Hneď na úvod niekoľko upozornení pre prevádzkovateľov AI (Artifical Inteligence - umelej inteligencie) a/alebo ATS (Applicant Tracking System - elektronický informačný systém pre podporu procesu náboru v celom jeho životnom cykle), ktoré platia už teraz podľa nariadení GDPR, ale platia aj pri novom zákone o AI:
dotknutá osoba má právo na neúčinnosť automatizovaného individuálneho rozhodovania, vrátane profilovania,
dotknutá osoba má právo požiadať o preverenie výsledku prostredníctvom neautomatizovaného zásahu (tzv. právo na ľudský zásah),
prevádzkovateľ automatizovaného rozhodovania je povinný žiadosti dotknutej osoby vyhovieť,
využitie automatizovaného rozhodovania a profilovania je podmienené nevyhnutnosťou. Nejde o automatické právo prevádzkovateľa, pretože sa tak len rozhodol.
Rozhodnutie má právne účinky vtedy, ak spôsobuje vznik, zmenu, zánik práv alebo povinností dotknutej osoby, resp. znemožňuje dotknutej osobe výkon jej práva. Ako na všetko, aj tu treba ale prípad od prípadu zvažovať všetky súvislosti a nie je možné kopírovať riešenia od iných.
Jeden príklad za všetky z HR oddelenia: Rozhodovanie založeného na profilovanie je situácia, ak o pozvaní na pracovný pohovor rozhodne personalista, a to na základe profilu vytvoreného čisto za pomoci automatizovaných (technických) prostriedkov. Príkladom výhradne automatizovaného rozhodovania, vrátane profilovania, je situácia, ak o pozvaní na pracovný pohovor rozhoduje algoritmus a pozvánka je doručená vhodným potenciálnym uchádzačom o zamestnanie bez akéhokoľvek ľudského zásahu.
Automatizované systémy už nie sú len súčasťou výroby, ale prenikajú aj do rozhodovania. Dokážu si samé získať vstupné údaje z rôznych zdrojov (najmä v online prostredí), bez zaujatosti a emócií vyhodnotiť ľudské vlastnosti i schopnosti a predpovedať tak napríklad kvalitu uchádzača o zamestnanie.
Nedokážu však vziať do úvahy okolnosti konkrétneho prípadu hodné osobitného zreteľa, a tak samotné profilovanie a následne i rozhodnutie prijaté na automatizovanom spracúvaní môže byť nesprávne i nespravodlivé.
Preto čl. 22 GDPR a § 28 zákona o ochrane osobných údajov priznávajú dotknutej osobe právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní osobných údajov, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú, alebo ju obdobne významne ovplyvňujú.
Čo je to profilovanie?
Profilovanie je podľa čl. 4 ods. 4 GDPR a podľa § 5 písm. g) zákona o ochrane osobných údajov akákoľvek forma automatizovaného spracúvania osobných údajov spočívajúca v použití osobných údajov na vyhodnotenie určitých osobných znakov alebo charakteristík týkajúcich sa fyzickej osoby, najmä na analýzu alebo predvídanie znakov alebo charakteristík dotknutej osoby súvisiacich s jej výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.
Profilovanie nie je a priori podľa nariadenia GDPR a ani zákona o ochrane osobných údajov zakázané. Je však dôležité, aby bolo predvídateľné a aby sa uskutočňovalo na základe zákonných pravidiel. Automatizované rozhodovanie predstavuje možnosť rozhodovať čisto technologickými prostriedkami na základe ľubovoľného druhu údajov. Nie je podstatné, či je automatizované rozhodovanie výsledkom posúdenia údajov poskytnutých samotnými jednotlivcami, vypozorovaných, odvodených či vyvodených dát. Podstatné je, že ide o rozhodnutie bez ľudského zásahu.
Automatizované rozhodovanie môže byť uskutočnené s použitím profilovania alebo aj bez neho.
Ako to funguje v praxi?
Prevádzkovateľ zadáva na začiatku vstupné parametre (spravidla osobné údaje dotknutej osoby v rôznom rozsahu), ktoré vytvorená aplikácia alebo určený algoritmus vyhodnotia a vygenerujú výsledok. Takto generované rozhodnutie môže mať na dotknutú osobu významný vplyv a môže voči nej založiť aj právne účinky.
Ako sme už uviedli vyššie, vygenerovaná informácia o určitých vlastnostiach či predispozíciách môže ovplyvniť zamestnávateľa, ktorý sa rozhodne výsledky využiť na zamietnutie žiadosti uchádzača o prijatie do pracovného pomeru. A aj keď vstupné zadávané parametre navonok pôsobia neutrálne, nie je možné s istotou vylúčiť, že vo vzájomných kombináciách ide v podstate o chránené charakteristiky, na ktoré by sa z dôvodu rešpektovania zásady rovnakého zaobchádzania vôbec nemalo prihliadať!
Rovnako ako v prípade profilovania GDPR, ani zákon o ochrane osobných údajov nezakazujú rozhodovanie založené na profilovanie, ale v prípade použitia výlučne automatizovaného rozhodovania, vrátane profilovania, priznávajú dotknutej osobe právo na to, aby sa na ňu nevzťahovalo rozhodnutie, ktoré je založené výlučne na automatizovanom spracúvaní, vrátane profilovania, a ktoré má právne účinky, ktoré sa jej týkajú, alebo ju podobne významne ovplyvňujú (čl. 22 ods. 1 GDPR a § 28 ods. 1 zákona o ochrane osobných údajov).
Zákaz automatizovaného rozhodovania, vrátane profilovania, sa uplatní len za predpokladu, že:
rozhodnutie alebo profilovanie je založené výlučne na automatizovanom spracúvaní osobných údajov a je momentálne otázne, čo presne sa bude rozumieť ľudskou intervenciou, ktorá znemožní dotknutej osobe uplatňovanie jej práva a vylúčiť automatizované rozhodovanie. Výber parametrov vstupujúcich do profilovania/automatizovaného spracúvania, ako aj formálne potvrdenie či prijatie výsledkov takejto činnosti dozerajúcou osobou, sú ľudské zásahy neohrozujúce výlučnosť automatizovaného procesu. O výlučne automatizovanom spracúvaní môžeme hovoriť, ak konečné rozhodnutie nie je ovplyvnené žiadnym ďalším faktorom, ktorý by vzala do úvahy ľudská bytosť.
rozhodnutie má právne účinky, ktoré sa dotknutej osoby týkajú, alebo ju podobne významne ovplyvňujú. Príkladom môže byť je ukladanie pokút za rýchlosť len na základe dôkazu z kamier merajúcich rýchlosť, ktoré ako príklad uvádza stanovisko WP č. 251 k automatizovanému individuálnemu rozhodovaniu a profilovaniu.
O automatizované rozhodovanie, vrátane profilovania by išlo vtedy, ak by nejaký čas bolo správanie jednotlivca na cestách pozorované a výška pokuty by bola potom odstupňovaná v závislosti od toho, koľkokrát a v akom období sa už jednotlivec dopustil priestupkov na úseku cestnej premávky.
Automatické rozhodovanie v práci
Ak teda zamestnávateľ využíva aplikácie na vyhodnotenie čo najvhodnejšieho kandidáta na obsadzované pracovné miesto, alebo vyhodnotenie pracovných výkonov zamestnancov s priznaním/nepriznaním variabilnej zložky mzdy, je jeho činnosť automatizovaným spracúvaním s právnymi účinkami a zamestnanec má právo žiadať, aby sa na neho takéto rozhodovanie nevzťahovalo.
Podľa článku 22 ods. 2 GDPR a § 28 ods. 2 zákona o ochrane osobných údajov však dotknutá osoba nemá právo žiadať vylúčenie automatizovaného rozhodovania vo vzťahu k svojej osobe, ak je automatizované spracúvanie:
nevyhnutné pre uzavretie alebo na plnenie zmluvy medzi dotknutou osobou a prevádzkovateľom; alebo
zamestnávateľ môže mať záujem na využití automatizovaného rozhodovania z viacerých legitímnych dôvodov. Automatizované rozhodovanie šetrí čas pri spracúvaní väčšieho množstva dát, zlepšuje účinnosť rozhodovacieho procesu, eliminuje chyby spôsobené ľudským faktorom.
Záznamy o pracovnom čase sú osobnými údajmi zamestnanca. Je potrebné si však uvedomiť, že využitie automatizovaného rozhodovania podmieňuje nevyhnutnosť. Napríklad rozhodnutím potrebným na plnenie záväzkov z pracovnej zmluvy môže byť rozhodnutie zamestnávateľa o rozvrhovaní pracovného času. Ak zamestnávateľ využíva na plánovanie a rozvrhovanie pracovných zmien zamestnancov počítačový program, ide o automatizované rozhodovanie. To, či zamestnanec môže voči svojej osobe vylúčiť takéto automatizované rozhodovanie, záleží od toho, či takýto druh spracúvania je, alebo nie je nevyhnutný pre plnenie pracovnej zmluvy. Nevyhnutnosť má byť pritom posudzovaná s prihliadnutím na to, či by na dosiahnutie rovnakého cieľa mohla byť zvolená aj iná, menej invazívna metóda.
Je možné ale predpokladať, že rozvrhovanie pracovných zmien, ktoré je výsledkom automatizovaného rozhodovania, nie je spôsobilé zasiahnuť do práv dotknutej osoby natoľko vážne, že by malo byť a priori vylúčené. Všetko však závisí od posúdenia okolností konkrétneho prípadu, pretože naprogramovaná aplikácia nie je automaticky zárukou, že sú rešpektované všetky zákonné aspekty rozvrhovania pracovného času.
vykonané na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, a v ktorých sú zároveň ustanovené aj vhodné opatrenia zaručujúce ochranu práv a oprávnených záujmov dotknutej osoby; podľa recitálu 71 GDPR by mohlo ísť napríklad o monitorovania podvodov a daňových únikov a ich predchádzaniu, ktoré sa uskutočňuje v súlade s právnym predpismi, normami a odporúčaniami inštitúcií Európskej únie alebo vnútroštátnych orgánov dozoru a na zaistenie bezpečnosti a spoľahlivosti služby poskytovanej zo strany prevádzkovateľa.
založené na výslovnom súhlase dotknutej osoby s takouto formou jeho spracúvania. Súhlas ale nie je právne relevantným základom pre spracúvanie, ak dotknutá osoba nemá na výber, napríklad v situáciách, kde je súhlas s automatizovaným spracúvaním nevyhnutným predpokladom poskytnutia služby alebo v situáciách, kde je nerovnováha síl, ako napríklad vo vzťahu zamestnávateľ – zamestnanec.
Prevádzkovateľ, ktorý sa však spolieha na súhlas ako na právny základ automatizovaného spracúvania, bude musieť preukázať, že dotknuté osoby presne chápu, k čomu súhlas udeľujú.
Vo vzťahu k profilovaniu sú využiteľné iba také právne základy ako pri spracúvaní všeobecných (bežných) a citlivých osobných údajov. Dotknutá osoba síce nemôže žiadať úplne vylúčenie automatizovaného rozhodovania vo vzťahu k svojej osobe, no môže požiadať prevádzkovateľa o preverenie výsledku prostredníctvom neautomatizovaného zásahu (tzv. právo na ľudský zásah), má právo vyjadriť svoje stanovisko a tiež právo napadnúť rozhodnutie.
Informačná povinnosť prevádzkovateľa
Pre účinné uplatňovanie vyššie uvedených práv právna úprava zdôrazňuje povinnosť prevádzkovateľa poskytnúť dotknutej osobe informácie o existencii automatizovaného individuálneho rozhodovania, vrátane profilovania.
Konkrétne prevádzkovateľ poskytne dotknutej osobe zmysluplné informácie o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takéhoto spracúvania (viď právo na informácie).
Je úlohou prevádzkovateľa nájsť jednoduchý spôsob, ako dotknutej osobe vysvetliť podstatu a kritériá, na ktorých automatizované rozhodovanie spočíva. Nejde o to, aby dotknutej osobe vysvetlil, alebo odhalil celý algoritmus, poskytnutá informácia však má by pre dotknutú osobu zmysluplná. Právo na prístup oprávňuje dotknuté osoby na získanie rovnakých informácií o výlučnom automatizovanom rozhodovaní, vrátane profilovania (viď právo na prístup).