Válasz

A profilalkotás során bizonyos személyes jellemzőinek értékelését az önnel kapcsolatos előrejelzésre  használják, akár úgy is, hogy nem születik döntés. Ha például egy vállalkozás vagy szervezet értékeli az ön jellemzőit (pl. az életkora, neme, magassága), vagy egy bizonyos kategóriába sorolja, akkor profilalkotást végez.

A kizárólag automatizált adatkezelésen alapuló döntéshozatal során technológiai eszközök révén, emberi beavatkozás nélkül születik döntés. Ez profilalkotás nélkül is megtörténhet.

Az adatvédelmi jogszabály  kimondja, hogy az érintettnek joga van ahhoz, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. A döntés akkor jár joghatással, ha az érintett törvényes jogait érinti (pl. a szavazati jogot). Ezenkívül az adatkezelés jelentős mértékben érintheti akkor is, ha befolyásolja a körülményeit, a viselkedését vagy a választási lehetőségeit. Az automatizált adatkezelés például egy online hitelkérelem elutasításával járhat.

A profilalkotás és az automatizált adatkezelésen alapuló döntéshozatal számos ágazatban – többek között a banki, a pénzügyi, az adózási ágazatban és az egészségügyi ellátásban – bevett gyakorlatnak számít. Hatékonyabban működhet, de megtörténhet, hogy kevésbé átlátható, valamint korlátozhatja a választási lehetőségeit.

Bár általános szabályként egy személyre nem lehet kizárólag automatizált adatkezelésen alapuló döntéshozatalt alkalmazni, ez a fajta döntéshozatal kivételesen engedélyezhető, ha jogszabály lehetővé teszi az algoritmusok használatát,  ésmegfelelő garanciákat biztosít.

A kizárólag automatizált adatkezelésen alapuló döntéshozatal az alábbi két esetben engedélyezett:

  • a döntésre valamely szerződés vagy szerződéskötési szándék keretében van szükség (azaz más módon nem lehet ugyanazt a célt elérni);
  • az érintett kifejezett hozzájárulását adta.

Mindkét esetben a meghozott döntésnek megfelelő garanciák alkalmazásával szavatolnia kell az érintett jogait és szabadságait. A vállalkozásnak vagy a szervezetnek legalább arról tájékoztatnia kell önt, hogy joga van emberi beavatkozást kérni és a szükséges eljárási lépéseket megtenni. Ezenkívül a vállalkozásnak vagy a szervezetnek lehetővé kell tennie az érintett számára a véleménye kifejtését, és tájékoztatnia kell arról, hogy joga van kifogást emelni a döntéssel szemben.

Az algoritmuson alapuló döntések nem használhatnak különleges adatkategóriákat, hacsak ehhez az érintett nem járult hozzá, vagy ha nincs az adatkezelésnek uniós vagy nemzeti jogban gyökerező jogalapja (lásd fent).

Példa

Kölcsönt vesz fel egy online bankból. Megadja az adatait, a bank algoritmusa pedig kiszámítja, hogy a bank megadja-e a kölcsönt vagy sem, illetve tájékoztatja a javasolt kamatlábról is. A banknak tájékoztatnia kell arról, hogy kifejezheti a véleményét, kifogást emelhet a döntéssel szemben, és hogy lehetőség van az az algoritmus által meghozott döntést személy általi felülvizsgálatára.

Hivatkozások

  • az általános adatvédelmi rendelet 21. és 22. cikke, valamint (71) és (72) preambulumbekezdése
  • A 29. cikk alapján létrehozott munkacsoport iránymutatásai az (EU) 2016/679 rendelet szerinti automatizált egyedi döntésről és a profilalkotásról (WP 251)