Forståelse af GDPR Artikel 22: Dine rettigheder mod automatiseret beslutningstagning
GDPR Artikel 22 omhandler et begreb kaldet "dataprofilering" - i det væsentlige en metode, der bruges til at profilere en persons personlighed Alene gennem automatiseret dataanalyse, der har mulighed for at påvirke dem juridisk eller økonomisk (f.eks. kreditscoring og realkreditansøgninger).
I henhold til artikel 22 har enkeltpersoner ret til ikke at blive profileret på en sådan måde, medmindre det udtrykkeligt er aftalt i form af en kontrakt mellem forsøgspersonen og den organisation, der udfører profileringen.
GDPR Artikel 22 Lovtekst
EU GDPR-version
Automatiseret individuel beslutningstagning, herunder profilering
- Den registrerede har ret til ikke at blive underlagt en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering, som har retsvirkninger for ham eller hende eller tilsvarende påvirker ham eller hende væsentligt.
- 1 finder ikke anvendelse, hvis afgørelsen:
- er nødvendig for at indgå eller opfylde en kontrakt mellem den registrerede og en dataansvarlig;
- er godkendt af EU- eller medlemsstatslovgivningen, som den dataansvarlige er underlagt, og som også fastsætter passende foranstaltninger til at beskytte den registreredes rettigheder og friheder og legitime interesser eller
- er baseret på den registreredes udtrykkelige samtykke.
- I de tilfælde, der er omhandlet i stk. 2, litra a) og c), skal den dataansvarlige gennemføre passende foranstaltninger til at beskytte den registreredes rettigheder og friheder og legitime interesser, i det mindste retten til at opnå menneskelig indgriben fra dens side. registeransvarlig for at give udtryk for sit synspunkt og at anfægte beslutningen.
- 2 omhandlede afgørelser må ikke baseres på særlige kategorier af personoplysninger som omhandlet i artikel 9, stk. 1, medmindre artikel 9, stk. 2, litra a) eller g), finder anvendelse, og passende foranstaltninger til at beskytte den registreredes rettigheder og friheder og legitime interesser er på plads.
UK GDPR-version
Automatiseret individuel beslutningstagning, herunder profilering
- Den registrerede har ret til ikke at blive underlagt en afgørelse, der udelukkende er baseret på automatiseret behandling, herunder profilering, som har retsvirkninger for ham eller hende eller tilsvarende påvirker ham eller hende væsentligt.
- 1 finder ikke anvendelse, hvis afgørelsen:
- er nødvendig for at indgå eller opfylde en kontrakt mellem den registrerede og en dataansvarlig;
- er påkrævet eller godkendt af national lovgivning, som også fastsætter passende foranstaltninger til at beskytte den registreredes rettigheder og friheder og legitime interesser; eller
- er baseret på den registreredes udtrykkelige samtykke.
- I de tilfælde, der er omhandlet i stk. 2, litra a) og c), skal den dataansvarlige gennemføre passende foranstaltninger til at beskytte den registreredes rettigheder og friheder og legitime interesser, i det mindste retten til at opnå menneskelig indgriben fra dens side. registeransvarlig for at give udtryk for sit synspunkt og at anfægte beslutningen.
- 3A. § 14 i loven fra 2018 og bestemmelser i henhold til denne paragraf indeholder bestemmelser om at beskytte de registreredes rettigheder, friheder og legitime interesser i sager, der falder ind under litra b) i stk. 2 (men ikke inden for litra a) eller c). i dette stykke).
- 4. Afgørelser som omhandlet i stk. 2 må ikke baseres på særlige kategorier af personoplysninger som omhandlet i artikel 9, stk. 1, medmindre artikel 9, stk. 2, litra a) eller g), finder anvendelse og passende foranstaltninger til at beskytte dataene. subjektets rettigheder og friheder og legitime interesser er på plads.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Teknisk kommentar
Anvendelsesområde
Generelt er artikel 22 ikke relevant, hvis beslutninger berører flere registrerede personer eller grupper af individer forbundet med bestemte variabler – f.eks. alder, køn, placering.
I stedet fokuserer loven på den enkeltes – altså én persons – rettigheder til ikke at blive underlagt profilering uden dennes samtykke.
Hvad er en 'beslutning'
På trods af at det er det primære emne, er beslutninger noget af en gråzone. Loven er uklar med hensyn til, hvad der er en afgørelse. Disse kan spænde fra en beslutning fra en statslig myndighed eller noget, der er lettere genkendeligt, såsom en kreditvurdering eller handlinger, der er truffet på en realkreditansøgning.
For at gøre tingene endnu mere vage, kan beslutninger også udgøre en holdning eller mening til en registreret, baseret på deres data, men kun hvis der er sandsynlighed for, at der bliver handlet på det.
Juridiske virkninger
En 'retlig virkning' er en bindende handling, der træffes over for en person. Afgørelser er scenarier som f.eks. et ydelseskrav, en selvangivelse eller en sundhedsvurdering.
Selvom nogle eller alle disse måske ikke specifikt ændrer en persons grundlæggende juridiske status, kan de stadig have en dybtgående indvirkning på denne persons liv, herunder:
- ændring af en persons omstændigheder eller valg, der er tilgængelige for dem;
- har en langvarig effekt på en person i løbet af deres liv;
- (under visse omstændigheder) fører til diskrimination eller uretfærdige handlinger mod nogen.
ISO 27701 paragraf 7.2.2 og EU GDPR artikel 22
I dette afsnit taler vi om GDPR artikel 22(2)(a), 22(2)(b), 22(2)(c), 22(4)
Identifikation af et lovligt grundlag
For at danne et retsgrundlag for behandling af PII bør organisationer dokumentere deres handlinger og:
- søge samtykke;
- udarbejde en kontrakt eller kontakter;
- overholde eventuelle andre juridiske forpligtelser;
- beskytte de "vitale interesser" for de personer og grupper, de har data om;
- sikre, at de opererer i offentlighedens interesse og er en legitim interesse.
Organisationer skal også overveje eventuelle "særlige kategorier" af PII, der vedrører deres organisation, i deres dataklassifikationsskema (se ISO 27701, punkt 7.2.8) (klassifikationer kan variere fra region til region).
Hvis organisationer oplever ændringer i deres underliggende årsager til at behandle PII, bør dette straks afspejles i deres dokumenterede retsgrundlag.
Understøtter ISO 27701 klausuler
- ISO 27701 7.2.8
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 paragraf 7.3.10 og EU GDPR artikel 22
I dette afsnit taler vi om GDPR artikel 22 (1) og 22 (3)
Automatiseret beslutningstagning
Organisationer bør tage højde for jurisdiktionsvariationer i automatiseret beslutningstagning vedrørende PII.
Organisationer bør respektere et individs ret til at gøre indsigelse og anmode om menneskelig indgriben i stedet for automatiserede procedurer.
Indeks over linkede EU GDPR-artikler og ISO 27701-klausuler
| GDPR artikel | ISO 27701 klausul | ISO 27701 understøttende klausuler |
|---|---|---|
| EU GDPR artikel 22 (2)(a), 22(2)(b), 22(2)(c), 22(4) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| EU GDPR artikel 22 (1) og 22 (3) | ISO 27701 7.3.10 | Ingen |
Hvordan ISMS.online hjælper
Ved at tilføje en PIMS til din ISMS på ISMS.online platformen forbliver din sikkerhedsposition alt-på-et-sted, og du undgår duplikering, hvor standarderne overlapper hinanden.
Med dit PIMS øjeblikkeligt tilgængeligt for interesserede parter, har det aldrig været nemmere at overvåge, rapportere og revidere i forhold til både ISO 27701 og ISO 27001 med et klik på en knap.
Find ud af, hvor meget tid og penge du vil spare på din rejse til en kombineret ISO 27701- og ISO 27001-certificering ved hjælp af ISMS.online af booking af en demo.
