Izrada profila i automatizirano donošenje odluka mogu biti korisni pojedincima i organizacijama i imaju brojne komercijalne primjene, primjerice, mogu se koristiti za bolje segmentiranje tržišta i prilagođavanje usluga i proizvoda potrebama pojedinaca. Koristi od tih postupaka mogu se ostvariti i u područjima medicine, obrazovanja, zdravstvene skrbi i prometa.

Što je profiliranje? Prema GDPR-u je to svaki oblik automatizirane obrade osobnih podataka koji se sastoji od uporabe osobnih podataka za ocjenu određenih osobnih aspekata povezanih s pojedincem, posebno za analizu ili predviđanje aspekata u vezi s radnim učinkom, ekonomskim stanjem, zdravljem, osobnim sklonostima, interesima, pouzdanošću, ponašanjem, lokacijom ili kretanjem tog pojedinca. Pri tom nije nužno da se cijela obrada osobnih podataka pojedinca radi automatiziranim putem, ključ je u tome da se profilom izrađuje PROCJENA ili PREDVIĐANJE osobnih aspekata pojedinca, uključujući njegovu sposobnost za određene zadaće, njegove interese ili vjerojatno ponašanje.

Temeljem profila ili bez njega mogu se donositi i određene automatizirane odluke temeljem prikupljenih podataka (npr. ocjena kreditne sposobnosti, podaci o lokaciji prikupljeni iz mobilne aplikacije, odgovori na upitnik…). Jedan od primjera automatizirane odluke bez izrade profila je izricanje novčanih kazni za prebrzu vožnju temeljem dokaza prikupljenih kamerama za mjerenje brzine. Međutim, ako bi se vozača pratilo duže vrijeme temeljem podataka iz vozila ili iz evidencija o prometnim prekršajima, tada bi se radilo i o izradi profila.

Neke mobilne aplikacije pružaju usluge lociranja koje korisnicima omogućuju da pronađu restorane u blizini koji nude popuste. Međutim, prikupljeni podaci koriste se i za izradu profila o ispitanicima za potrebe marketinga kako bi se otkrile njihove preferencije s obzirom na hranu ili općenito životni stil. Ispitanici očekuju da će se njihovi podaci koristiti za pronalaženje restorana, ali ne i za primanje oglasa za dostavu pizze samo zato što je aplikacijom utvrđeno da se kasno vraćaju kući.

Ili npr. zaključci o nečijem zdravstvenom stanju mogli bi se izvući iz podataka o kupovanju hrane ako ih se kombinira s podacima o kvaliteti i energetskoj vrijednosti namirnica, a kakvi podaci su dostupni u nekim programima vjernosti maloprodajnih trgovina.

 

Međutim, izradom profila i automatiziranim donošenjem odluka mogu nastati znatni rizici za prava i slobode pojedinaca pa su stoga potrebne odgovarajuće zaštitne mjere.

Ti postupci mogu biti netransparentni. Može se dogoditi da pojedinci nisu svjesni da se o njima izrađuju profili i da ne razumiju što to uključuje.

Nije tajna da su alati za izradu profila klijenata npr. banaka, kartičarskih tvrtki, osiguravatelja ili korisnika telekoma ili kandidata za radna mjesta u korporacijama široko rasprostranjeni, kao i da se temeljem njih automatiziranim putem donose određene odluke na strani navedenih organizacija.

Tu je važno dobro proučiti članak 22. GDPR-a.

Taj se članak odnosi na odluke koje proizvode pravne učinke na pojedinca ili na sličan način značajno utječu na njega, pod uvjetom da su donesene isključivo automatiziranom obradom, odnosno, da u postupku odlučivanja ne sudjeluju ljudi.

Voditelj obrade ne može izbjeći odredbe iz članka 22. GDPR-a tako da lažno prikaže sudjelovanje ljudi u odlučivanju. Primjerice, ako netko rutinski primjenjuje automatski izrađene profile na pojedince bez ikakvog stvarnog utjecaja na rezultate, i dalje bi se radilo o odluci koja se isključivo temelji na automatiziranoj obradi. Kako bi se nešto smatralo ljudskim sudjelovanjem, voditelj obrade mora osigurati da je svaki nadzor nad odlukom smislen, a ne samo simboličan čin. Trebao bi ga provoditi netko tko je ovlašten i kompetentan izmijeniti određenu odluku. Ta osoba u okviru analize mora razmotriti sve relevantne podatke.

Voditelj obrade trebao bi u okviru svoje procjene učinka na zaštitu podataka utvrditi i zabilježiti stupanj ljudskog sudjelovanja u postupku donošenja odluke i u fazi u kojoj se to odvija.

Pravni učinak na pojedinca može biti otkazivanje ugovora ili odbijanje kao kandidata za radno mjesto, uskraćivanje prava na određenu socijalnu naknadu koja se dodjeljuje na temelju prava kao što su dječji doplatak ili stambena olakšica, odbijanje ulaska u neku zemlju ili uskraćivanja državljanstva, odbijanje zahtjeva za kreditom ili praksa zapošljavanja putem interneta bez ikakve ljudske intervencije…

U prvom redu takvo isključivo automatizirano donošenje odluka s pravnim ii sličnim značajnim učinkom na pojedinca smije se raditi samo ako je:

  • Potrebno za izvršavanje ugovora ili predugovornih radnji
  • Utvrđeno propisom RH ili EU
  • Temeljem izričite privole pojedinca.

Primjer kada je dozvoljeno automatizirano donošenje odluka jer je nužno za izvršavanje ugovora ili za predugovornu obradu: Tvrtka objavi oglas za slobodno radno mjesto i tvrtka prima desetke tisuća prijava. Zbog iznimno velike količine prijava, tvrtka može utvrditi da praktički nije moguće pronaći odgovarajuće kandidate, a da se prije toga ne primjeni potpuno automatizirano sredstvo za uklanjanje neodgovarajućih prijava. U ovom slučaju automatizirano donošenje odluka moglo bi biti potrebno kako bi se dobio kratak popis mogućih kandidata, pri čemu poduzeće namjerava sklopiti ugovor s ispitanikom.

Pri tom se pojedincu moraju informacije da se provodi takvo automatizirano donošenje odluka, uključujući i profiliranje, uz informacije o logici takve obrade (ne treba otkrivati algoritme) i treba objasniti posljedice takve obrade osobnih podataka na pojedinca. Tu moraju posebno biti napomenuta prava na prigovor, pravo na izražavanje vlastitog stajališta te pravo na osporavanje odluke i na ljudsku intervenciju kojom pojedinac mora moći zatražiti da se odluku o odbijanju ponovno razmotri.

Ukratko, ako voditelj obrade predvidi „model” u kojemu se donose isključivo automatizirane odluke koje imaju veliki učinak na pojedince na temelju profila koji su o njima izrađeni, a pritom se ne može osloniti na privolu pojedinca, ugovor s pojedincem ili na propis kojim se to dopušta, voditelj obrade u tom slučaju ne bi smio nastaviti s tim modelom.

 

Ono što nas posebno brine je da znamo da se danas u RH koriste algoritmi potpuno automatiziranog donošenja odluka koje donose značajne posljedice za pojedinca, ali nismo nikada vidjeli transparentne informacije o tome da bi bile objavljene i dane obuhvaćenim pojedincima. Obveza informiranja je na strani voditelja obrade a ne na strani platformi i alata koje voditelji koriste za takve svrhe.

 

Sve je to na kvalitetan način obuhvaćeno Smjernicama Radne skupine za zaštitu podataka iz članka 29. WP251rev.01 o automatiziranom pojedinačnom donošenju odluka i izradi profila za potrebe Uredbe 2016/679, donesenim 03.10.2017. i zadnje revidiranim i donesenim 06.02.2018.

Smjernice su dostupne na AZOP stranicama:

https://azop.hr/wp-content/uploads/2020/12/wp251rev01_hr.pdf

Image by creativeart on Freepik

#gdprcroatia