Jun 04, 2023
Права, связанные с автоматизированным принятием решений, включая профилирование
Поиск статьи
Поиск статьи
Чтобы соответствовать GDPR Великобритании...
☐ У нас есть законное основание для проведения профилирования и/или автоматического принятия решений, и мы документируем это в нашей политике защиты данных.
☐ Мы отправляем отдельным лицам ссылку на наше заявление о конфиденциальности, если мы получили их персональные данные косвенным образом.
☐ Мы объясняем, как люди могут получить доступ к информации, которую мы использовали для создания их профиля.
☐ Мы сообщаем людям, которые предоставляют нам свои персональные данные, как они могут возражать против профилирования, включая профилирование в маркетинговых целях.
☐ У нас есть процедуры, позволяющие клиентам получить доступ к персональным данным, введенным в профили, чтобы они могли просматривать и редактировать любые проблемы с точностью.
☐ У нас есть дополнительные проверки для наших систем профилирования/автоматического принятия решений для защиты любых уязвимых групп (включая детей).
☐ Мы собираем только минимально необходимый объем данных и придерживаемся четкой политики хранения создаваемых нами профилей.
Как образец передового опыта...
☐ Мы проводим DPIA для рассмотрения и устранения рисков, прежде чем приступить к новому автоматизированному принятию решений или профилированию.
☐ Мы рассказываем нашим клиентам о профилировании и автоматизированном принятии решений, которые мы проводим, какую информацию мы используем для создания профилей и откуда мы получаем эту информацию.
☐ Мы используем анонимные данные в нашей деятельности по профилированию.
Чтобы соответствовать GDPR Великобритании...
☐ Мы проводим DPIA, чтобы выявить риски для отдельных лиц, показать, как мы собираемся с ними бороться и какие меры мы принимаем для удовлетворения требований GDPR Великобритании.
☐ Мы осуществляем обработку в соответствии со статьей 22(1) для договорных целей и можем продемонстрировать, почему это необходимо.
ИЛИ
☐ Мы осуществляем обработку в соответствии со статьей 22(1), поскольку у нас зафиксировано явное согласие человека. Мы можем показать, когда и как мы получили согласие. Мы рассказываем людям, как они могут отозвать согласие, и предлагаем простой способ сделать это.
ИЛИ
☐ Мы осуществляем обработку в соответствии со статьей 22(1), поскольку мы уполномочены или обязаны это делать. Это наиболее подходящий способ достижения наших целей.
☐ Мы не используем данные специальных категорий в наших автоматизированных системах принятия решений, если у нас нет для этого законного основания и мы не можем продемонстрировать, что это за основание. Мы удаляем любые случайно созданные данные специальных категорий.
☐ Мы объясняем, что используем автоматизированные процессы принятия решений, включая профилирование. Мы объясняем, какую информацию мы используем, почему мы ее используем и каковы могут быть последствия.
☐ У нас есть простой способ попросить нас пересмотреть автоматизированное решение.
☐ Мы определили в нашей организации сотрудников, уполномоченных проводить проверки и изменять решения.
☐ Мы регулярно проверяем наши системы на точность и предвзятость и вносим любые изменения в процесс проектирования.
Как образец передового опыта...
☐ Мы используем визуальные эффекты, чтобы объяснить, какую информацию мы собираем/используем и почему это важно для процесса.
☐ Мы подписали [стандартный] набор этических принципов для укрепления доверия с нашими клиентами. Это доступно на нашем сайте и в бумажном виде.
Автоматизированное индивидуальное принятие решений – это решение, принимаемое автоматизированными средствами без участия человека.
Примеры этого включают:
Автоматизированное индивидуальное принятие решений не обязательно должно включать профилирование, хотя часто оно достаточно.
GDPR Великобритании гласит, что профилирование — это:
«Любая форма автоматизированной обработки персональных данных, состоящая из использования персональных данных для оценки определенных личных аспектов, касающихся физического лица, в частности, для анализа или прогнозирования аспектов, касающихся производительности этого физического лица на работе, экономического положения, здоровья, личных предпочтений, интересы, надежность, поведение, местоположение или перемещения».
[Статья 4(4)]
Организации получают личную информацию о людях из множества различных источников. Данные о поиске в Интернете, покупательских привычках, образе жизни и поведении, собранные с помощью мобильных телефонов, социальных сетей, систем видеонаблюдения и Интернета вещей, являются примерами типов данных, которые могут собирать организации.