GDPR obsahuje speciální úpravu institutu profilování, která se významně dotkne mnoha správců osobních údajů. V dnešní době je profilování a analýza velkých objemů dat klíčovou rolí v růstu digitální ekonomiky.
Profilování je dle definice obsažené v článku 4 bodu 4 Nařízení jakákoli forma automatizovaného zpracování osobních údajů, na základě které dochází k vyhodnocení nebo předvídání aspektů v chování osob. Mezi formy profilování se řadí např. hodnocení pracovního výkonu osob, vyhodnocení jejich ekonomické situace pro účely nabídky vhodného finančního nebo pojistného produktu, zdravotního stavu, osobních preferencí, zájmů, místa, kde se nachází, nebo pohybu.
Podnikatelé v dnešní době hojně využívají shromažďovaná data o subjektech k nabízení produktů či služeb přímo na míru spotřebiteli. Profilování se stalo běžnou součástí internetového obchodu, marketingu a dalších odvětví. A právě do takovýchto odvětví zasáhne nová úprava GDPR a profilování nejvíce.
Definici pojmu automatizovaného zpracovávání Nařízení neobsahuje. Jisté vodítko lze najít v Úmluvě Rady Evropy č. 108, která definuje automatizované zpracovávání jako proces operace uskutečňované zcela nebo zčásti pomocí automatizovaných postupů: ukládání na nosiče dat, provádění logických a/nebo aritmetických operací s těmito daty, jejich změna, výmaz, vyhledávání nebo rozšiřování. Z toho v podstatě plyne, že o automatizované zpracovávání osobních údajů se bude jednat v podstatě vždy, pokud jsou ke zpracování osobních údajů využívané automatizované postupy či prostředky.
Problematika profilování, na základě kterého dochází k automatizovanému individuálnímu rozhodnutí, má pro správce význam zejména z toho důvodu, že pokud jej provádějí, vztahují se na ně povinnosti vyplývající z Nařízení. Definice automatizovaného individuálního rozhodování je potom možno naleznout v článku 22 Nařízení, který říká, že se jedná o „rozhodování resp. rozhodnutí založené výhradně na automatizovaném zpracování osobních údajů, vč. profilování, které má pro subjekt údajů právní účinky nebo se ho obdobným způsobem významně dotýká“.
Jednou ze zásadních povinností vyplývající z Nařízení pro správce či zpracovatele je informační povinnost. Datový subjekt musí být informován o faktu, že jeho data jsou profilována. Poskytnutá informace musí definovat účel, smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
Dalším z práv daných subjektům profilovaných údajů je možnost vyřazení z profilování. Subjekt má právo nebýt do profilování zařazen, pokud je realizováno automatickým procesem. Vyřazen navíc musí být okamžitě, jakmile vznese námitku či odvolá souhlas. Článek 21 Nařízení pojednává o možnosti vznést námitku a stanoví, že pokud subjekt údajů své právo uplatní a vznese námitku proti danému zpracování, správce musí zpracování dotčených osobních údajů přerušit, tedy je dále nezpracovávat, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
Problematika profilování je rozsáhlá a je pravděpodobné, že bude mít vážný dopadne společnosti, které se podílejí na provádění automatizovaného zpracovávání dat za účelem profilování. Je třeba, aby takové společnosti provedly analýzu procesů, u kterých dochází ke zpracovávání osobních údajů založeném na profilování a přizpůsobily je novým podmínkám stanoveným v Nařízení.
GDPR: Profilování
24.5.2016
Nezařazené
Comments Off on GDPR: Profilování
Jaroslav Tajbr
GDPR obsahuje speciální úpravu institutu profilování, která se významně dotkne mnoha správců osobních údajů. V dnešní době je profilování a analýza velkých objemů dat klíčovou rolí v růstu digitální ekonomiky.
Profilování je dle definice obsažené v článku 4 bodu 4 Nařízení jakákoli forma automatizovaného zpracování osobních údajů, na základě které dochází k vyhodnocení nebo předvídání aspektů v chování osob. Mezi formy profilování se řadí např. hodnocení pracovního výkonu osob, vyhodnocení jejich ekonomické situace pro účely nabídky vhodného finančního nebo pojistného produktu, zdravotního stavu, osobních preferencí, zájmů, místa, kde se nachází, nebo pohybu.
Podnikatelé v dnešní době hojně využívají shromažďovaná data o subjektech k nabízení produktů či služeb přímo na míru spotřebiteli. Profilování se stalo běžnou součástí internetového obchodu, marketingu a dalších odvětví. A právě do takovýchto odvětví zasáhne nová úprava GDPR a profilování nejvíce.
Definici pojmu automatizovaného zpracovávání Nařízení neobsahuje. Jisté vodítko lze najít v Úmluvě Rady Evropy č. 108, která definuje automatizované zpracovávání jako proces operace uskutečňované zcela nebo zčásti pomocí automatizovaných postupů: ukládání na nosiče dat, provádění logických a/nebo aritmetických operací s těmito daty, jejich změna, výmaz, vyhledávání nebo rozšiřování. Z toho v podstatě plyne, že o automatizované zpracovávání osobních údajů se bude jednat v podstatě vždy, pokud jsou ke zpracování osobních údajů využívané automatizované postupy či prostředky.
Problematika profilování, na základě kterého dochází k automatizovanému individuálnímu rozhodnutí, má pro správce význam zejména z toho důvodu, že pokud jej provádějí, vztahují se na ně povinnosti vyplývající z Nařízení. Definice automatizovaného individuálního rozhodování je potom možno naleznout v článku 22 Nařízení, který říká, že se jedná o „rozhodování resp. rozhodnutí založené výhradně na automatizovaném zpracování osobních údajů, vč. profilování, které má pro subjekt údajů právní účinky nebo se ho obdobným způsobem významně dotýká“.
Jednou ze zásadních povinností vyplývající z Nařízení pro správce či zpracovatele je informační povinnost. Datový subjekt musí být informován o faktu, že jeho data jsou profilována. Poskytnutá informace musí definovat účel, smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
Dalším z práv daných subjektům profilovaných údajů je možnost vyřazení z profilování. Subjekt má právo nebýt do profilování zařazen, pokud je realizováno automatickým procesem. Vyřazen navíc musí být okamžitě, jakmile vznese námitku či odvolá souhlas. Článek 21 Nařízení pojednává o možnosti vznést námitku a stanoví, že pokud subjekt údajů své právo uplatní a vznese námitku proti danému zpracování, správce musí zpracování dotčených osobních údajů přerušit, tedy je dále nezpracovávat, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
Problematika profilování je rozsáhlá a je pravděpodobné, že bude mít vážný dopadne společnosti, které se podílejí na provádění automatizovaného zpracovávání dat za účelem profilování. Je třeba, aby takové společnosti provedly analýzu procesů, u kterých dochází ke zpracovávání osobních údajů založeném na profilování a přizpůsobily je novým podmínkám stanoveným v Nařízení.