Ar esate pasiruošęs BDAR taisyklėms dėl profiliavimo?

ES Bendrasis duomenų apsaugos reglamentas (BDAR) įsigalios 2018 m. gegužės mėnesį. Šis reglamentas keis automatinį klientų vertinimą ir nustatys taisykles, kaip turės būti priimami automatiniai sprendimai dėl kreditų suteikimo. Sužinokite, ką būtent tai reiškia Jums ir Jūsų klientams.

Naujuoju reglamentu bus įvesti nauji veiklos reikalavimai įmonėms, tvarkančioms asmens duomenis, ir šis reglamentas turės būti taikomas įmonėms ir organizacijoms nuo 2018 m. gegužės mėn. Šis reglamentas apima tai, kaip žmonės, pavyzdžiui, klientai ar pretendentai į darbo vietą gali būti automatiškai vertinami atliekant duomenų tvarkymą (tai taip pat vadinama profiliavimu).

Kas yra profiliavimas?
Apskritai, profiliavimas yra skirtas prognozuoti būsimą asmens elgesį, pavyzdžiui, atsižvelgiant į ankstesnius jo veiksmus. Profiliavimas yra apibrėžiamas pagal BDAR kaip bet koks automatinis asmens duomenų tvarkymas, siekiant įvertinti asmenines savybes, kai tai turi teisinių pasekmių tam asmeniui. Pavyzdžiui, vertinimas gali būti susijęs su asmens darbingumu, ekonomine padėtimi, asmeniniais polinkiais ir interesais, patikimumu ar elgesiu ateityje.

Profiliavimas yra apibrėžiamas pagal BDAR kaip bet koks automatinis asmens duomenų tvarkymas, siekiant įvertinti asmenines savybes, kai tai turi teisinių pasekmių tam asmeniui.

Svarbu, kad žinotumėte, jog pagal BDAR leidžiama profiliuoti žmones be jų sutikimo.

Tačiau yra keletas išimčių.
Reglamentas taikomas profiliavimui, kai duomenų tvarkymas yra visiškai automatizuotas. Tai reiškia, kad, jei vertinimo metu atliekami neautomatiniai veiksmai, tai nebėra profiliavimas, kaip aprašyta šiame Reglamente. Be to, bet koks duomenų tvarkymas, jei tokie duomenys negali būti identifikuojami kaip priklausantys tam tikram asmeniui, nėra laikomas profiliavimu.

Tai, kad sprendimas su teisinėmis ar kitokiomis reikšmingomis pasekmėmis asmeniui turi būti grindžiamas vertinimu, taip pat yra esminė apibrėžimo dalis. Reglamente nenurodyta, kokie šie sprendimai būtų praktiškai. Praktiniu požiūriu BDAR bent reguliuos kaip profiliavimą automatizuotus vartojimo kredito sprendimų modelius, kurie naudojami siekiant įvertinti pareiškėjo kredito reitingą ir būsimą mokėjimo elgesį, taip pat priimti sprendimą, ar suteikti, ar atsisakyti suteikti kreditą.

Svarbu, kad būtų apsaugotos asmens teisės
Asmens duomenys gali būti tvarkomi ir asmenys profiliuojami tik tada, kai yra įvykdyti BDAR (6 straipsnio) reikalavimai. Praktiškai tipiniai duomenų tvarkymo pagrindai apima asmens sutikimą arba sutarties sudarymą. 

BDAR visapusiškai apima asmens teises automatinio asmens duomenų tvarkymo srityje.

1) Asmenys turi teisę būti informuoti apie jų duomenų naudojimą profiliavimui. BDAR (13 ir 14 straipsniai) įpareigoja įmones deklaruoti savo ketinimą profiliuoti ir pateikti atitinkamus faktus apie tokio profiliavimo logiką, reikšmę ir galimas pasekmes. Asmenys turi teisę gauti tą pačią informaciją, remiantis asmens teise susipažinti (15 straipsnis). Profiliavimo logika ir reikšmė gali būti paaiškinti klientams, pavyzdžiui, naudojant pavyzdžius.

2) Asmens duomenų tvarkymui ir juo grindžiamam profiliavimui, gali būti paprieštarauta (21 straipsnis), kai duomenų tvarkymas atliekamas visuomenės labui, arba įgyvendinant oficialius įgaliojimus (6 straipsnio 1 dalies e punktas) arba teisėtų interesų tikslais, kurių siekia duomenų valdytojas arba trečioji šalis (6 straipsnio 1 dalies f punktas). Todėl teisė prieštarauti profiliavimui neapima situacijų, kai profiliavimas atliekamas siekiant sudaryti su asmeniu sutartį – kaip yra sprendimų dėl kredito atveju.

3) Asmenys turi teisę reikalauti, kad jiems nebūtų taikomas (22 straipsnis) tik automatizuotu duomenų tvarkymu pagrįstas sprendimas, kuris turi jiems teisinių pasekmių arba turi jiems panašų reikšmingą poveikį. Šios teisės išimtis taip pat yra bet kokia situacija, kurioje profiliavimas ir po to atliekamas sprendimo priėmimas yra būtini siekiant sudaryti sutartį tarp asmens ir įmonės, arba jei tai daroma su asmens sutikimu. Šis reikalavimas netrukdo atlikti profiliavimą siekiant priimti sprendimą dėl kredito suteikimo.

Bet kuriuo atveju, kredito teikėjas visada turi apsaugoti asmens teises. Minimalus reikalavimas yra tas, kad paraiškos dėl kredito teikėjas turi teisę reikalauti, kad jo paraišką tvarkytų, pavyzdžiui, fizinis asmuo, o ne automatizuota sistema. Antrasis paraiškos tvarkymo etapas nereiškia, kad rezultatas automatiškai skirsis.

Atkreipkite dėmesį į 29 straipsnyje išdėstytas gaires dėl darbo grupės
29 straipsnyje apibrėžiama darbo grupė yra bendradarbiavimo institucija sudaryta iš atstovų iš ES valstybių narių nacionalinių priežiūros institucijų, kurios formuluoja ir skelbia gaires dėl bendrojo duomenų apsaugos reglamento. Jie atliks svarbų vaidmenį orientuodami BDAR aiškinimą. Iki šiol buvo paskelbtos trys gairės dėl duomenų perkeliamumo, duomenų apsaugos pareigūnų (DAP) ir vadovaujančiosios priežiūros institucijos.

BDAR straipsniuose tiksliai nenurodoma, kas faktiškai yra sprendimas, turintis teisinį ar panašių reikšmingą poveikį asmeniui. Todėl labai svarbu ateityje atkreipti ypatingą dėmesį į 29 straipsnyje nustatytos darbo grupės gaires.

Įmonės turėtų peržiūrėti savo procesus ir nustatyti aplinkybes, kuriose atliekamas profiliavimas, kaip aprašyta reglamente, t. y. kai įvertinamos asmens savybės ir priimamas asmeniui reikšmingas sprendimas. Nuo 2018 m. gegužės mėn. turi būti užtikrinta, kad profiliuotas asmuo turėtų galimybę pateikti savo nuomonę, ginčyti sprendimą, jei reikia, ir pateikti savo bylą tvarkyti neautomatiniu būdu. Be to, turi būti užtikrinta, kad, įsipareigojimo informuoti apie profiliavimą būtų laikomasi pagal BDAR.

Skaitykite mūsų dešimt patarimų, kurie padės jums pradėti ruoštis BDAR