Berggren | Blogi

AUTOMAATTINEN PÄÄTÖKSENTEKO JA PROFILOINTI VAATIVAT HUOMIOTA TIETOSUOJAKÄYTÄNNÖISSÄ

Kirjoittanut Suvi Julin | 5.5.2020

Automaattinen päätöksenteko ja profilointi ovat henkilötietojen käsittelyä, joilla voi olla merkittäviä vaikutuksia erityisesti niiden kohteena olevan henkilön oikeuksiin. Tämän vuoksi ne vaativat erityistä huomiota ja huolellisuutta tietosuojakäytännöiltä, ja EU:n yleinen tietosuoja-asetus (”GDPR”) asettaa niiden käytölle erityisiä vaatimuksia, joita rekisterinpitäjän tulee toteuttaa. Näitä pohdimme äskettäin webinaarissamme, jonka tallenteen voit tilata täältä.

Profilointi tarkoittaa henkilötietojen automaattista käsittelyä, jossa arvioidaan ihmisen henkilökohtaisia ominaisuuksia

Profiloinnissa on kyse ennakoinnista ja analysoinnista, joka liittyy erityisesti työsuoritukseen, taloudellisen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai henkilön liikkeisiin.

Profilointi on luonteeltaan automaattista tai osittain automaattista, se kohdistuu henkilötietoihin ja nimenomaan arvioi tai pyrkii ennakoimaan henkilökohtaisia ominaisuuksia.

Yksinkertainen ikään, sukupuoleen ja vaikkapa kotikuntaan perustuva henkilöiden luokittelu ei välttämättä ole profilointia, vaan määritelmä riippuu siitä, mikä on luokittelun tarkoitus. Esimerkiksi yrityksen asiakkaiden, oppilaitoksen opiskelijoiden tai koulutuksen tarjoajan kursseille osallistujien luokittelu iän ja sukupuolen mukaan tilastollisia tarkoituksia varten, kun tarkoituksena on saada kokonaiskuva asiakkaista tekemättä ennakointia tai johtopäätöksiä yksittäisen asiakkaan tai opiskelijan piirteistä, on luokittelua. Siinä ei pyritä arvioimaan yksittäisen henkilön ominaisuuksia. Jos taas tarkoituksena on henkilökohtaisten ominaisuuksien arviointi ja sen perusteella esim. mainonnan kohdistaminen vaikkapa aiemman ostohistorian tai kurssivalintojen perusteella, kyse on profiloinnista.

Automaattinen päätöksenteko tapahtuu ilman ihmisen vaikutusta päätökseen ja päätös vaikuttaa sen kohteena olevaan henkilöön merkittävällä tavalla

Päätöksenteko on automaattista, kun on kyse pelkästään automaattiseen henkilötietojen käsittelyyn perustuvasta päätöksenteosta ilman luonnollisen henkilön vaikutusta ja sen tuloksena syntyvillä päätöksillä on oikeusvaikutuksia päätöksenteon kohteena olevaan henkilöön tai tällaiset päätökset muuten vaikuttavat häneen merkittävällä tavalla.

Automaattisen päätöksenteon perusteena olevat tiedot on voitu saada rekisteröidyltä itseltään tai havainnoinnin avulla (esim. sijaintitiedot, IP-osoite), tai ne voivat perustua pääteltyyn tai tietyistä tiedoista johdettuun tietoon esimerkiksi rekisteröidystä jo (aiemmin) tuotetun profiilin avulla (esim. luottoluokitus).

Automaattinen päätöksenteko voidaan tehdä ilman profilointia, ja toisaalta profilointia voidaan tehdä ilman automaattista päätöksentekoa. Sama henkilötietojen käsittelytoiminto voi myös sisältää kumpaakin riippuen siitä, miten tietoja käytetään.

Automaattinen päätöksenteko on sallittua vain, jos päätös

  • on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten; tai
  • on hyväksytty rekisterinpitäjään sovellettavassa EU:n tai jäsenmaan lainsäädännössä; tai
  • perustuu rekisteröidyn nimenomaiseen suostumukseen.

Huolehdi tietosuojakäytännöissä erityisesti rekisteröidyn informoinnista ja oikeuksien toteuttamisesta sekä vaikutusten arvioinnista

Kaiken a ja o on rekisteröityjen henkilöiden mahdollisimman selkeä ja ymmärrettävä informointi heihin kohdistuvasta henkilötietojen käsittelystä ja sen vaikutuksista.

Huolehdi, että aina, kun on kyse automaattisesta päätöksenteosta tai profiloinnista, seuraavat asiat toteutuvat:

  • GDPR:n yleisiä tietosuojaperiaatteita toteutetaan henkilötietojen käsittelyssä. Ne ovat kaiken lähtökohta!
  • On olemassa oikeudellinen peruste, joka sallii automaattisen päätöksenteon tai profiloinnin ja se on kerrottuna myös tietosuojailmoituksessa.
  • Tietosuojailmoitus on saatettu tiedoksi rekisteröidyille henkilöille, kun heidän tietojaan on hankittu epäsuorasti.
  • Rekisteröidyille henkilöille kerrotaan selkeästi, miten he pääsevät tarkastelemaan tietoja, joiden perusteella heidän profilointinsa on luotu.
  • Rekisteröidyille henkilöille kerrotaan selkeästi, mistä heitä koskevat henkilötiedot on saatu ja miten he voivat vastustaa profilointia (ml. profilointi markkinoinnissa).
  • On olemassa prosessit/menettelytavat, joiden avulla rekisteröidyt voivat tarkastaa heitä koskevat henkilötiedot, pyytää niiden oikaisua ja tarvittaessa, jos mahdollista, poistamista.
  • On olemassa riittävät tekniset ja organisatoriset suojatoimet, joilla suojellaan erityisryhmiä, kuten lapsia ja tarvittaessa estetään heihin kohdistuva perusteeton automaattinen päätöksenteko/profilointi.
  • Tietojen minimointia toteutetaan aktiivisesti ja henkilötietojen ajantasaisuudesta huolehditaan (ei käsitellä tarpeetonta tai vanhentunutta tietoa).

Kun on kyse pelkästään automaattisesta päätöksenteosta tai profiloinnista, huolehdi, että myös nämä toteutuvat:

  • Organisaatiossa toteutetaan tietosuojan vaikutustenarviointia (DPIA) päätöksenteon kohteena oleviin henkilöihin kohdistuvien riskien arvioimiseksi, riskit dokumentoidaan ja pystytään myös osoittamaan, kuinka riskejä hallitaan ja millaisilla menettelyillä toteutetaan GDPR:n vaatimuksia.
  • Henkilötietojen käsittelyn oikeudellinen peruste on
    • sopimukseen perustava, tai
    • yksilöity suostumus, josta voidaan osoittaa milloin ja miten se on saatu ja että rekisteröidyille on kerrottu, miten suostumus voidaan peruuttaa ja se on tehtävissä yksinkertaisella tavalla, tai
    • lainsäädäntöön perustuva.
  • Erityisiin henkilötietoryhmiin kuuluvia henkilötietoja (esim. terveystiedot) ei käytetä automaattisessa päätöksenteossa, ellei sille ole laissa perustetta, joka sallii käsittelyn ja on osoitettavissa, ja mahdollisesti vahingossa muodostuneet tällaiset henkilötiedot voidaan poistaa.
  • Käytössä on mahdollisimman yksinkertainen menettely, jolla voidaan pyytää automaattisesti tehdyn päätöksen uudelleen harkintaa ja/tai ihmisen osallistumista prosessiin, ja organisaatiossa on henkilöitä, jotka voivat läpikäydä ja muuttaa päätöksiä ja heillä on siihen riittävät valtuudet.
  • Käytettäviä järjestelmiä seurataan, verifioidaan ja kehitetään jatkuvasti virheiden ehkäisemiseksi ja luotettavuuden varmistamiseksi.

Me Berggrenillä autamme asiakkaitamme tietosuojaa koskevien käytäntöjen luomisessa ja arvioimisessa! Kerromme mielellämme lisää ja kevään mittaan on tulossa myös lisää ajankohtaisia webinaareja tietosuojasta. Berggren Legal yhteystietomme löydät täältä.

Ajankohtaista tietosuojassa webinaarisarjan seuraavat osat 26.5. ja 16.6.2020. Tutustu ja tule mukaan!

Täältä voit tilata webinaarisarjan ensimmäisen osan: