. какво администраторът възнамерява да направи с резултатите от ADM.

Предпазни мерки . Ако администраторът обработва личните ви данни за ADM съгласно едно от изключенията по-горе, той е длъжен да приложи определени предпазни мерки и да ви даде някои права:

Правото да се получи човешка намеса (напр. Човек с реална сила да промени решението трябва да се намеси);
Правото да изразите вашата гледна точка (напр. Човек трябва да изслуша аргументите срещу решението);
Право на получаване на обяснение (напр. Човек трябва да обясни как е взето решението);
Правото на оспорване на решението (намесата на човека трябва да чуе вашата гледна точка и да потвърди решението или да го промени въз основа на вашите аргументи).

Как мога да упражня тези права?

Стъпка 1: Определете правото, което искате да упражните

Ако не сте сигурни кое право да упражните , първо отправянето на заявка за достъп може да ви даде по-добра представа какво прави администраторът с вашите лични данни и да потвърдите дали вашите лични данни са били използвани за ADM. Това може да ви помогне да решите какво искате да направите по-нататък. В такъв случай информирайте администратора, че търсите информация, потвърждаваща правното основание за обработката и съществуването на ADM, както и логиката, значението и последиците от тази обработка.
Ако смятате, че сте били обект на ADM въпреки забраната да го направите , можете да помолите администратора да спре да използва ADM (следвайте стъпка 2 по-долу) или да подадете жалба до органа за защита на данните.
За да упражните правото си на предпазни мерки, когато ADM се използва законно , следвайте стъпките по-долу.

Стъпка 2: Данни за контакт на контролера

Вашето искане за ограничаване на обработката на вашите данни трябва да бъде адресирано до администратора (организацията / организацията / администрацията / компанията, обработваща вашите данни) .

Това може да стане по имейл, писмо, факс или чрез формуляр , стига да имате писмен запис на заявката.

Съответният имейл адрес обикновено може да бъде намерен в раздела „политика за поверителност“ или „свържете се с нас“ на уебсайта на администратора. Обикновено ще има име като privacy@company.com или legal@publicauthority.eu. Ако това е трудно да се намери или ако няма конкретен адрес, на който можете да изпратите заявката си, това е вина на контролера, а не на вас - GDPR изисква контролерите да направят тази информация лесно достъпна. Когато няма конкретен имейл адрес, можете да използвате общите данни за контакт на контролера.

Стъпка 3: Изгответе вашата заявка

Посочете, че търсите потвърждение, че вашите лични данни се използват за целите на ADM и кои предпазни мерки искате да упражните във връзка с ADM. Пример за изречение, посочващо предпазни мерки, би могъл да гласи, както следва: „съгласно моите права на субекта на данни съгласно Регламент 2016/679 на ЕС член 22, аз се стремя да намеря човешка намеса във връзка с решението / да изразя вашата гледна точка / да оспорвам решението и на какво основание / да се получи обяснение относно решението. “ Можете да включите няколко или само едно от тези права.
Посочете вашето име или друг идентификатор, използван от контролера (например потребителско име на акаунт) . За да помогнете на администратора да адресира заявката ви по-ефективно, включете информация, която би помогнала за идентифицирането на вашия акаунт , като например телефонния ви номер (ако сте го дали при регистрация), потребителско име или име на акаунт или IP адрес. Това ще бъде особено полезно, ако имате общи име и фамилия.
Включете датата в текста, ако поставите заявката си в прикачен файл към имейла или в писмо. Това изяснява крайния срок на администратора за предоставяне на информацията.

Стъпка 4: Отговор на контролера

След като администраторът получи вашата заявка, той има един месец да отговори. Този период може да бъде удължен само веднъж с максимум още два месеца, в случай на сложни или множество заявки.

Администраторът може да ви поиска допълнителна информация, за да потвърди вашата самоличност в случай на съмнение. Такова искане обаче трябва да бъде ограничено до допълнителната информация, необходима за потвърждаване на вас. Допълнителната информация не може да бъде непропорционална, тъй като е взела предвид контекста на обработката на вашите данни (например магазин, който ви иска копие на паспорта ви, за да промените адреса на карта за лоялност, би бил непропорционален).

Като цяло тази информация трябва да ви бъде предоставена в писмена форма , но тя може да ви бъде съобщена чрез електронни средства като имейл или може да бъде предоставена устно, ако я поискате.

Стъпка 5: Ами ако контролерът откаже моята заявка?

Ако контролерът:

отхвърля молбата ви без задоволително обяснение,
се опитва неоправдано да ви таксува за вашата заявка,
не отговори след месец или след удължения срок (максимум 3 месеца общо),

имате право да подадете жалба до орган за защита на данните (например DPA, където живеете или работите) и администраторът трябва да ви информира за това.

Ако се нуждаете от помощ при оценка на правните елементи на отговора на администратора, можете да се свържете с нас на info@noyb.eu, за да обсъдим по-нататъшни стъпки.

Обратно към упражняване на правата си

Support us!

noyb funding goal

74.26 %

Become a member!

Follow us!

Media Coverage

U.S. tech giant Meta has been hit with a record €1.2 billion fine for not complying with the EU’s privacy rulebook.

Apple hits back at European activist complaints against tracking tool

An Austrian privacy advocacy group drew a strongly critical response from Apple on Monday after it said an online tracking tool used in its devices breached European law.

101 Unternehmen leiten noch immer Daten an die USA weiter

Der Datenschutz-Verein noyb brachte 101 Beschwerden gegen den Datentransfer in die USA ein.

ZDF Magazin Royale vom 10. Dezember 2021

Expertentalk mit Datenschützer und Facebookbezwinger Max Schrems

Irish regulator proposes 36 mln euro Facebook privacy fine - document

The complaint, lodged by Austrian privacy activist Max Schrems, concerned the lawfulness of Facebook's processing of personal data, specifically around its terms of service.