Zakaz podlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu

RODO w art. 22 wprowadza generalny zakaz podlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, oraz:

  • wywołuje wobec tej osoby skutki prawne lub
  • w podobny sposób istotnie na nią wpływa.

Chodzi więc o to, aby decyzje, które są istotne dla osoby, której dane administrator przetwarza, były podejmowane z udziałem człowieka, a nie wyłącznie z udziałem automatu.

Wyjątkowo powyższy zakaz nie ma zastosowania, gdy decyzja:

  • jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
  • jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, lub
  • opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Jeżeli automatyczne podejmowanie decyzji jest niezbędne do zawarcia lub wykonania umowy między osobą, której
dane dotyczą, a administratorem oraz wówczas, gdy odbywa się ono za wyraźną zgodą osoby, której dane dotyczą, administrator musi wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby,
której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. Chodzi więc o umożliwienie weryfikacji decyzji automatu przez człowieka, o co może zwrócić się do administratora osoba, której dane dotyczą. Decyzje takie nie mogą jednak opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1 RODO, chyba że:

  • administrator dysponuje wyraźną zgodą na przetwarzanie tych danych (a prawo Unii lub prawo państwa członkowskiego nie przewiduje, iż osoba, której dane dotyczą, nie może uchylić zakazu przetwarzania danych szczególnych kategorii),
  • przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą,
  • dodatkowo istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.