Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie

Art. 22 ust. 1 RODO przewiduje, że osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

Możliwość zastosowania tego przepisu jest uzależniona od spełnienia trzech kumulatywnych przesłanek, a mianowicie,

• musi istnieć „decyzja”,
• decyzja ta powinna „opiera[ć] się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu”,
• musi ona wywoływać „skutki prawne [dotyczące osoby zainteresowanej]” lub „istotnie” na nią wpływać „w podobny sposób”.

Pojęcie „decyzji” w rozumieniu art. 22 ust. 1 RODO nie zostało zdefiniowane w tym rozporządzeniu. Z samego brzmienia tego przepisu wynika jednak, że pojęcie to odnosi się nie tylko do aktów, które wywołują skutki prawne wobec danej osoby, ale również do aktów, które w podobny sposób dotyczą jej w istotny sposób. Szeroki zakres pojęcia „decyzji” znajduje potwierdzenie w motywie 71 RODO, zgodnie z którym decyzja obejmująca ocenę niektórych aspektów osobistych danej osoby, w odniesieniu do której to decyzji powinno tej osobie przysługiwać prawo do tego, by jej nie podlegać, może „obejmować określone środki”, które wywołają dotyczące jej „skutki prawne” lub „w podobny sposób znacząco na nią wpły[ną]”. Zgodnie z tym motywem termin „decyzja” obejmuje, tytułem przykładu, automatyczne odrzucenie elektronicznego wniosku kredytowego czy też elektroniczne metody rekrutacji bez interwencji ludzkiej.

Ponieważ pojęcie „decyzji” w rozumieniu art. 22 ust. 1 RODO może obejmować szereg czynności mogących w różny sposób wpływać na osobę, której dane dotyczą, pojęcie to jest wystarczająco szerokie, aby objąć wynik obliczenia wypłacalności danej osoby w postaci wartości prawdopodobieństwa dotyczącej zdolności tej osoby do wywiązywania się ze zobowiązań płatniczych w przyszłości.

Co się tyczy przesłanki, zgodnie z którą decyzja powinna wywoływać „skutki prawne” w odniesieniu do danej osoby lub „istotnie” na nią wpływać „w podobny sposób”, działanie osoby trzeciej, której przekazana jest wartość prawdopodobieństwa, jest uzależnione w sposób „decydujący” od tej wartości. 

Art. 22 ust. 1 RODO nadaje osobie, której dane dotyczą, „prawo” do tego, by nie podlegała decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu włącznie z profilowaniem. Przepis ten ustanawia zasadniczy zakaz, którego naruszenie nie wymaga indywidualnego powołania się przez taką osobę.

Jak wynika z łącznej lektury art. 22 ust. 2 RODO i motywu 71 tego rozporządzenia, przyjęcie decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu jest dozwolone wyłącznie w przypadkach, o których mowa w tym art. 22 ust. 2, a mianowicie gdy decyzja ta jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem [lit. a)], jeżeli jest ona dozwolona w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator [lit. b)], lub jeżeli opiera się ona na wyraźnej zgodzie osoby, której dane dotyczą [lit. c)].

Art. 22 RODO przewiduje w ust. 2 lit. b) i w ust. 3, że należy przewidzieć odpowiednie środki ochrony praw i wolności oraz uzasadnionych interesów osoby, której dane dotyczą. W przypadkach, o których mowa w art. 22 ust. 2 lit. a) i c) tego rozporządzenia, administrator co najmniej wdraża prawo osoby, której dane dotyczą do uzyskania interwencji ludzkiej, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

Zgodnie z art. 22 ust. 4 RODO jedynie w niektórych szczególnych przypadkach zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach w rozumieniu tego art. 22 mogą być oparte na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1 tego rozporządzenia.

W przypadku zautomatyzowanego podejmowania decyzji, o którym mowa w art. 22 ust. 1 RODO, po pierwsze, administrator podlega dodatkowym obowiązkom informacyjnym na podstawie art. 13 ust. 2 lit. f) oraz art. 14 ust. 2 lit. g) tego rozporządzenia. Po drugie, osoba, której dane dotyczą, korzysta na podstawie art. 15 ust. 1 lit. h) wspomnianego rozporządzenia z prawa uzyskania od administratora w szczególności „istotnych informacji o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą”.

Takie wyższe wymogi dotyczące zgodności z prawem zautomatyzowanego podejmowania decyzji, a także dodatkowe obowiązki informacyjne administratora i związane z nimi dodatkowe prawa dostępu przysługujące osobie, której dane dotyczą, wynikają z celu art. 22 RODO, jakim jest ochrona osób przed szczególnymi zagrożeniami dla ich praw i wolności wynikającymi z automatycznego przetwarzania danych osobowych, w tym profilowania.

Przetwarzanie to oznacza, jak wynika z motywu 71 RODO, ocenę aspektów osobistych osoby fizycznej, której dotyczy to przetwarzanie, w szczególności w celu analizowania lub prognozowania aspektów dotyczących efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się. Zgodnie z tym motywem te szczególne zagrożenia mogą negatywnie wpływać na uzasadnione interesy i prawa osoby, której dane dotyczą, w szczególności z uwagi na potencjalne skutki w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny lub orientację seksualną. Istotne jest zatem zapewnienie odpowiednich zabezpieczeń oraz sprawiedliwego i przejrzystego traktowania osób, których dane dotyczą, w szczególności poprzez stosowanie odpowiednich procedur matematycznych lub statystycznych do celów profilowania oraz poprzez zastosowanie odpowiednich środków technicznych i organizacyjnych w celu ograniczenia ryzyka błędu do minimum.

Wyrok TSUE z dnia 7 grudnia 2023 r., C-634/21

Standard: 84221 (pełna treść orzeczenia)