Kas olete tutvunud isikuandmete kaitse üldmääruse sätetega profiilianalüüsi kohta?

EL-i isikuandmete kaitse üldmäärus jõustub 2018. aasta mais. See määrus mõjutab klientide automaatset hindamist ning sätestab reeglid automaatse krediidiotsuse teostamise kohta. Mida tähendab see Teile ja Teie klientidele?
Are you prepared for the GDPR?

Uue määrusega kehtestatakse uued operatiivnõuded, mida ettevõtted ja organisatsioonid peavad isikuandmete töötlemisel alates 2018. aasta maist järgima. Määrus käsitleb ka seda, kuidas inimesi, nt kliente või töökoha taotlejaid tohib andmetöötluse teel automaatselt hinnata (tuntud ka kui profiilianalüüs).

Mis on profiilianalüüs?

Üldiselt on profiilianalüüsi eesmärk ennustada indiviidi käitumist tulevikus näiteks tema eelnevate tegude alusel. Profiilianalüüsi defineeritakse uues üldmääruses kui mistahes automaatset isikuandmete töötlust personaalsete tunnuste hindamiseks, kui sellel on inimesele õiguslikud tagajärjed. Näiteks võib hindamine hõlmata inimese sooritust tööl, majanduslikku olukorda, isiklikke eelistusi ja huvisid, usaldusväärsust või käitumist tulevikus.

Profiilianalüüsi defineeritakse uues üldmääruses kui mistahes automaatset isikuandmete töötlust personaalsete tunnuste hindamiseks, kui sellel on inimesele õiguslikud tagajärjed.

Teile on oluline teada, et uus üldmäärus lubab jätkuvalt inimeste profileerimist ilma nende nõusolekuta.

Kuid sellel on mõned erandid.

Määruse kohaselt on tegemist profiilianalüüsiga, kui andmetöötlus on täielikult automatiseeritud. See tähendab, et kui hindamine hõlmab käsitsi teostatud etappe, ei saa seda määruse kohaselt enam defineerida profiilianalüüsina. Samuti ei peeta profiilianalüüsiks seda, kui andmetöötlus toimub andmete põhjal, mida ei saa tuvastada indiviidile kuuluvaks.

Tähtis osa definitsioonist on ka see, et otsus, millel on isikule õiguslikud või muul moel märkimisväärsed tagajärjed, peab põhinema hindamisel. Määrus ei täpsusta, mida need otsused võiksid praktikas endast kujutada. Tegelikult hõlmab uue üldmääruse kohaselt profiilianalüüsi mõiste automaatseid tarbijakrediidi otsustusmudeleid, mida kasutatakse taotleja krediidireitingu või tuleviku maksekäitumise hindamiseks ning samuti otsuse langetamiseks krediiditaotlusele positiivse või negatiivse vastuse andmisel.

On tähtis, et isikuõigused oleksid kaitstud

Isikuandmeid tohib töödelda ning isikuid profileerida vaid juhul, kui isikuandmete kaitse üldmääruse (artikkel 6) nõuded on täidetud. Praktikas on andmetöötluse võimaldamise aluseks isiku nõusolek või astumine lepingulisse suhtesse. 

Isikuandmete kaitse üldmäärus kirjeldab põhjalikult isikuandmete automaatse töötlemisega seotud isiku õigusi.

1) Isikutel on õigus olla teavitatud nende andmete kasutamisest profiilianalüüsis. Isikuandmete kaitse üldmäärus (artiklid 13 ja 14) kohustab ettevõtteid teatama oma kavatsusest rakendada profiilianalüüsi ning esitama asjassepuutuvaid fakte profiilianalüüsi loogikast, tähtsusest ja prognoositavatest tagajärgedest. Isikutel on andmetega tutvumise õiguse (artikkel 15) alusel õigus pääseda ligi samale teabele. Profiilianalüüsi loogikat ja tähtsust võib klientidele selgitada näiteks näidete alusel.
2) Isikuandmete töötlemisele ja seega profiilianalüüsile on võimalik esitada vastuväiteid (artikkel 21), kui andmetöötlus toimub avalikes huvides või avaliku võimu teostamisel (artikli 6 lõike 1 punkt e) või kui see on vajalik vastutava töötleja või kolmanda isiku õigustatud huvi korral (artikli 6 lõike 1 punkt f). Seega ei laiene õigus esitada vastuväiteid profiilianalüüsile olukordadele, kus profiilianalüüs teostatakse selleks, et astuda isikuga lepingulisse suhtesse, nagu see on krediidiotsuste puhul.
3) Isikutel on õigus, et nende kohta ei võetaks vastu otsust (artikkel 22), mis põhineb üksnes automatiseeritud töötlusel, mis toob kaasa neid puudutavaid õiguslikke tagajärgi või avaldab neile märkimisväärset mõju. See õigus ei kehti mistahes olukorras, kus profiilianalüüs ja sellele järgnev otsustusprotsess on vajalikud isiku ja ettevõtte vahelise lepingu sõlmimiseks või kui seda tehakse isiku nõusolekul. See nõue ei välista krediidiotsuse langetamise eesmärgil teostatavat profiilianalüüsi.

Mistahes juhul peab krediidipakkuja alati kaitsma isiku õigusi. Minimaalselt on krediiditaotlejal õigus nõuda, et tema taotlust menetletaks näiteks automatiseeritud süsteemi asemel füüsilise isiku poolt. Taotluse teistkordne menetlemine ei tähenda, et tulemus oleks tingimata erinev.

Pange tähele artikli 29 töörühma suuniseid
Artikli 29 töörühm on koostööorgan, kuhu kuuluvad ELi liikmesriikide määratud riiklike järelevalveasutuste esindajad, ja kes formuleerib ja avaldab isikuandmete kaitse üldmäärust käsitlevaid suuniseid. Nendel saab olema isikuandmete kaitse üldmääruse tõlgendamisel tähtis roll. Seni on avaldatud kolm suunist: andmete liikuvuse, andmekaitseametnike (DPO-d) ja juhtivate järelevalveasutuste kohta.

Üldmääruse artiklid ei täpsusta, milline oleks õigupoolest otsus, millel on isikule õiguslikud või samaväärselt olulised tagajärjed. Seetõttu peaks tulevikus eriti tähelepanelikult jälgima artikli 29 töörühma suuniseid.

Ettevõtted peaksid oma äriprotsessid üle vaatama ning tegema kindlaks kõik olukorrad, kus esineb üldmääruse kohane profiilianalüüs, st kus hinnatakse isiklikke aspekte, mille põhjal langetatakse isikut mõjutav otsus. Alates 2018. aasta maist tuleb tagada, et isikul, kelle suhtes teostatakse profiilianalüüsi, oleks võimalus oma arvamust avaldada, otsuse kohta vastuväiteid esitada või nõuda vajaduse korral oma juhtumi käsitsi töötlemist. Lisaks tuleb tagada, et järgitakse üldmäärusest tulenevat profiilianalüüsist teatamise kohustust.

prerae for the GDPR

Lugege meie kümmet soovitust isikuandmete kaitse üldmääruseks valmistumisel