EU:n tietosuoja-asetuksen profilointia ja automatisoitua päätöstä koskeva keskustelu sai uutta vettä myllyyn kun EU:n tietosuojavaltuutettujen ryhmän WP29:n ohjeistusluonnos (pdf) asiasta oli äskettäin lausunnolla. Monet asiantuntijat hieraisivat muutaman kerran silmiään luonnoksen eräiden tulkintojen kohdalla. Teemasta ”GDPR ja profilointi” on ollut käynnissä jo pidempään melkoinen kysymyskaruselli joka vain kiihtyy kun yritykset hilaavat GDPR-toteutuksiaan konkreettisesti toteutettavaksi palveluprosesseihin ja asiakasrajapintaan.
Olen alle koonnut viime aikoina kuulemiani erilaisia kysymyksiä 22 artiklasta, jota usein erheellisesti profilointi-artiklaksi kutsutaan. Niinpä heti ja isosti täytyy tarkentaa että artiklahan ei varsinaisesti profilointiartikla vaan nimenomaan automatisoitua päätöksentekoa koskeva artikla. GDPR näkee tavanomaisen profiloinnin osana modernia datan käsittelyä johon 22 artiklan sääntely ei pääosin sovellu. ASML:n jäsenpalvelussa tulee usein annettua vastauksia ja konseptointiapua asian äärellä mutta kysymysparven osalta ”jätän tämän nyt vain tähän”. Kysymysten kirjo itsessään kertoo että 22 artikla ei todella ole lopputulemaltaan kovin onnistunut. Monet alla olevista kysymyksistä on kirjattu muistinvaraisesti, mutta kysyjien substanssituskaa kunnioittaen. Jos tuntuu että kysymykset ovat tiettyyn suuntaan kallellaan niin siihen on allekirjoittaneen toimenkuvalla varmasti vaikutusta.
Karuselli
Article 22 Automated individual decision-making, including profiling
1. The data subject shall have the right not to be subject to a decision based solely on automated processing, including profiling, which produces legal effects concerning him or her or similarly significantly affects him or her.
# Tuo 22.1 alkuosa ei ole profilointikohta lainkaan, vaan suppeaa vaikutukseltaan vakavien automatisoitujen päätöksien joukkoa koskeva koskeva, eikö niin?
# Koko artiklassa toistuu joka kohdassa päätös-termi, ”decision”. Onko kaikki henkilötietoihin perustuvat toimenpiteet joissa voisi tehdä toisinkin, päätöksiä?
# ”Right not to be subject”- tarkoittaako tämä oikeuttaa kiistää automatisoitu päätös vai oikeutta valita ihminen tekemään päätös?
# Eikö monet henkilötietoihin perustivat automatisoidut toimenpiteet ole ihan muita toimenpiteitä kuin päätöksiä?
# Eihän tämä ole mikään kielto-oikeus kun sitä niin ei ole artiklaan kirjoitettu?
# Profilointi ei viittaa 22.1:ssä päätökseen vaan prosessiin (automated processing), vai mitä?
# WP29 on kuulemma ehdottanut että osa kohdennetusta markkinoinnista voisi olla ”similarly significantly affects” -päätös – oikeastiko henkilön netissä kohtaaman mainoskirjon yksi sisältö olisi joku merkittävä päätös, eihän henkilö edes vielä tehnyt eikä ostanut mitään?
# Pitääkö kohdennetun markkinoinnin osalta, jos sitä joutuu lainkaan tässä pohtimaan, ensin hahmottaa perustuuko kohdennus henkilötietoihin ja vai muihin kohdennusperusteisiin?
# Olemme vain automatisoineet tietyt prosessit joissa tiettyjen raja-arvojen väliin sijoittuvat henkilön toimintaan liittyvät faktat johtavat ilman harkintaa automaattisesti sääntöjen mukaiseen lopputulemaan, ihan niin kuin vanhassa henkilöiden suorittamassa käsittelyprosessissammekin – onko uusi prosessi tämän kohdan piirissä?
# Siis kohdennetun mainoksen saaminen silmiensä eteen olisi vähän niin oikeusvaikutus, really?
# Onko kukaan virkamies oikeasti miettinyt miten tämä artikla käytännössä tarkoittaa yhä enemmän automatisoiduissa palveluissa ja prosesseissa?
# Onko totta että WP29 katsoisi henkilön päätymisen ryhmätason segmenttiin jotenkin artiklan piiriin kuuluvaksi vakavaksi päätöksesi itsessään? Eikö segmentointi yms. ole liiketoiminnan sisäistä massatason ohjausta joka tehdään liikesalaisuusperusteisilla muuttujilla?
# 22.1 artiklassa puhtaan profiloinnista, eikös profiloinnin määritelmässä GDPR:ssä puhuta henkilön käyttäytymisen arvioinnista (”evaluation”), entäs jos ei arvioi eikä tee ”evaluovia” valintoja vaan vain suorittaa mekaanisesti?
2. Paragraph 1 shall not apply if the decision:
(a) is necessary for entering into, or performance of, a contract between the data subject and a data controller;
(b) is authorised by Union or Member State law to which the controller is subject and which also lays down suitablemeasures to safeguard the data subject’s rights and freedoms and legitimate interests; or
(c) is based on the data subject’s explicit consent.
3. In the cases referred to in points (a) and (c) of paragraph 2, the data controller shall implement suitable measuresto safeguard the data subject’s rights and freedoms and legitimate interests, at least the right to obtain human intervention on the part of the controller, to express his or her point of view and to contest the decision.
4. Decisions referred to in paragraph 2 shall not be based on special categories of personal data referred to inArticle 9(1), unless point (a) or (g) of Article 9(2) applies and suitable measures to safeguard the data subject’s rights and freedoms and legitimate interests are in place.
# Sopimuksen irtisanominen on meillä täysin automatisoitu tietyissä yksiselitteisissä tilanteissa, onhan se sopimuksen täytäntöönpanoa?
# Joka kohdassa, kuten 22.2- ja 3-kohdissa toistuu tuo ”decision”, viittaako se 22.1:n tarkoittamaan täysin automatisoituun päätökseen ja sitten ovat muut päätökset erikseen?
# Onko kukaan oikeasti miettinyt mitä tämä sopimus- ja suostumustilanteissa käytännössä tarkoittaa?
# Jos ottaa ennen automatisoitua päätöstä asiakkaalta erillisen ”mulle sopii” -suostumuksen niin pääseekö velvoitteita pakoon?
# Tämä oikeus saada ”human intervention” automatisoidussa palvelun sulkemisessa esim. väärinkäytös- ja maksamattomuustapauksissa – tuo ei voi tarkoittaa mitään etukäteistä oikeutta valita ”ei-automatisoitua prosessia”, eihän?
# Yritä nyt tässä tehdä sitten käteviä digipalveluita asiakkaille!
# Siis onko finanssialan start-upin jolla koko konsepti perustuu täysin automatisoituihin nopeisiin ja asiakkaalle vaivattomiin prosesseihin mobiiilisovelluksessa, rakennettava tarjoomaansa joku manuaalinen asiakasprosessi?
GDPR-vapaata Joulua kaikille rekisteröidyille ja rekisterinpitäjille!
