Obecné nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“) se zabývá i automatickým zpracováním osobních údajů. Je třeba přiznat, že touto skutečností se již zabývala i minulá právní úprava, ovšem v menším rozsahu než GDPR, což je dáno především rozvojem internetu, který se za více než 20 let platnosti směrnice 95/46/ES podstatně rozšířil.
GDPR nově používá pojem profilování, který je vymezen jako "jakákoliv forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě". Nařízení jako příklady uvádí rozbor nebo odhad aspektů týkajících se pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se subjekt nachází, nebo pohybu subjektu.Správce má dle GDPR povinnost informovat subjekt údajů o skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování. To nabývá na významu především v souvislosti s právem subjektu údajů nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
Z práva odmítnout automatizované zpracování jsou stanoveny tři výjimky, pokud je takové rozhodnutí:
Ani první a třetí výjimka však právo na odmítnutí neomezují zcela, protože i zde má správce povinnost provést vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů. Správce tedy musí zavést alespoň opatření v podobě práva na lidský zásah ze strany správce, práva vyjádřit svůj názor a práva napadnout rozhodnutí. Automatizované zpracování by se rovněž nemělo týkat zvláštních kategorií osobních údajů (např. členství v odborové organizaci).
V zájmu zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů by tak správce měl zavést technická a organizační opatření, která zejména zajistí opravu faktorů vedoucích k nepřesnosti osobních údajů a minimalizaci rizika chyb, a zabezpečit osobní údaje takovým způsobem, který zohledňuje potenciální rizika pro zájmy a práva subjektu údajů a který mimo jiné předchází diskriminačním účinkům vůči fyzickým osobám.
GDPR by tak ve výsledku mělo zabránit situacím, kdy dochází na základě automatického zpracování k rozhodnutí o on-line žádosti o úvěr nebo o postup elektronického náboru bez jakéhokoliv lidského zásahu.
Obecné nařízení o ochraně osobních údajů 2016/679 (dále též „GDPR“) jako jeden ze zákonných důvodů pro zpracování některých osobních údajů získání souhlasu subjektu údajů. Protože při získávání osobních subjektů se jedná o zásah do jeho práva na soukromí, tak GDPR stanoví takové podmínky, aby si byl subjekt vědom tohoto následku.
Zobrazit víceJednou z hlavních změn, kterou zavedlo Obecné nařízení o ochraně osobních údajů 2016/679 (GDPR), je povinnost ohlašovat případy, kdy dojde k narušení bezpečnosti ochrany osobních údajů (data breach).
Zobrazit více