Δικαίωμα στη μη αυτοματοποιημένη ατομική λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ

Οι υπεύθυνοι επεξεργασίας, προκειμένου να προβαίνουν νομίμως σε αυτοματοποιημένη επεξεργασία δεδομένων –συμπεριλαμβανομένης της κατάρτισης προφίλ– πρέπει να τηρούν τις αρχές της θεμιτής επεξεργασίας και να έχουν νόμιμη βάση επεξεργασίας.

Στο πλαίσιο αυτό διασφαλίζουν τη διαφάνεια της επεξεργασίας, παρέχοντας πληροφορίες στα υποκείμενα των δεδομένων, ελαχιστοποιώντας τα δεδομένα προσωπικού χαρακτήρα που τηρούν, φροντίζοντας να είναι ακριβή, επαληθεύοντάς τα, ακολουθώντας τους ενδεδειγμένους χρόνους τήρησής τους και επικαιροποιώντας τα σε τακτική βάση.

Ειδικότερα, πρέπει να είναι σε θέση να δικαιολογούν την ανάγκη της συλλογής και χρήσης προσωπικών δεδομένων για την κατάρτιση προφίλ για τον σκοπό επεξεργασίας που επιδιώκουν κάθε φορά, διαφορετικά οφείλoυν να επιλέξουν ανωνυμοποιημένα ή ψευδοανωνυμοποιημένα δεδομένα.

Ειδικά για απόφαση που παράγει έννομα αποτελέσματα που αφορούν το υποκείμενο ή το επηρεάζουν σημαντικά, με αποκλειστικά αυτοματοποιημένη μέθοδο, συμπεριλαμβανομένης της κατάρτισης προφίλ ισχύουν τα ακόλουθα:

  • Ο υπεύθυνος επεξεργασίας μπορεί νομίμως να λαμβάνει τέτοια απόφαση, σύμφωνα με το άρθρο 22 παρ. 2 ΓΚΠΔμόνον εάν το υποκείμενο έχει παράσχει ρητή συγκατάθεση ή όταν η απόφαση είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ υποκειμένου των δεδομένων και υπευθύνου επεξεργασίας ή η εν λόγω απόφαση επιτρέπεται από το δίκαιο της Ένωσης ή κράτους μέλους, στο οποίο υπόκειται ο υπεύθυνος και το οποίο προβλέπει κατάλληλα μέτρα για την προστασία των δικαιωμάτων του υποκειμένου.
  • Εάν η εν λόγω απόφαση λήφθηκε ως αναγκαία για τη σύναψη ή εκτέλεση σύμβασης μεταξύ του υπευθύνου επεξεργασίας και του υποκειμένου ή βάσει της ρητής συγκατάθεσης του υποκειμένου, το τελευταίο έχει το δικαίωμα να την αμφισβητήσει και ο υπεύθυνος υποχρεούται να εφαρμόσει κατάλληλα μέτρα για την προστασία των δικαιωμάτων του, όπως να εξασφαλίζει την ανθρώπινη παρέμβαση στη λήψη της απόφασης ή το δικαίωμα έκφρασης άποψης καθώς και αμφισβήτησης της απόφασης από το υποκείμενο.
  • Εφόσον ο υπεύθυνος επεξεργασίας προβαίνει σε αυτοματοποιημένη επεξεργασία των δεδομένων, περιλαμβανομένης της κατάρτισης προφίλ, παρέχει στο υποκείμενο των δεδομένων, κατά τη λήψη των δεδομένων (όταν τα έχει συλλέξει από το ίδιο) ή σε εύλογο χρόνο (όταν αυτά έχουν ληφθεί από άλλη πηγή), εκτός από τις πληροφορίες που περιλαμβάνονται στα άρθρα 13 και 14 ΓΚΠΔ, και τις εξής επιπλέον πληροφορίες:
    • σχετικά με το αν και κατά πόσον λαμβάνει χώρα αυτοματοποιημένη λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ,
    • σχετικά με τη λογική που ακολουθείται,
    • σχετικά με τη σημασία και τις προβλεπόμενες συνέπειες της επεξεργασίας,
    • το αργότερο κατά την πρώτη επικοινωνία με το υποκείμενο των δεδομένων, ο υπεύθυνος επεξεργασίας επισημαίνει το δικαίωμα του υποκειμένου για εναντίωση το οποίο περιγράφεται με σαφήνεια και χωριστά από οποιαδήποτε άλλη πληροφορία.
  • Το υποκείμενο των δεδομένων δικαιούται, και στην περίπτωση που λαμβάνει χώρα κατάρτιση προφίλ, να εξασφαλίζει τον περιορισμό της επεξεργασίας σε οποιοδήποτε στάδιο αυτής, σύμφωνα με το άρθρο 18 ΓΚΠΔ.
  • Ο υπεύθυνος επεξεργασίας είναι υποχρεωμένος να διαγράψει τα σχετικά προσωπικά δεδομένα, εάν η βάση της κατάρτισης προφίλ είναι η συγκατάθεση του υποκειμένου και αυτή ανακληθεί ή το υποκείμενο ασκήσει το δικαίωμα διαγραφής των δεδομένων του, κατά το άρθρο 17 ΓΚΠΔ, εφόσον δεν συντρέχει άλλη νομική βάση επεξεργασίας, σύμφωνα με τις διατάξεις του Κανονισμού.
  • Το υποκείμενο των δεδομένων δικαιούται να αντιτάσσεται, ανά πάσα στιγμή και για λόγους που σχετίζονται με την ιδιαίτερη κατάστασή του, στην επεξεργασία δεδομένων προσωπικού χαρακτήρα που το αφορούν, η οποία βασίζεται στο άρθρο 6 παρ. 1 στοιχείο στ’ του Κανονισμού, περιλαμβανομένης της κατάρτισης προφίλ (άρθρο 21 παρ.1 ΓΚΠΔ). O υπεύθυνος επεξεργασίας δεν υποβάλλει πλέον τα δεδομένα προσωπικού χαρακτήρα σε επεξεργασία, εκτός εάν καταδείξει επιτακτικούς και νόμιμους λόγους για την επεξεργασία, οι οποίοι υπερισχύουν των συμφερόντων, των δικαιωμάτων και των ελευθεριών του υποκειμένου ή για τη θεμελίωση, άσκηση ή υποστήριξη νομικών αξιώσεων (άρθρο 21 παρ. 2 ΓΚΠΔ).
  • Όταν τα υποκείμενα των δεδομένων αντιτίθενται στην επεξεργασία των προσωπικών δεδομένων τους για σκοπούς απευθείας εμπορικής προώθησης, τα δεδομένα αυτά δεν υποβάλλονται πλέον σε επεξεργασία για τους σκοπούς αυτούς (άρθρο 21 παρ. 3 ΓΚΠΔ).

Για περισσότερες πληροφορίες μπορείτε να ανατρέξετε στις κατευθυντήριες γραμμές για την αυτοματοποιημένη λήψη αποφάσεων και την κατάρτιση προφίλ για τους σκοπούς του ΓΚΠΔ (WP251rev.01) που εξέδωσε η Ομάδα εργασίας του άρθρου 29 και έχουν εγκριθεί από το ΕΣΠΔ.

Συμμόρφωση του υπευθύνου επεξεργασίας

 

Πληροφορίες σχετικά με τον τρόπο άσκησης δικαιώματος από το υποκείμενο των δεδομένων, τον χρόνο παροχής πληροφοριών κατόπιν αιτήματος άσκησης δικαιώματος και το ελάχιστο περιεχόμενο ενημέρωσης σε περίπτωση μη ικανοποίησης δικαιώματος είναι διαθέσιμες στην ενότητα «Δικαίωμα ενημέρωσης και διαφάνεια».