Що таке автоматизоване прийняття рішень у GDPR?

Автоматизоване прийняття рішень (ADM) згідно із Загальним регламентом про захист даних (GDPR) визначається як будь-яке рішення, прийняте без втручання людини за допомогою технологічних засобів, таких як алгоритми або штучний інтелект. Прикладами є автоматизовані рекомендації товарів та алгоритмічне виявлення шахрайства в банківській сфері. Як зазначено у статті 22 GDPR, фізичні особи («суб'єкти даних») мають право не бути об'єктом рішення, що ґрунтується виключно на автоматизованій обробці, включно з профілюванням, особливо якщо такі рішення створюють юридичні наслідки або суттєво впливають на них.

Три основні підстави, за яких ADM є допустимим:

• Виконання договору: ADM є необхідним для укладення або виконання договору між суб'єктом даних та компанією.
• Законодавчий дозвіл: ADM дозволено законодавством Союзу або держави-члена, наприклад, для моніторингу ухилення від сплати податків.
• Явна згода: Суб'єкт даних надав явну згоду на обробку.

Спостерігаються юридичні та практичні наслідки:

• Компанії, що впроваджують ADM, повинні забезпечити такі гарантії, як значуще втручання людини, можливість для фізичних осіб висловлювати свою думку та можливість оскаржувати рішення.
• Поняття «суттєвого впливу» тлумачиться широко і може включати вплив на кредитоспроможність, можливості працевлаштування або доступ до державних послуг.
• Системи ADM спричинили пильну увагу з боку регуляторів щодо прозорості, алгоритмічної упередженості та адекватності механізмів згоди користувачів.
• Нещодавні емпіричні дослідження показують, що багато організацій не мають належних процесів для повної відповідності статті 22, особливо щодо надання пояснень та ефективних процедур оскарження.

Отже, GDPR обмежує ADM, що має значні наслідки, за винятком випадків, коли дотримано суворих юридичних умов та впроваджено чіткі гарантії. У літературі наголошується на поточних викликах у практичній реалізації цих гарантій та забезпеченні значущого людського нагляду.