Verstaan GDPR Artikel 22: Jou regte teen outomatiese besluitneming
BBP Artikel 22 handel oor 'n konsep genaamd 'dataprofilering' – in wese 'n metode wat gebruik word om 'n individu se persoonlikheid te profileer Uitsluitlik deur geoutomatiseerde data-analise, wat die kans het om hulle wettig of finansieel te beïnvloed (bv. kredietpunte en verbandaansoeke).
Ingevolge artikel 22 het individue die reg om nie op so 'n manier geprofileer te word nie, tensy dit uitdruklik by wyse van 'n kontrak tussen die subjek en die organisasie wat die profilering uitvoer, ooreengekom is.
GDPR Artikel 22 Regstekst
EU GDPR weergawe
Outomatiese individuele besluitneming, insluitend profilering
- Die datasubjek sal die reg hê om nie onderhewig te wees aan 'n besluit wat uitsluitlik gebaseer is op geoutomatiseerde verwerking, insluitend profilering, wat regseffekte met betrekking tot hom of haar veroorsaak of hom of haar op soortgelyke wyse beduidend raak nie.
- Paragraaf 1 is nie van toepassing indien die besluit:
- nodig is vir die aangaan of uitvoering van 'n kontrak tussen die datasubjek en 'n databeheerder;
- gemagtig is deur Unie- of Lidstaatwetgewing waaraan die kontroleerder onderworpe is en wat ook geskikte maatreëls neerlê om die datasubjek se regte en vryhede en wettige belange te beskerm; of
- is gebaseer op die datasubjek se uitdruklike toestemming.
- In die gevalle bedoel in punte (a) en (c) van paragraaf 2, moet die databeheerder geskikte maatreëls instel om die datasubjek se regte en vryhede en wettige belange te beskerm, ten minste die reg om menslike ingryping van die kant van die beheerder, om sy of haar standpunt uit te spreek en die besluit te betwis.
- Besluite waarna in paragraaf 2 verwys word, sal nie gebaseer word op spesiale kategorieë persoonlike data waarna in artikel 9(1) verwys word nie, tensy punt (a) of (g) van artikel 9(2) van toepassing is en geskikte maatreëls om die datasubjek se regte te beskerm en vryhede en wettige belange is in plek.
Britse GDPR-weergawe
Outomatiese individuele besluitneming, insluitend profilering
- Die datasubjek sal die reg hê om nie onderhewig te wees aan 'n besluit wat uitsluitlik gebaseer is op geoutomatiseerde verwerking, insluitend profilering, wat regseffekte met betrekking tot hom of haar veroorsaak of hom of haar op soortgelyke wyse beduidend raak nie.
- Paragraaf 1 is nie van toepassing indien die besluit:
- nodig is vir die aangaan of uitvoering van 'n kontrak tussen die datasubjek en 'n databeheerder;
- word vereis of gemagtig deur binnelandse wetgewing wat ook geskikte maatreëls neerlê om die datasubjek se regte en vryhede en wettige belange te beskerm; of
- is gebaseer op die datasubjek se uitdruklike toestemming.
- In die gevalle bedoel in punte (a) en (c) van paragraaf 2, moet die databeheerder geskikte maatreëls instel om die datasubjek se regte en vryhede en wettige belange te beskerm, ten minste die reg om menslike ingryping van die kant van die beheerder, om sy of haar standpunt uit te spreek en die besluit te betwis.
- 3A. Artikel 14 van die 2018-wet, en regulasies kragtens daardie artikel, maak voorsiening om datasubjekte se regte, vryhede en wettige belange te beskerm in gevalle wat binne punt (b) van paragraaf 2 val (maar nie binne punt (a) of (c nie) van daardie paragraaf).
- 4. Besluite waarna in paragraaf 2 verwys word, sal nie gebaseer word op spesiale kategorieë persoonlike data waarna in Artikel 9(1) verwys word nie, tensy punt (a) of (g) van Artikel 9(2) van toepassing is en geskikte maatreëls om die data te beskerm subjek se regte en vryhede en wettige belange is in plek.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Tegniese Kommentaar
Omvang
Oor die algemeen is Artikel 22 nie relevant as besluite veelvuldige datasubjekte of groepe individue raak wat deur sekere veranderlikes verbind word nie – bv. ouderdom, geslag, ligging.
In plaas daarvan fokus die wet op die regte van die individu – dit wil sê een persoon – om nie sonder hul toestemming aan profilering onderhewig te wees nie.
Wat is 'n 'besluit'
Ten spyte daarvan dat dit die primêre onderwerp is, is besluite iets van 'n grys area. Die wet is onduidelik oor wat 'n besluit is. Dit kan wissel van 'n besluit van 'n regeringsowerheid, of iets wat makliker herkenbaar is, soos 'n krediettelling of aksies wat geneem is op 'n verbandaansoek.
Om dinge nog meer vaag te maak, kan besluite ook 'n houding of opinie teenoor 'n datasubjek uitmaak, gebaseer op hul data, maar slegs as dit 'n waarskynlikheid het om daarop gereageer te word.
Regsgevolge
'n 'Regseffek' is 'n bindende optrede teenoor 'n persoon. Besluite is scenario's soos 'n voordeeleis, 'n belastingopgawe of 'n gesondheidsorgaanslag.
Alhoewel sommige of al hierdie nie spesifiek die basiese regstatus van 'n persoon kan verander nie, kan dit steeds 'n diepgaande uitwerking op daardie persoon se lewe hê, insluitend:
- die verandering van 'n persoon se omstandighede of keuses wat tot hulle beskikking is;
- het 'n langdurige effek op 'n persoon in die loop van hul lewe;
- (in sekere omstandighede) wat lei tot diskriminasie of onregverdige optrede teenoor iemand.
ISO 27701 Klousule 7.2.2 en EU GDPR Artikel 22
In hierdie afdeling praat ons oor GDPR Artikels 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4)
Identifisering van 'n wettige basis
Om 'n regsgrondslag vir die verwerking van PII te vorm, moet organisasies hul optrede dokumenteer en:
- soek toestemming;
- 'n kontrak opstel, of kontakte;
- enige ander wetlike verpligtinge na te kom;
- beskerm die 'noodsaaklike belange' van die individue en groepe waaroor hulle data hou;
- verseker dat hulle binne die openbare belang funksioneer, en 'n wettige belang is.
Organisasies moet ook enige 'spesiale kategorieë' van PII wat met hul organisasie verband hou, in hul dataklassifikasieskema oorweeg (sien ISO 27701 Klousule 7.2.8) (klassifikasies kan van streek tot streek verskil).
As organisasies enige veranderinge aan hul onderliggende redes vir die verwerking van PII ervaar, moet dit onmiddellik in hul gedokumenteerde regsgrondslag weerspieël word.
Ondersteun ISO 27701-klousules
- ISO 27701 7.2.8
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
ISO 27701 Klousule 7.3.10 en EU GDPR Artikel 22
In hierdie afdeling praat ons oor GDPR Artikels 22 (1) en 22 (3)
Outomatiese besluitneming
Organisasies moet jurisdiksionele afwykings in geoutomatiseerde besluitneming rakende PII in ag neem.
Organisasies moet 'n individu se reg eer om beswaar te maak en menslike ingryping te versoek in die plek van geoutomatiseerde prosedures.
Indeks van gekoppelde EU GDPR-artikels en ISO 27701-klousules
| GDPR artikel | ISO 27701-klousule | ISO 27701 Ondersteunende klousules |
|---|---|---|
| EU GDPR artikels 22 (2)(a), 22 (2)(b), 22 (2)(c), 22 (4) | ISO 27701 7.2.2 | ISO 27701 7.2.8 |
| EU GDPR artikels 22 (1) en 22 (3) | ISO 27701 7.3.10 | Geen |
Hoe ISMS.online help
Deur 'n PIMS by jou ISMS op die ISMS.online platform te voeg, bly jou sekuriteitsposisie alles-in-een-plek en jy sal duplisering vermy waar die standaarde oorvleuel.
Met jou PIMS wat onmiddellik toeganklik is vir belangstellendes, was dit nog nooit so maklik om met die klik van 'n knoppie teen ISO 27701 en ISO 27001 te monitor, verslag te doen en te oudit nie.
Vind uit hoeveel tyd en geld jy sal bespaar op jou reis na 'n gekombineerde ISO 27701- en ISO 27001-sertifisering deur gebruik te maak van ISMS.online deur bespreek 'n demo.
