Dokładnie rok temu w grudniu 2022 roku na łamach naszego bloga opublikowany został artykuł rozpoczynający kontynuowaną w ostatnim czasie serię poświęconą prawom osób, których dane dotyczą. Był on przywoływany na początku każdej publikacji w celu podkreślenia jego kluczowej roli dla realizacji każdego z uprawnień przewidzianych w art. 13-22 RODO.
Niniejsza publikacja jest ostatnim artykułem z tej serii. Przybliżymy w niej art. 22 RODO dotyczący zautomatyzowanego podejmowania decyzji, w tym profilowania.
Z publikacji czytelnik może dowiedzieć się:
- Czym jest zautomatyzowane podejmowanie decyzji, w tym profilowanie
- Czy są to pojęcia tożsame
- Jaka jest istota art. 22 RODO
- Kiedy decyzje podejmowane są w sposób wyłącznie zautomatyzowany
- Jakie mogą być konsekwencje wynikające z automatyzacji
- Ograniczenia prawa by nie podlegać decyzji opartej na zautomatyzowanym przetwarzaniu
- Jakie są właściwe środki ochrony zgodne z art. 22 ust. 3 RODO
Czym jest zautomatyzowane podejmowanie decyzji, w tym profilowanie
Zautomatyzowane podejmowanie decyzji, w tym profilowanie jest nie tylko dość enigmatycznym, ale również kontrowersyjnym zagadnieniem w kontekście ochrony danych osobowych.
Należy zwrócić jednak uwagę na fakt, że wraz z rozwojem technologicznym jego rola będzie wciąż wzrastać.
Decyzja oparta wyłącznie na zautomatyzowanym przetwarzaniu to taka, która jest podjęta tylko za pomocą środków technicznych bez udziału człowieka. Nie chodzi tu o takie działanie, które podejmowane jest przy pomocy systemów informatycznych. Podczas zautomatyzowanego podejmowania decyzji system informatyczny na każdym etapie samoczynnie podejmuje decyzje według ustalonego algorytmu.
Zautomatyzowane podejmowanie decyzji odgrywa istotną rolę np. w kontekście technologii takiej jak Internet rzeczy. Podmioty z sektora finansowego (m.in. banki) często podejmują decyzje w sposób zautomatyzowany. W tym celu wykorzystują nie tylko dane osobowe pozyskane od podmiotu danych, ale również dane wynikające np. ze śledzenia użytkownika w Internecie (na potrzeby reklamy behawioralnej) oraz danych z kart bankowych (na potrzeby researchu kredytowego).
Zautomatyzowane podejmowanie decyzji a profilowanie
Często zautomatyzowane podejmowanie decyzji i profilowanie traktowane są jako pojęcia tożsame. Rozróżnienie tych pojęć jest ważne, ponieważ niejednokrotnie przepisy odnoszą się wyłączenie do drugiego z tych działań (np. art. 21 ust. 1 i 2 RODO).
Podstawą różnicą jest to, że zautomatyzowane podejmowanie decyzji nie polega zawsze na dokonaniu oceny czynników osobowych, dlatego jest pojęciem znacznie szerszym. Zatem nie każdy przypadek zautomatyzowanego podejmowania decyzji będzie profilowaniem, natomiast każde profilowanie mieści się w pojęciu zautomatyzowanego podejmowania decyzji. Przykładowo automatyczne rejestrowanie czasu pracy będzie profilowaniem wyłącznie jeżeli ADO za pomocą tego działania będzie dokonywał oceny pracowników (np. przyznawał premie).
Jaka jest istota art. 22 RODO
Treść art. 22 RODO umożliwia podmiotowi danych, by nie podlegać decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. W praktyce będzie to polegało na wyrażeniu sprzeciwu w sytuacji, gdy działanie administratora „wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”.
W związku z powyższym skorzystanie z uprawnienia przewidzianego w art. 22 RODO jest możliwe w sytuacji, gdy:
- przetwarzanie odbywa się w sposób wyłącznie zautomatyzowany;
- przetwarzanie wywołuje wobec konkretnej osoby skutki prawne lub w inny sposób istotnie na nią wpływa.
Niestety pojęcia te są nieostre, a unijny prawodawca nie sprecyzował, kiedy sytuacje takie będą mieć miejsce. Dlatego w celu przybliżenia powyższych pojęć można posłużyć się definicją wypracowaną przez przedstawicieli doktryny.
Podejmowanie decyzji w sposób wyłącznie zautomatyzowany
Przetwarzanie danych w sposób zautomatyzowany może pociągać za sobą negatywne konsekwencje dla osoby, której dane dotyczą. Jak słusznie zauważył dr hab. Paweł Fajgielski:
„W przypadku pełnej automatyzacji przetwarzania podmiot danych nie ma możliwości oddziaływania na przebieg tego procesu (nie może zwrócić się do osoby, która podejmuje decyzję, ponieważ rozstrzygnięcie podejmowane jest >>przez komputer<<), a procedury zautomatyzowane mogą nie uwzględniać okoliczności istotnych dla oceny podmiotu danych (algorytmy, w oparciu o które dokonywane jest przetwarzanie, mogą nie przewidywać sytuacji szczególnych, wyjątkowych)”.
W związku z tym unijny prawodawca w celu ochrony osoby, której dane dotyczą uregulował w art. 22 RODO omawiane uprawnienie. Ograniczył je jednak do pełnej automatyzacji decyzji. Ma ona dotyczyć całego procesu podejmowania decyzji, a nie tylko jego części. Częstą praktyką podczas podejmowania decyzji jest korzystanie ze wsparcia informatycznego. Jest to tzw. automatyzacja częściowa, której nie obejmuje regulacja art. 22 RODO.
Konsekwencje wynikające z automatyzacji
W literaturze wskazuje się, że wywołanie skutków prawnych na gruncie art. 22 RODO powinno być rozumiane jako powstanie, zmiana lub ustanie stosunku prawnego. Przykładem takiego działania może być zautomatyzowane podejmowanie decyzji dotyczących zawarcia, rozwiązania lub zmiany umowy z konkretną osobą.
Szerzej to pojęcie interpretowała Grupa Robocza Art. 29. W jej ocenie jest to każdy przypadek wpływu na prawa przysługujące danej osobie fizycznej. Według Grupy jest to także wpływ na sytuację prawną osoby lub jej uprawnienia, które wynikają z umowy. Przykładowo jest to przyznanie lub odmowa przyznania świadczenie socjalnego, odmowa udzielenia zgody na przekroczenie granicy państwa czy też zastosowanie wzmożonych środków bezpieczeństwa.
Jak wskazuje dr Paweł Litwiński „Istotny wpływ na osobę, której dane dotyczą, w sposób podobny do skutków prawnych, oznacza sytuację, w której automatycznie podjęta decyzja wpływa na osobę, której dane dotyczą, ale:
1) nie poprzez powstanie, zmianę lub ustanie stosunku prawnego;
2) wpływ ten jest istotny i podobny do powstania, zmiany lub ustania stosunku prawnego”.
Przykładowo może być to odmowa zawarcia umowy (nie zawartej wcześniej) z konkretną osobą lub ingerencja w jej strefę prywatności. Wówczas nie dojdzie do zawarcia stosunku prawnego, jednak może to w podobny sposób wpłynąć na daną osobę.
Kwestię zautomatyzowanego podejmowania decyzji porusza również motyw (71) RODO:
„Osoba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji – mogącej obejmować określone środki – która ocenia jej czynniki osobowe, opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób znacząco na nią wpływa, jak na przykład automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. Do takiego przetwarzania zalicza się >>profilowanie<< – które polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa (…).”
Ograniczenia prawa by nie podlegać decyzji opartej na zautomatyzowanym przetwarzaniu
Prawodawca unijny w art. 22 ust. 2 RODO określił sytuacje, w których prawo określone w ust. 1 nie ma zastosowania. Oprotestowanie zautomatyzowanego przetwarzania danych do podjęcia decyzji wywołującej skutki prawne (lub podobne) nie będzie możliwe, gdy decyzja ta:
a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
Powyższa przesłanka ma zastosowanie w sytuacji, kiedy bez zautomatyzowanego podejmowania decyzji zawarcie umowy nie jest możliwe. Należy podkreślić, że chodzi tu jedynie o umowę zawartą pomiędzy ADO a podmiotem danych lub taką, która ma być pomiędzy nimi wykonana.
Przykładem może być zakup przedmiotów na raty przez Internet. Wówczas po podaniu informacji nt. sytuacji finansowej (np. źródło dochodu) i bytowej (np. ilość osób na utrzymaniu), decyzja dotyczącą zawarcia umowy kredytowej zostanie oparta na obliczeniach algorytmu. W tej sytuacji bez zautomatyzowanego podejmowania decyzji zawarcie umowy nie jest możliwe.
b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
Druga przesłanka dotyczy uregulowania w przepisach prawa przetwarzania danych w sposób zautomatyzowany.
Jako przykład można wskazać w tym miejscu profilowanie podatników, prowadzone przez Krajową Administrację Skarbową w ramach działalności analitycznej, prognostycznej i badawczej oraz dokonywania analizy ryzyka. Podstawą prawną takich działań jest art. 47c ustawy z 16 listopada 2016 r. o Krajowej Administracji Skarbowej.
W przypadku uregulowania prawnego zautomatyzowanego podejmowania decyzji prawodawca musi przewidzieć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osób, których dane dotyczą. Takie środki powinny być wskazane wprost w konkretnym przepisie, aby ADO chcący skorzystać z omawianej przesłanki nie miał wątpliwości co do ich wyboru.
Omawianą przesłankę rozwija motyw (71) RODO, zgodnie z którym:
„(…) podejmowanie decyzji na podstawie takiego przetwarzania, w tym profilowania, powinno być dozwolone, w przypadku gdy jest to wyraźnie dopuszczone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, w tym do celów monitorowania i zapobiegania – zgodnie z uregulowaniami, standardami i zaleceniami instytucji Unii lub krajowych podmiotów nadzorujących – oszustwom i uchylaniu się od podatków oraz do zapewniania bezpieczeństwa i niezawodności usług świadczonych przez administratora (…)”.
Wskazany w motywie katalog ma charakter przykładowy, a prawodawca (zarówno unijny, jak i krajowy) ma możliwość jego rozszerzenia o inne przypadki.
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
Na podstawie ostatniej z przesłanek wykluczone jest posługiwanie się zgodą dorozumianą. Mowa tu jedynie o zgodzie, która wyrażona jest poprzez złożenie przez konkretną osobę oświadczenia woli o odpowiedniej treści. Chodzi o to, aby wynikała z niego wyraźnie wola tej osoby.
W przypadkach przetwarzania na podstawie umowy lub zgody (art. 22 ust. 2 lit. a i c) administratorzy muszą spełnić dodatkowe wymagania. Unijny prawodawca w ust. 3 artykułu 22 nałożył obowiązek wdrożenia właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
Środki te powinny obejmować co najmniej prawo do uzyskania interwencji ludzkiej ze strony administratora lub możliwość wyrażenia własnego stanowiska i zakwestionowania decyzji. Należy pamiętać, że nie będzie to równoznaczne ze sprzeciwem wobec całego procesu zautomatyzowanego przetwarzania. Kwestionowany jest bowiem skutek decyzji, a nie sposób jej podjęcia.
Treść art. 22 ust. 3 RODO jest przejawem dążenia przez prawodawcę unijnego do wyeliminowania całkowicie zautomatyzowanych procesów w sprawach istotnych dla podmiotów danych. Wskazane środki mają zapewnić podmiotowi danych możliwość reagowania na takie działania ze strony administratora.
Uprawnienia podmiotu danych wynikające z art. 22 w kontekście poszczególnych przesłanek przetwarzania można podsumować poniższą tabelą:
Przesłanka przetwarzania | Prawo podmiotu danych |
Art. 6 ust. 1 lit. a (zgoda) | uzyskanie interwencji ludzkiej lub wyrażenie własnego stanowiska i zakwestionowanie decyzji |
Art. 6 ust. 1 lit. b (umowa) | |
Art. 6 ust. 1 lit. c (przepis prawa) | – |
Art. 6 ust. 1 lit. d (żywotne interesy) | sprzeciw wobec zautomatyzowanego przetwarzania |
Art. 6 ust. 1 lit. e (interes publiczny) | |
Art. 6 ust. 1 lit. f (uzasadniony interes) |
Właściwe środki ochrony
Zgodnie z art. 22 ust. 4 nie można podejmować decyzji w sposób zautomatyzowany, jeżeli operacja ma opierać się na przetwarzaniu danych szczególnej kategorii. Wyjątkiem są przypadki, gdy podstawą przetwarzania tych danych jest art. 9 ust. 2 lit. a (zgoda) lub lit. g (niezbędność przetwarzania wynika z ważnych interesów publicznych, na podstawie prawa Unii lub prawa państwa członkowskiego).
Oznacza to, że przetwarzanie w sposób całkowicie zautomatyzowany danych szczególnej kategorii jest możliwe wyłącznie w sytuacji, gdy podstawą jest przepis prawa lub wyraźna zgoda osoby, której dane dotyczą.
Podsumowanie
Celem regulacji art. 22 RODO jest zapewnienie jak najwyższej przejrzystości procesu zautomatyzowanego podejmowania decyzji, w tym profilowania. W przypadku przetwarzania danych w ten sposób należy pamiętać o obowiązku informacyjnym administratora wynikającym z art. 13 ust. 2 lit. f oraz art. 14 ust. 2 lit. g RODO. ADO powinien pamiętać też o obowiązkach wynikających z art. 15 ust. 1 lit. h RODO.
Jeżeli podejmowanie decyzji odbywa się wyłącznie w sposób zautomatyzowany administrator (zgodnie z art. 35 ust. 3 lit. a RODO) musi przeprowadzić obowiązkową ocenę skutków dla ochrony danych.
Przykładów zautomatyzowanego podejmowania decyzji nie trzeba daleko szukać. Już teraz organy administracji publicznej podczas masowego wydawania decyzji administracyjnych często opierają je na działaniach systemów informatycznych, które przygotowują treść rozstrzygnięcia w danej sprawie. Przykładowo za pomocą uprzednio wprowadzonych danych obliczają wysokość należnego podatku.
Co ciekawe, w związku z tegoroczną nowelizacją ustawy z dnia 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (KPA), na podstawie art. 14 §1b możliwe jest automatyczne generowanie pism. Decyzje i inne dokumenty wygenerowane w ten sposób będą opatrzone kwalifikowaną pieczęcią elektroniczną organu administracji publicznej. Oznacza to, że nie zajdzie konieczność ich ręcznego podpisywania przez urzędników. Jeżeli dodatkowo pismo lub decyzja zostanie wysłane do osoby za pośrednictwem e-Doręczeń to proces ten będzie odbywał się w sposób całkowicie zautomatyzowany.
Przepisy KPA nie przewidują katalogu spraw, w których mogą być podejmowane zautomatyzowane decyzje. Oznacza to, że pracownicy administracji publicznej mogą korzystać z możliwości przewidzianej w art. 14 § 1b KPA we wszystkich sprawach. Czas pokaże jak urzędnicy będą podchodzić do tego rozwiązania i czy polski prawodawca ustanowi szczególny sposób odwoływania się od wydanych w ten sposób decyzji.
Wraz z rozwojem technologii będzie dochodziło do podejmowania coraz większej liczby decyzji w sposób zautomatyzowany. Dlatego regulacja art. 22 RODO będzie zapewne coraz częściej wykorzystywana przez podmioty danych.