20.08.2021 „Pułapki zautomatyzowanego przetwarzania danych”
Stosowanie wadliwych algorytmów może prowadzić do niedokładnych przewidywań. W konsekwencji stworzone profile mogą utrwalać już istniejące stereotypy i ograniczać dostęp konsumentów do produktów czy usług.
Aktualnie każda organizacja gromadzi duże ilości informacji, w tym danych osobowych, przez które, zgodnie z art. 4 pkt 1 RODO należy rozumieć wszelkie informacje o już zidentyfikowanej osobie lub informacje umożliwiające zidentyfikowanie osoby. Niewątpliwie działania na znacznej ilości danych, ich analizowanie, następnie wyciąganie wniosków i tworzenie zestawień byłoby znacznie utrudnione bez automatyzacji procesu i wykorzystania nowoczesnych narzędzi. Dlatego już dzisiaj decyzje oparte na zautomatyzowanym przetwarzaniu danych osobowych są powszechnie wykorzystywane w wielu branżach. W szczególności popularnością cieszą się w sektorze marketingu i reklamy, gdzie wykorzystywane jest profilowanie (np. reklama behawioralna). Ze względu na korzyści są stosowane także przez sektor: finansowy (np. dane na potrzeby scoringu kredytowego), ubezpieczeniowy czy opieki zdrowotnej (np. analiza stanu zdrowia).
Człowiek i algorytmy
W ostatnich latach coraz większym zainteresowaniem cieszy się automatyzacja procesów, w tym rozwiązania oparte na algorytmach i wykorzystujące tzw. sztuczną inteligencję (Artificial Intelligence). W szczególności uwaga skupia się na narzędziach umożliwiających szybkie i efektywne badanie danych i podejmowanie decyzji na podstawie uzyskanych wyników. Zainteresowanie nowymi metodami wynika przede wszystkim z dążenia przedsiębiorców do oszczędności i poprawy efektywności wykorzystania już posiadanych zasobów. Efekty analiz umożliwiają przedsiębiorcom także zdobycie przewagi konkurencyjnej, gdyż w dzisiejszych czasach dane mają ogromną wartość dla biznesu i nierzadko stanowią przedmiot obrotu. Zbieraniu danych sprzyja ich powszechne występowanie w internecie. Dostęp do znacznej ilości danych jest możliwy także dzięki popularyzacji urządzeń tzw. internetu rzeczy (Interent of Things, w skrócie: IoT).
W przypadku danych osobowych, zbieranie danych, znalezienie powiązań może pozwolić na określenie aspektów osobowości lub zachowania, zainteresowań, przyzwyczajeń i nawyków danej osoby. Wyniki badania zachowania, zainteresowania i przyzwyczajeń danej osoby stanowią wartość ekonomiczną, gdyż umożliwiają np. określenie typu osobowości i przewidywanie potencjalnych decyzji zakupowych konsumenta. To z kolei umożliwia stworzenie oferty bardziej odpowiadającej potrzebom klientów, jak również na kierowanie oferty do właściwych odbiorców.
Jakie zagrożenia?
Ze względu na wzrost znaczenia automatyzacji procesów, jak również coraz powszechniejsze wykorzystywanie rozwiązań opartych na pracy algorytmów, zautomatyzowane podejmowanie decyzji staje się jednym z najbardziej kontrowersyjnych zagadnień w obszarze ochrony danych osobowych.
Wymaga wyjaśnienia, że przez zautomatyzowane podejmowanie decyzji należy rozumieć proces, w ramach którego decyzja jest podejmowana wyłącznie przy wykorzystaniu rozwiązań technologicznych. W takim procesie człowiek nie bierze udziału, zaś dane są analizowane przez specjalnie stworzone algorytmy. W procesie mogą być wykorzystane dowolnego rodzaju dane, w tym dane osobowe.
Dane mogą być dostarczone bezpośrednio przez osoby fizyczne, których dotyczą (np. przekazane w celu zawarcia umowy, zawarte w odpowiedzi na kwestionariusz), jak również dane pochodzące z obserwacji osób, czy dane wnioskowane (np. profil osoby fizycznej). Zarówno tworzenie profili, jak i podejmowanie zautomatyzowanych decyzji, może mieć znaczny wpływ na prawa i wolności osób fizycznych.
WAŻNE!
W przypadku pełnej automatyzacji decyzja jest podejmowana przez „urządzenie, komputer”, bez udziału człowieka. Zatem nie ma możliwości, aby człowiek wpływał na przebieg takiego procesu.
Wątpliwości może budzić działanie danego algorytmu. Należy zaznaczyć, że zautomatyzowane decyzje są często podejmowane w wyniku przetwarzania nie tylko danych osobowych podanych bezpośrednio przez podmiot danych, ale także m.in. w oparciu o informacje pochodzące z innych źródeł, w tym informacje stanowiące wynik analiz, jak również profilowania. Natomiast stosowanie wadliwych algorytmów, wykorzystanie niepełnych danych może prowadzić do niedokładnych przewidywań. W konsekwencji stworzone profile mogą utrwalać już istniejące stereotypy i prowadzić do dyskryminacji, czy segregacji społecznej. Na przykład zaliczenie osoby do określonej kategorii konsumentów może w efekcie ograniczyć jej dostęp do produktów, czy usług. Taka osoba będzie bowiem otrzymywała wyłącznie oferty przeznaczone dla grupy, do której została przypisana. Algorytmy mogą także nie uwzględniać istotnych dla podmiotu danych okoliczności, jak również nie przewidywać wyjątkowych sytuacji.
Problemem jest również brak przejrzystości procesów. Co prawda osoby fizyczne zgodnie z art. 13 i 14 RODO powinny otrzymać stosowne informacje dotyczące przetwarzania ich danych osobowych, niemniej jednak administrator danych osobowych (tj. podmiot decydujący o celach i sposobach przetwarzania danych osobowych) nie ma obowiązku udzielania informacji na temat szczegółowego działania stosowanego narzędzia. Warto nadmienić, że tego typu informacje zazwyczaj są objęte tajemnicą przedsiębiorstwa. Ponadto, ze względu na stopień skomplikowania osoby fizyczne mogą nie zrozumieć zasad analizowania danych i podejmowania decyzji, jak również potencjalnych konsekwencji.
Zautomatyzowane podejmowanie decyzji a RODO
Stosowanie zautomatyzowanego podejmowania decyzji podlega ograniczeniom, w przypadku, gdy opiera się na analizie danych osobowych. Opieranie procesu decyzyjności wyłącznie na algorytmach może powodować istotne zagrożenie dla praw i wolności osób fizycznych, jego stosowanie w przypadku danych osobowych wymaga wdrożenia odpowiednich zabezpieczeń.
Dlatego, zgodnie z art. 22 ust. 1 RODO podmiotowi danych przysługuje prawo do tego by nie podlegać decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołującej skutki prawne lub w podobny sposób istotnie wpływającej na osobę, której dane osobowe podlegają analizie. Należy podkreślić, że art. 22 RODO dotyczy wyłącznie sytuacji, w których spełnione są dwie przesłanki. Po pierwsze decyzja dotycząca osoby fizycznej musi opierać się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Po drugie chodzi o decyzję wywołującą wobec podmiotu danych skutki prawne lub inne skutki mające podobny wpływ. RODO przewiduje jednak odstępstwa od tej zasady. Zautomatyzowanej decyzji będzie podlegała osoba, w przypadku gdy taka decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem danych osobowych; ponadto gdy opiera się na wyraźnej zgodzie osoby, której dane dotyczą. Wskazane wyjątki nie oznaczają jednak, że podmiot danych został pozbawiony ochrony, gdyż również w takich przypadkach administrator obowiązany jest do zapewnienia właściwych środków służących ochronie praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. Do takich środków należy możliwość uzyskania interwencji ludzkiej ze strony administratora; wyrażenia własnego stanowiska, jak również zakwestionowania samej decyzji. Podobnie decyzji opierającej się wyłącznie na automatyzowanym przetwarzaniu danych osobowych będzie podległa osoba, w przypadku, gdy taka decyzja jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
WAŻNE!
Ograniczenia wskazane w art. 22 RODO dotyczą wyłącznie decyzji całkowicie zautomatyzowanej, czyli takiej, w której procesie wydawania nie uczestniczył człowiek.
Rzeczywista decyzja człowieka
Ze względu na liczne korzyści (np. optymalizację kosztów, przyspieszenie pracy), oparcie procesów wyłącznie na działaniu algorytmów stanowi pokusę. Może zatem dochodzić do prób obejścia przepisów art. 22 RODO poprzez symulowanie udziału człowieka. Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych w treści wytycznych WP 251 wskazała, że za taką symulację należy uznać np. sytuację generowania profili osób fizycznych bez jakiegokolwiek realnego wpływu człowieka. Chodzi zatem o sytuacje, w których nie występuje żaden realny wpływ człowieka na wynik analiz.
Podobnie symulacja udziału człowieka będzie miała miejsce w przypadku, gdy interwencja ludzka jest tylko wyjątkowa i niewielka. Działanie, aktywność człowieka musi być zatem istotne. W praktyce człowiek nie tylko powinien uczestniczyć w procesie podejmowania decyzji, ale również powinien mieć uprawnienia i kompetencje do zmiany decyzji. Nie wystarczy zatem wyłącznie, aby osoba formalnie zatwierdziła (podpisała) rozstrzygniecie wygenerowane w sposób zautomatyzowany. W ramach analizy człowiek powinien rozważyć wszystkie dostępne informacje. Oczywiście nie oznacza to, że osoba nie może się wspierać wynikami analiz wytworzonymi przez algorytmy. Niemniej jednak powinny one stanowić wyłącznie rekomendacje. Sama decyzja powinna zostać wydana po uwzględnieniu także innych czynników.
