GDPR (4та част) – Профилиране и правото на потребителите за избягване на решения вследствие на профилиране

Какво означава профилиране“ съгласно Общата Регулация за защита на личните данни (GDPR)

В серия от публикации разглеждаме различни аспекти и последици за фирмите след влизането на регулацията в сила през Май 2018 г. и връзката с Кибер Застраховката. Вече разгледахме Изискванията за уведомление,ролята на Служителя по сигурността и Изискването за изрично съгласие. В настоящата публикация ще изследваме профилирането“ на потребителя.
Съгласно Член 4 (4) профилиране означава всяка форма на автоматизирано обработване на лични данни, изразяващо се в използването на лични данни за оценяване на определени лични аспекти. Те трябва да са свързани с физическо лице, и по-конкретно за анализиране или прогнозиране на аспекти, отнасящи се до изпълнението на професионалните задължения на това физическо лице, неговото икономическо състояние, здраве, лични предпочитания, интереси, надеждност, поведение, местоположение или движение.
Следва да се отбележи, че съгласно опеделението по-горе от профилирането“ се изключва всяка обработка на лични данни, което не е автоматизирано. Профилирането“ изисква действието или резултатът от обработката на данни да бъде ясно за субекта на данни, като в регулацията изрично е посочено, че:
  • Лицето трябва да е наясно за наличието на автоматизиран процес за вземана на решение в това число и профилиране и;
  • Значимостта и очакваните последици за лицето при обработката на тези данни.
В допълнение, лицата, чиито данни са обект на обработка, имат правото да оспорят подобно профилиране за целите на директния маркетинг или дейности свързани с директния маркетинг.
На базата на различни определения, дефиниции и изисквания на регулацията може да се обобщи, че профилирането“ не изкисква само събиране на данни, но и автоматизиране на обработката им с цел вземане на дадено решение за тези лица.

Права на субекта на данни

Фирмите трябва да уважат правото на субекта на данни, свързани с профилирането“. Някои от тях като уведомлението и достъпа до данните изискват процедура, каквато се прилага за данни, които не са свързани с профилирането. Други обаче, като правото да оспори и спре профилирането или да избегнат решения, базирани на профилиране“, изискват по-специално внимание и вътрешни или системни процеси.

Съгласно чл. 22 субектът на данните има право да не бъде обект на решение, основаващо се единствено на автоматизирано обработване, включващо профилиране, което поражда правни последствия за субекта на данните или по подобен начин го засяга в значителна степен. Регулация предвижда изключения от горното условие, когато профилирането:

a) е необходимо за сключването или изпълнението на договор между субект на данни и администратор;

б) е разрешено от правото на Съюза или правото на държава членка, което се прилага спрямо администратора, и в което се предвиждат също подходящи мерки за защита на правата и свободите, и легитимните интереси на субекта на данните; или

в) се основава на изричното съгласие на субекта на данни.

Без съмнение ще има допълнителни разисквания относно дефиницята на профилиране“ и коя автоматизирана обработка на данни попада в дефициницията на профилиране“. При всички случаи обаче правата на субекта на данни са значително увеличени и те могат да оспорят решения, базиранни на профилиране“.

Кибер застрастраховката и профилирането“ на потребителите

Очевиден е рискът при кражба на подобни данни засегнатите лица да предяват претеции пред фирмата оператор на тези данни. Разследването на инцидента, разходите за оценка на потенциалния ефект от кражбата на тези данни, спазване на изрични изквания от регулатора или пък разходите, свързани с юридическа помощ нарастват много бързо, нарушавайки паричния поток на фирмата. Тези разходи, както и претенциите на засегнатите лица могат да бъдат обезщетени от добре структурирана Кибер застраховка[

Може да научите повече от експертите е Броксио, като ни пишете на office@broxio.bg или на телефон +359 888 894 039.

Scroll to top