Skorzystaj ze swoich praw - Artykuł 22 - bądź chroniony przed zautomatyzowanym podejmowaniem decyzji!

Czy wiesz, że GDPR chroni również Twoje dane osobowe przed niesłusznym poddaniem ich zautomatyzowanej decyzji? Jeśli uważasz, że może to mieć znaczenie dla decyzji, która została podjęta na Twój temat (np. bank odmawiający udzielenia kredytu hipotecznego lub odmowa członkostwa w siłowni), lub jeśli chcesz dowiedzieć się więcej, czytaj dalej, aby dowiedzieć się, jak skorzystać z prawa do ochrony przed zautomatyzowanym podejmowaniem decyzji..

Ta strona jest dostępna wyłącznie w tłumaczeniu automatycznym na język polski. Zawsze możesz przełączyć się na oryginalną wersję w języku angielskim.

Twoje prawo do ochrony przed zautomatyzowanym podejmowaniem decyzji!

Czym jest zautomatyzowane podejmowanie decyzji?

Zautomatyzowane podejmowanie decyzji (lub ADM) to podejmowanie decyzji za pomocą środków technologicznych, takich jak algorytm lub komputer. GDPR zabrania podejmowania wobec osób fizycznych decyzji "opartych wyłącznie na zautomatyzowanym przetwarzaniu". Oznacza to, że w pewnych okolicznościach firmy, organy i inne podmioty nie mogą podejmować decyzji dotyczących osób fizycznych, korzystając wyłącznie z technologii i bez interwencji człowieka

Dane wykorzystywane w ADM mogą być gromadzone na różne sposoby: dane mogą być dostarczane bezpośrednio przez osoby fizyczne, np. za pośrednictwem kwestionariusza, poprzez obserwację osób fizycznych, gromadzenie danych dotyczących lokalizacji z aplikacji w telefonie lub poprzez pozyskiwanie danych z profilu utworzonego już przez Państwa lub utworzonego na Państwa temat

Kilka przykładów sytuacji, w których mogą Państwo podlegać ADM: Państwa bank odmawia udzielenia kredytu na podstawie algorytmu w programie komputerowym, dostawca usług telekomunikacyjnych nie przyjmuje Państwa jako klienta, ponieważ agencja kredytowa zwróciła negatywny wynik dotyczący Państwa lub operator platformy zostaje ukarany przez algorytm, ponieważ odrzucił kilka wniosków.

ADM nie należy mylić z profilowaniem. Profilowanie polega na przetwarzaniu danych osobowych w celu oceny aspektów osobistych, np. cech charakterystycznych lub wzorców zachowań poszczególnych osób. Dokonuje się tego często w celu przypisania osób do określonych kategorii, aby móc dalej analizować lub przewidywać ich zachowanie. Profilowanie nie zawsze prowadzi do ADM, a ADM nie zawsze jest podejmowane na podstawie profilowania

Krok 1: Określenie prawa, z którego chcesz skorzystać

Krok 2: Dane kontaktowe administratora danych

Krok 3: Sporządzenie wniosku

Etap 4: Odpowiedź administratora danych

Krok 5: Co zrobić, jeśli administrator danych odrzuci mój wniosek?

W jakich przypadkach zabronione jest wykorzystywanie ADM do podejmowania decyzji dotyczących mojej osoby?

Prawo do ochrony przed ADM różni się nieco od innych praw podmiotów danych w GDPR, ponieważ obejmuje ochronę, która będzie istnieć niezależnie od tego, czy dana osoba złoży wniosek do administratora danych lub podejmie działania prawne. Prawo to zakazuje korzystania z ADM.

Korzystanie z ADM jest zabronione, gdy:

Decyzja opiera się wyłącznie na zautomatyzowanej decyzjiSą to zazwyczaj sytuacje, w których decyzja podejmowana jest bez interwencji człowieka. Interwencja człowieka musi pochodzić od osoby posiadającej uprawnienia i kompetencje do zmiany decyzji w razie potrzeby. Administrator nie może próbować omijać zakazu, wymyślając jakiś minimalny lub bardzo luźny udział człowieka
Decyzja wywołuje skutki prawne lub podobne znaczące skutki
- Skutkiprawne oznaczają wyniki, które wpływają na prawa lub status prawny danej osoby. Może to obejmować unieważnienie umowy, odmowę przyznania świadczeń lub pewnych praw, takich jak podejmowanie działań prawnych lub głosowanie, lub odmowę zmiany obywatelstwa lub stanu cywilnego
- Podobne znaczące skutki oznaczają skutki o porównywalnej dotkliwości do skutków prawnych wymienionych powyżej. Może to obejmować odmowę udzielenia kredytu online, poddanie się procesowi e-rekrutacji bez udziału człowieka, niemożność dostępu do usług zdrowotnych lub edukacji, odmowę zatrudnienia lub dyskryminację w którymkolwiek z tych procesów

Czy istnieją wyjątki od tego zakazu?

Tak. Jeżeli do przetwarzania danych wykorzystywane są określone podstawy prawne, wówczas nie ma zakazu podejmowania decyzji wyłącznie na podstawie ADM.

Administratorzy danych mogą korzystać z ADM bez interwencji człowieka tylko wtedy, gdy :

Decyzja jest niezbędna do wykonania umowy;
Decyzja jest dozwolona na mocy prawa unijnego lub krajowego, np. w przypadku oszustw lub uchylania się od płacenia podatków;
Użytkownik wyraźnie zgodził się na podleganie takiej decyzji;

ADM nie powinien dotyczyć szczególnych kategorii danych ("dane wrażliwe")z wyjątkiem pewnych okoliczności i z zastrzeżeniem zabezpieczeń

W przypadku braku pewności co do podstawy prawnej przetwarzania Państwa danych osobowych lub co do tego, które dane są przetwarzane na potrzeby ADM, mogą Państwo zwrócić się z wnioskiem o dostęp do administratora danych. Administratorzy są prawnie zobowiązani do udzielenia Państwu tych informacji

Czy GDPR daje mi jakieś prawa, z których mogę skorzystać w związku z ADM?

Tak! W wyniku automatycznej ochrony przed ADM zapewnianej przez GDPR mają Państwo prawo do otrzymania pewnych informacji i są Państwo uprawnieni do kilku zabezpieczeń.

Informacje. W przypadkach, w których zastosowano ADM, mają Państwo prawo do uzyskania następujących informacji

sensowne wyjaśnienie, w jaki sposób podjęto decyzję, takie jak zastosowana logika oraz dane wykorzystane do podjęcia decyzji
znaczenie przetwarzania: administrator musi wyjaśnić, dlaczego podjęto decyzję oraz uzasadnienie wniosku;
przewidywane konsekwencje dla Państwa w wyniku przetwarzania, tj. co administrator zamierza zrobić z wynikami ADM.

Zabezpieczenia Jeżeli administrator danych przetwarza Państwa dane osobowe w celu ADM na podstawie jednego z powyższych wyjątków, jest on zobowiązany do wdrożenia pewnych zabezpieczeń i przyznania Państwu pewnych praw:

Prawo do uzyskania interwencji człowieka (np. powinien interweniować człowiek mający realne uprawnienia do zmiany decyzji);
Prawo do wyrażenia swojego punktu widzenia (np. osoba powinna wysłuchać argumentów przeciwko decyzji);
Prawo do uzyskania wyjaśnienia (np. człowiek powinien wyjaśnić, w jaki sposób podjęto decyzję);
Prawo do zakwestionowania decyzji (interweniujący człowiek musi wysłuchać Twojego punktu widzenia i potwierdzić decyzję lub zmienić ją na podstawie Twoich argumentów).

Jak mogę skorzystać z tych praw?

Krok 1: Określenie prawa, z którego chcesz skorzystać

Jeżeli nie są Państwo pewni, z którego prawa skorzystać, złożenie wniosku o dostęp może dać Państwu lepszy obraz tego, co administrator danych robi z Państwa danymi osobowymi i potwierdzić, czy Państwa dane osobowe zostały wykorzystane w ADM. Może to pomóc Państwu w podjęciu decyzji co do dalszego postępowania. W takim przypadku należy poinformować administratora danych, że poszukują Państwo informacji potwierdzających podstawę prawną przetwarzania danych oraz istnienie ADM, a także logikę, znaczenie i konsekwencje tego przetwarzania
Jeżeli uważają Państwo, że zostali Państwo objęci ADM pomimo zakazu, mogą Państwo zwrócić się do administratora danych o zaprzestanie stosowania ADM (należy postępować zgodnie z krokiem 2 poniżej) lub wnieść skargę do organu ochrony danych
Aby skorzystać z prawa do zabezpieczeń w przypadku zgodnego z prawem stosowania ADM, należy postępować zgodnie z poniższymi krokami

Krok 2: Dane kontaktowe administratora danych

Państwa wniosek o ograniczenie przetwarzania Państwa danych należy skierować do administratora danych (organizacji/podmiotu/administracji/firmy przetwarzającej Państwa dane)

Można to zrobić za pośrednictwem poczty elektronicznej, listu, faksu lub formularza, pod warunkiem, że wniosek zostanie zapisany na piśmie

Odpowiedni adres e-mail można zazwyczaj znaleźć w sekcji "polityka prywatności" lub "kontakt z nami" na stronie internetowej administratora danych. Zazwyczaj będzie on nosił nazwę taką jak privacy@company.com lub legal@publicauthority.eu. Jeśli trudno go znaleźć lub jeśli nie ma konkretnego adresu, na który można wysłać żądanie, jest to wina administratora, a nie Państwa - GDPR wymaga od administratorów, aby informacje te były łatwo dostępne. Jeśli nie ma konkretnego adresu e-mail, można skorzystać z ogólnych danych kontaktowych administratora.

Krok 3: Zredaguj swój wniosek

Należy zaznaczyć, że chcą Państwo uzyskać potwierdzenie, że Państwa dane osobowe są wykorzystywane do celów ADM oraz jakie zabezpieczenia chcą Państwo zastosować w związku z ADM Przykład zdania określającego zabezpieczeń może brzmieć następująco: "zgodnie z moimi prawami osoby, której dane dotyczą, wynikającymi z rozporządzenia UE 2016/679 art. 22, dążę do uzyskania interwencji człowieka w związku z decyzją/wyrażenia swojego punktu widzenia/kwestionowania decyzji i na jakiej podstawie/uzyskania wyjaśnień dotyczących decyzji" Możesz zawrzeć kilka lub tylko jedno z tych praw.
Określ swojeimię i nazwisko lub inny identyfikator używany przez administratora(np. nazwę użytkownika konta)Aby pomóc administratorowi skuteczniej odpowiedzieć na Twoje żądanie, podaj informacje, które pomogą zidentyfikować Twoje konto, takie jak numer telefonu (jeśli podałeś go podczas rejestracji), nazwa użytkownika lub nazwa konta, lub adres IP. Będzie to szczególnie pomocne, jeśli masz wspólne imię i nazwisko.
Uwzględnij datęw tekście, jeśli umieścisz swoje żądanie w załączniku do e-maila lub w liście. W ten sposób doprecyzujesz termin, w jakim administrator ma udzielić informacji.

Krok 4: Odpowiedź administratora danych

Po otrzymaniu wniosku administrator ma jedenmiesiąc na udzielenie odpowiedzi. Okres ten może zostać przedłużony tylko raz, maksymalnie o dwa kolejne miesiące, w przypadku złożonych lub wielokrotnych wniosków

W razie wątpliwości administrator może poprosić Cię o dodatkowe informacje w celu potwierdzenia Twojej tożsamości. Takie żądanie powinno być jednak ograniczone do dodatkowych informacji niezbędnych do potwierdzenia, kim Państwo są. Dodatkowe informacje nie mogą być nieproporcjonalne, biorąc pod uwagę kontekst przetwarzania Państwa danych (np. sklep proszący Państwa o kopię paszportu w celu zmiany adresu na karcie lojalnościowej byłby nieproporcjonalny)

Ogólnie rzecz biorąc, informacje te muszą być przekazane na piśmie, ale mogą być przekazane drogą elektroniczną, np. pocztą elektroniczną, lub mogą być przekazane ustnie, jeśli użytkownik sobie tego zażyczy.

Krok 5: co zrobić, jeśli administrator danych odrzuci mój wniosek?

Jeżeli administrator danych:

odrzuca Twoje żądanie bez zadowalającego wyjaśnienia,
próbuje bezpodstawnie obciążyć Cię kosztami Twojego żądania,
nie odpowiada po miesiącu lub po upływie przedłużonego terminu (łącznie maksymalnie 3 miesiące),

mają Państwo prawo złożyć skargę do organu ochrony danych (np. do organu ochrony danych w miejscu zamieszkania lub pracy), a administrator powinien Państwa o tym poinformować

Jeżeli potrzebują Państwo pomocy w ocenie prawnych elementów odpowiedzi administratora, mogą Państwo skontaktować się z nami pod adreseminfo@noyb.euaby omówić dalsze kroki.

Powrót do Korzystanie z praw

Wesprzyj nas!

Cel finansowy noyb

74.26 %

Zostań członkiem!

Follow us!

Media Coverage

U.S. tech giant Meta has been hit with a record €1.2 billion fine for not complying with the EU’s privacy rulebook.

Apple hits back at European activist complaints against tracking tool

An Austrian privacy advocacy group drew a strongly critical response from Apple on Monday after it said an online tracking tool used in its devices breached European law.

101 Unternehmen leiten noch immer Daten an die USA weiter

Der Datenschutz-Verein noyb brachte 101 Beschwerden gegen den Datentransfer in die USA ein.

ZDF Magazin Royale vom 10. Dezember 2021

Expertentalk mit Datenschützer und Facebookbezwinger Max Schrems

Irish regulator proposes 36 mln euro Facebook privacy fine - document

The complaint, lodged by Austrian privacy activist Max Schrems, concerned the lawfulness of Facebook's processing of personal data, specifically around its terms of service.