Zautomatyzowany proces rekrutacji a obowiązki RODO
Zautomatyzowany proces rekrutacji a obowiązki RODO – przypomnę tylko w pierwszej części mojego opracowania „Sztuczna Inteligencja w rekrutacji a wymogi RODO – zautomatyzowane podejmowanie decyzji w procesie rekrutacji.” omówiliśmy przepisy art. 22 ust 1 oraz ust 2 RODO. Przepisy te przyznają osobie fizycznej, której dane dotyczą, prawo do nie podlegania określonemu rodzajowi decyzji opierających się na wyłącznie zautomatyzowanym przetwarzaniu, w tym profilowaniu. Innymi słowy obowiązkiem, jaki wynika z ww. prawa, jest obowiązek powstrzymania się od podejmowania ww. kategorii decyzji, względem konkretnej osoby fizycznej, której dane dotyczą. Omówiłem także sytuacje, w których ww. zakaz nie obowiązuje, czyli sytuacje, w których wydawanie decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, jest legalne. W drugiej części opracowania skupię się na dodatkowych warunkach, jakie muszą zostać spełnione. Jakie warunki muszą zostać spełnione, aby proces rekrutacji mógł być procesem, w ramach którego podejmowane są decyzje w sposób w pełni zautomatyzowany, w których decyzje o zatrudnieniu opierają się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.
Wprowadzenie - przepisy prawa
Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie
Artykuł 22 RODO
1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja:
a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
3. W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.
4. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
Analiza
cyt.: „W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.”
Pierwsza sytuacja, to sytuacja, kiedy zakaz wydawania decyzji, które opierają się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołują wobec osoby której dane dotyczą skutki prawne lub w podobny sposób istotnie na nią wpływają, nie ma zastosowania, albowiem wydanie decyzji jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem
cyt.: „W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.”
Druga sytuacja, to sytuacja, kiedy zakaz wydawania decyzji, które opierają się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołują wobec osoby której dane dotyczą skutki prawne lub w podobny sposób istotnie na nią wpływają, nie ma zastosowania, albowiem decyzja opiera się na wyraźnej zgodzie osoby, której dane dotyczą
cyt.: „ W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.”
W przypadku wystąpienia, którejkolwiek z sytuacji, o jakiej mowa w przepisie, administrator danych osobowych, ma określony obowiązek.
cyt.: „W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.”
Obowiązek o jakim mowa w przepisie to obowiązek wdrożenia, środków ochrony praw, wolności i prawnie uzasadnionych interesów, osoby której dane dotyczą, z zastrzeżeniem jednak, iż muszą to być właściwe, a nie jakiekolwiek środki.
cyt.: „W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.”
Określony został wskazany w przepisie minimalny zakres ochrony, wskazano określone prawa, które muszą być ochronione przez wdrażane przez administratora środki ochrony.
cyt.: „W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.”
cyt.: „ W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.”
Prawami, które obligatoryjnie muszą być chronione przez wdrażane przez administratora środki ochrony są:
- po pierwsze – prawo do uzyskiwania interwencji ludzkiej ze strony administratora,
- po drugie – prawo do wyrażenia własnego stanowiska z którym wiąże się prawo do zakwestionowania tej decyzji.
Osoba, której dane dotyczą, ma za sprawą wdrożonych środków ochrony przez administratora, mieć zagwarantowaną ochronę przysługującego jej prawa do uzyskania interwencji ludzkiej ze strony administratora. Co oznacza, iż administrator musi być gotowy do tego, aby zrealizować prawo, jakie przysługuje osobie, której dane dotyczą, tj. musi być gotowy do tego aby w sprawie jakiej dotyczy decyzja, zainterweniował człowiek, człowiek ze strony właśnie administratora. Sytuacja taka będzie mieć miejsce, zarówno wówczas, kiedy to osoba której dane dotyczą, kwestionuje decyzję, w części, albo w całości, ale także wówczas, kiedy takiej decyzji nie kwestionuje, w ogóle, albo jeszcze.
Osoba, której dane dotyczą, ma za sprawą wdrożonych środków ochrony przez administratora, mieć zagwarantowaną ochronę przysługującego jej prawa do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. Prawo do wyrażenia stanowiska zostało skorelowane z prawem do zakwestionowania decyzji, co do której stanowisko zostało wyrażone.
Zgodnie z Wytycznymi Grupy Roboczej Art. 29 ds. ochroy danych dotyczącymi zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania dla celów rozporządzenia 2016/679 [1] cyt.: „Kluczowym elementem jest interwencja człowieka. Przegląd musi być prowadzany przez kogoś, kto ma odpowiednią władzę i możliwość zmiany decyzji. Osoba dokonująca przeglądu powinna przeprowadzić dokładną ocenę wszystkich istotnych danych, w tym wszelkich dodatkowych informacji dostarczonych przez osobę, której dane dotyczą.” „Administrator musi zapewnić osobie, której dane dotyczą, prosty sposób wykonywania tych praw. Podkreśla to potrzebę zapewnienia przejrzystości przetwarzania. Osoba, której dane dotyczą, będzie w stanie zakwestionować decyzję lub wyrazić swoje stanowisko tylko wtedy, gdy w pełni zrozumie, w jaki sposób została ona podjęta i na jakiej podstawie.”
[1] https://www.uodo.gov.pl/data/filemanager_pl/908.pdf
Warto także sięgnąć i odnieść się do zapisów zapisów Motywu (71), który w swej treści określa dodatkowe przesłanki dla aministratorów
(71) RODO
cyt.: „Osoba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji – mogącej obejmować określone środki – która ocenia jej czynniki osobowe, opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób znacząco na nią wpływa, jak na przykład automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. Do takiego przetwarzania zalicza się „profilowanie” – które polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa. Niemniej podejmowanie decyzji na podstawie takiego przetwarzania, w tym profilowania, powinno być dozwolone, w przypadku gdy jest to wyraźnie dopuszczone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, w tym do celów monitorowania i zapobiegania – zgodnie z uregulowaniami, standardami i zaleceniami instytucji Unii lub krajowych podmiotów nadzorujących – oszustwom i uchylaniu się od podatków oraz do zapewniania bezpieczeństwa i niezawodności usług świadczonych przez administratora, lub gdy jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem, lub gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę. Przetwarzanie takie powinno zawsze podlegać odpowiednim zabezpieczeniom, obejmującym informowanie osoby, której dane dotyczą, prawo do uzyskania interwencji człowieka, prawo do wyrażenia własnego stanowiska, prawo do uzyskania wyjaśnienia co do decyzji wynikłej z takiej oceny oraz prawo do zakwestionowania takiej decyzji. Takie przetwarzanie nie powinno dotyczyć dzieci.”