Vai esat gatavi vispārīgās datu aizsardzības regulas noteikumiem attiecībā uz profilēšanu?

ES vispārīgā datu aizsardzības regula stāsies spēkā 2018. gada maijā. Šī regula attieksies uz automātisku klientu izvērtēšanu un paredzēs noteikumus saistībā ar automātisku kredītu piešķiršanas lēmumu pieņemšanu. Ko tas nozīmē Jums un Jūsu klientiem?

Jaunā regula ietvers jaunas darbības prasības uzņēmumiem, kas apstrādā personas datus. Uzņēmumiem un organizācijām tās būs jāpilda, sākot no 2018. gada maija. Regula attiecas uz to, kā cilvēkus, piemēram, klientus vai amata kandidātus, var automātiski izvērtēt, izmantojot datu apstrādi (dēvētu arī par profilēšanu).

Kas ir profilēšana?

Kopumā profilēšanas mērķis ir prognozēt cilvēka turpmāko uzvedību, piemēram, pamatojoties uz viņa iepriekšējām darbībām. Vispārīgajā datu aizsardzības regulā profilēšana ir definēta kā jebkura automātiska personas datu apstrāde ar nolūku novērtēt personiskus aspektus, ja šādai apstrādei ir juridiskas sekas attiecībā uz fizisko personu. Izvērtēšana var attiekties uz personas sniegumu darbā, ekonomisko situāciju, personīgām vēlmēm un interesēm, uzticamību vai turpmāko uzvedību.

VISPĀRĪGAJĀ DATU AIZSARDZĪBAS REGULĀ PROFILĒŠANA IR DEFINĒTA KĀ JEBKURA AUTOMĀTISKA PERSONAS DATU APSTRĀDE AR NOLŪKU NOVĒRTĒT PERSONISKUS ASPEKTUS, JA ŠĀDAI APSTRĀDEI IR JURIDISKAS SEKAS ATTIECĪBĀ UZ FIZISKO PERSONU.

Svarīgi zināt, ka vispārīgā datu aizsardzības regula atļauj profilēt cilvēkus bez viņu piekrišanas.

Tomēr ir daži izņēmumi.

Saskaņā ar regulu, šādu izvērtēšanu uzskata par profilēšanu tikai tad, ja datu apstrāde ir pilnībā automatizēta. Ja izvērtēšana ietver manuālas darbības, saskaņā ar regulu, tā nav profilēšana. Turklāt jebkura datu apstrāde, kurā datus nevar identificēt kā piederošus noteiktam indivīdam, netiek uzskatīta par profilēšanu.

Būtiska definīcijas daļa skar to, ka lēmums, kuram attiecībā uz fizisko personu ir juridiskas vai citas nopietnas sekas, ir jāpieņem, pamatojoties uz izvērtējumu. Regulā nav noteikts, kādi šie lēmumi ir praksē. Faktiski, vispārīgā datu aizsardzības regula kā profilēšanu regulēs automatizētos patērētāju kredītu piešķiršanas lēmumu modeļus, kurus izmanto, lai izvērtētu pieteicēja kredītreitingu un turpmākos maksājumu paradumus, kā arī, lai pieņemtu lēmumu par kredīta piešķiršanu vai atteikšanu.

Svarīgi, ka tiek aizsargātas personas tiesības.

Apstrādāt personas datus un veikt personu profilēšanu var tikai tad, ja tiek izpildītas vispārīgās datu aizsardzības regulas (6. panta) prasības. Praksē tipisks pamatojums datu apstrādei ietver personas piekrišanu vai vienošanās noslēgšanu.

Vispārīgajā datu aizsardzības regulā ir vispusīgi aptvertas personas tiesības attiecībā uz automatizētu personas datu apstrādi.

1) Personām ir tiesības tikt informētām par viņu datu izmantošanu profilēšanas nolūkos. Vispārīgā datu aizsardzības regula (13. un 14. pants) uzliek par pienākumu uzņēmumiem paziņot par nolūku veikt profilēšanu un norādīt būtiskus faktus par loģiku, nozīmi un potenciālajām profilēšanas sekām. Personām ir tiesības saņemt šo informāciju, pamatojoties uz datu subjekta piekļuves tiesībām (15. pants). Profilēšanas loģiku un nozīmi klientiem var izskaidrot ar piemēru palīdzību.

2) Pret personas datu apstrādi un attiecīgi arī profilēšanu var iebilst (21. pants), ja datu apstrādi veic sabiedrības interesēs vai īstenojot oficiālas pilnvaras (6. panta 1. punkta e) apakšpunkts), vai arī pārziņa vai trešās puses leģitīmo interešu ievērošanai (6. panta 1. punkta f) apakšpunkts). Tāpēc tiesības iebilst pret profilēšanu neattiecas uz situācijām, kad profilēšanu veic, lai noslēgtu vienošanos ar personu, kā tas ir ar kredītu piešķiršanu saistītu lēmumu gadījumā.

3)Personām ir tiesības nebūt (22. pants) tāda lēmuma subjektam, kura pamatā ir tikai automatizēta apstrāde, kas rada tiesiskās sekas vai kas līdzīgā veidā ievērojami ietekmē datu subjektu. Izņēmums šīm tiesībām ir jebkura situācija, kad profilēšana un tālākā lēmuma pieņemšana ir nepieciešama, lai starp šo personu un uzņēmumu noformētu vienošanos, vai gadījumā, ja to dara bez personas piekrišanas. Šī prasība neizslēdz profilēšanu, kuras mērķis ir pieņemt ar kredītu piešķiršanu saistītu lēmumu.

Jebkurā gadījumā – kredīta piešķīrējam vienmēr ir jāaizsargā personas tiesības. Minimālā prasība ir šāda: kredīta prasītājam ir tiesības pieprasīt, lai viņa pieteikumu apstrādātu, piemēram, fiziska persona nevis automatizēta sistēma. Otrreizēja pieteikuma pārstrāde gan nenozīmē to, ka rezultāts automātiski būs atšķirīgs.

Ņemiet vērā darba grupas vadlīniju 29. Pantu

Darba grupas vadlīniju 29. pants ir ES dalībvalstu valsts uzraudzības iestāžu pārstāvju veidota sadarbības struktūrvienība, kas formulē un publicē vadlīnijas attiecībā uz vispārīgo datu aizsardzības regulu. Tām ir būtiska nozīme vispārīgās datu aizsardzības regulas interpretēšanā. Līdz šim ir publicētas trīs vadlīnijas attiecībā uz datu pārnesamību, datu aizsardzības inspektoriem un galveno uzraudzības iestādi.

Vispārīgās datu aizsardzības regulas pantos nav noteikts, kas faktiski ir lēmums, kuram ir tiesiskas sekas, vai kas līdzīgā veidā ievērojami ietekmē datu subjektu. Šis ir īpaši svarīgs iemesls, kam turpmāk jāpievērš liela vērība darba grupas vadlīniju 29. pantā.

Uzņēmumiem ir jāpārskata savi procesi un jāidentificē visi apstākļi, kas nosaka profilēšanu regulā aprakstītajā veidā, proti, kad tiek izvērtēti personiski aspekti un pieņemts personai nozīmīgs lēmums. Sākot no 2018. gada maija, profilētajam subjektam ir jānodrošina iespēja paust savu viedokli, nepieciešamības gadījumā apstrīdēt lēmumu un viņa lietu apstrādāt manuāli. Tāpat, saskaņā ar vispārīgo datu aizsardzības regulu, ir jāievēro pienākums informēt par profilēšanu.

Mūsu desmit padomus par gatavošanos vispārīgajai datu aizsardzības regulai lasiet šeit.