Άρθρο 36 Αυτοματοποιημένη ατομική λήψη αποφάσεων, περιλαμβανομένης της κατάρτισης προφίλ

1. Το δικαίωμα βάσει του άρθρου 22 παράγραφος 1 του ΓΚΠΔ να μην υπόκειται κανείς σε απόφαση που βασίζεται αποκλειστικά στην αυτοματοποιημένη επεξεργασία υφίσταται, εκτός από τις εξαιρέσεις που προβλέπονται στο άρθρο 22 παράγραφος 2 στοιχεία α) και γ) του ΓΚΠΔ, και όταν η απόφαση λαμβάνεται στο πλαίσιο της παροχής υπηρεσιών βάσει ασφαλιστικής σύμβασης, και
α) το αίτημα του υποκειμένου ικανοποιήθηκε• ή
β) η απόφαση βασίζεται στην εφαρμογή δεσμευτικών χρεώσεων για ιατρική περίθαλψη και ο υπεύθυνος επεξεργασίας για την περίπτωση που η αίτηση δεν έχει γίνει πλήρως δεκτή, λαμβάνει κατάλληλα μέτρα για τη διαφύλαξη των έννομων συμφερόντων του υποκειμένου των δεδομένων, στα οποία περιλαμβάνεται τουλάχιστον το δικαίωμα να μεσολαβεί ανθρώπινη παρέμβαση εκ μέρους του υπεύθυνου επεξεργασίας, ώστε το υποκείμενο των δεδομένων να εκφράσει την άποψή του και να αμφισβητήσει την απόφαση• ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για τα δικαιώματα αυτά το αργότερο κατά τη στιγμή της ανακοίνωσης ότι το αίτημά του δεν θα ικανοποιηθεί πλήρως.
2. Οι αποφάσεις σύμφωνα με την παράγραφο 1 μπορούν να βασίζονται στην επεξεργασία δεδομένων υγείας με την έννοια του άρθρου 4 στοιχείο 15) του ΓΚΠΔ. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα και ειδικά μέτρα για τη διαφύλαξη των συμφερόντων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το δεύτερο εδάφιο της παραγράφου 3 του άρθρου 22.

  • 19 Αυγούστου 2019, 19:59 | Χλωμούδης Γιώργος
    Το βλέπω Θετικά/Αρνητικά:  

    Το άρθρο αυτό φωτογραφίζει μια συγκεκριμένη περίπτωση όπου ισχύει το άρθρο ( όταν η απόφαση λαμβάνεται στο πλαίσιο της παροχής υπηρεσιών βάσει ασφαλιστικής σύμβασης) χωρίς ωστόσο να αποσαφηνίζει την παράγραφο 3, ιδίως για την ικανοποίηση του δικαιώματος εξασφάλισης ανθρώπινης παρέμβασης από την πλευρά του υπευθύνου επεξεργασίας, έκφρασης άποψης και αμφισβήτησης της απόφασης.

  • 19 Αυγούστου 2019, 18:46 | Homo Digitalis
    Το βλέπω Θετικά/Αρνητικά:  

    Το άρθρο 36 είναι προβληματικό.
    Σε αρκετές περιπτώσεις υπερβαίνει τους επιτρεπόμενους από τον Κανονισμό (άρθρο 23) περιορισμούς, εισάγοντας νέους που δεν έχουν έρεισμα στον Κανονισμό.

    Προτείνεται η διαγραφή του.

  • 19 Αυγούστου 2019, 17:27 | Σπ. Τάσσης, Βασ. Καρκατζούνης
    Το βλέπω Θετικά/Αρνητικά:  

    Όπως αναφέρεται στην αιτιολογική έκθεση, με το άρθρο 36 λαμβάνεται υπόψη η ειδική περίπτωση αυτοματοποιημένης απόφασης στο κλάδο των ασφαλιστικών επιχειρήσεων. Ειδικότερα, επιτρέπεται η αυτοματοποιημένη απόφαση σε μία μεμονωμένη περίπτωση όπως ορίζεται στο άρθρο 22 παράγραφος 2 ΓΚΠΔ, εάν η απόφαση που ελήφθη κατά τη διάρκεια της παροχής υπηρεσιών προέρχεται από ασφαλιστική σύμβαση, υπό συγκεκριμένους όρους.

    Μάλιστα, με το ίδιο άρθρο, επιτρέπεται στις ασφαλιστικές επιχειρήσεις να επεξεργάζονται δεδομένα για την υγεία κατά την έννοια του άρθρου 4 στοιχείο 15 του ΓΚΠΔ στο πλαίσιο αυτοματοποιημένων αποφάσεων. Σύμφωνα, πάντα, με την αιτιολογική έκθεση, αυτό είναι ιδιαίτερα απαραίτητο για τον αυτοματοποιημένο διακανονισμό των αιτήσεων παροχών από ιδιωτική ασφάλιση υγείας.
    Η διάταξη αυτή ενδιαφέρει από πολλές απόψεις: Αφενός, η αυτοματοποιημένη λήψη αποφάσεων συνδέεται άρρηκτα με την χρήση συστημάτων Τεχνητής Νοημοσύνης (ΑΙ), τα οποία είναι δημοφιλή στον ασφαλιστικό κλάδο. Συνεπώς είναι από τις πρώτες (αν όχι η πρώτη φορά) που στο ελληνικό νομικό σύστημα εισάγεται μία διάταξη που αφορά άμεσα στη χρήση συστημάτων ΑΙ για την επεξεργασία δεδομένων προσωπικού χαρακτήρα, η οποία μάλιστα επηρεάζει σημαντικά τα δικαιώματα του υποκειμένου. Αφετέρου, παρατηρώντας ότι μία κατηγορία επιχειρήσεων ενδέχεται να αποκτά διακριτή μεταχείριση από τον Νόμο αναφορικά με την αλγοριθμική επεξεργασία προσωπικών δεδομένων, σε συνάρτηση με το γεγονός ότι οι εν λόγω επεξεργασίες καλύπτουν, αναπόφευκτα, δεδομένα ειδικών κατηγοριών (υγείας) προκαλείται οπωσδήποτε προβληματισμός.

    Ο ΓΚΠΔ παρέχει πράγματι τη δυνατότητα στον εθνικό νομοθέτη να “εξέρχεται εκτός του άρθρου 22 παράγραφος 2 στοιχεία α) και γ) και να προβλέπει επιτρεπτικές διατάξεις για τη λήψη μιας αυτοματοποιημένης απόφασης σε μεμονωμένες περιπτώσεις” (εν προκειμένω τις ασφαλιστικές συμβάσεις).
    Ωστόσο, η παρ. 4 του άρθρου 22 του ΓΚΠΔ προβλέπει ρητώς ότι οι αποφάσεις που λαμβάνονται με τέτοια μέσα δεν μπορούν να βασίζονται σε ειδικές κατηγορίες δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 9 παράγραφος 1, εκτός αν ισχύει το άρθρο 9 παράγραφος 2 στοιχείο α (ρητή συγκατάθεση) ή ζ (ουσιαστικό δημόσιο συμφέρον) και αν υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.

    Σύμφωνα με τον GDPR, προκειμένου να μπορούν να συμπεριληφθούν ειδικές κατηγορίες δεδομένων σε συστήματα αυτοματοποιημένης λήψης αποφάσεων, θα πρέπει να υπάρχει είτε ρητή συγκατάθεση του υποκειμένου είτε ουσιαστικό δημόσιο συμφέρον. Όπως φαίνεται από τη σχετική αιτιολογική έκθεση, ο εθνικός νομοθέτης στρέφεται στην επιλογή του ουσιαστικού δημόσιου συμφέροντος. Ειδικότερα, στην αιτιολογική έκθεση υποστηρίζεται ότι “η εξασφάλιση προσιτής και λειτουργικής ασφαλιστικής κάλυψης υγείας στην ιδιωτική ασφάλιση υγείας αναγνωρίζεται ως σημαντικό συμφέρον για το κοινό καλό. Η οικονομική μαζική επεξεργασία απαιτεί τη χρήση αυτοματοποιημένων διαδικασιών, ιδίως όταν πρόκειται για την εφαρμογή νόμιμων και επομένως τυποποιημένων χρεώσεων”.

    Η συγκεκριμένη διατύπωση αλλά και η διάταξη στο σύνολο της θα τύχει εκτενούς ανάλυσης στο μέλλον, ωστόσο ορισμένες πρώτες σκέψεις που ανακύπτουν είναι οι εξής:
    1. Γιατί επέλεξε ο νομοθέτης το ουσιαστικό δημόσιο συμφέρον και όχι τη ρητή συγκατάθεση ως νομική βάση της εν λόγω επεξεργασίας;
    2. Μπορεί η επεξεργασία προσωπικών δεδομένων από έναν ιδιωτικό φορέα να βρίσκει νομικό έρεισμα στο “ουσιαστικό δημόσιο συμφέρον”;
    3. Αν ναι, γιατί καλύπτει μόνο τις ασφαλιστικές επιχειρήσεις; Γιατί όχι και οι τράπεζες ή οποιαδήποτε άλλη ιδιωτική εταιρεία που εφαρμόζει «νόμιμες και άρα τυποποιημενες» διαδικασίες;
    4. Τι ορίζεται τελικώς ως “κοινό καλό”; Από μία σύντομη έρευνα δεν έχει προκύψει ούτε ορισμός ούτε ακόμα και σχετική αναφορά σε ελληνικό νομοθετικό κείμενο. Σε ποιο πλαίσιο και με ποιους όρους μπορεί να γίνει σχετική ερμηνεία; Πόσο ευρέως και με ποιες δικλείδες μπορεί να ερμηνευθεί ένας τέτοιος όρος;

    Ελληνική Ένωση Προστασίας Προσωπικών Δεδομένων και Ιδιωτικότητας (HADPP)

  • 17 Αυγούστου 2019, 18:41 | Νίκος Καλαμίτσης
    Το βλέπω Θετικά/Αρνητικά:  

    Προτείνω
    1. στην 1η Παράγραφο:
    – προσθήκη άρνησης, η οποία έχει παραλειφθεί, ενώ είναι σαφές ότι σκοπός της διάταξης είναι να προβλέψει πότε το δικαίωμα «δεν υφίσταται» (ή ατονεί), δηλ. να εισαγάγει πρόσθετη εξαίρεση, σύμφωνα με την 22παρ.1(β) του ΓΚΠΔ.
    – χρήση του όρου «υποκείμενο των δεδομένων» αντί του «κανείς»
    – χρήση της φράσης «πέρα από» αντί του «εκτός από» (που συχνά εισάγει εξαίρεση)
    – στο (β) αντί της φράση «δεσμευτικές χρεώσεις» της φράσης «δεσμευτικές χρεώσεις» της φράσης «δεσμευτικοί κανονες αποζημίωσης» που αρμόζει στην ακολουθούμενη πρακτική και είναι πιο πιστό στη γερμανική διάταξη (που λειτούργησε ως υπόδειγμα)
    – στο (β) αντί της φράσης «ιατρικής περίθαλψης» της φράσης «ιατροφαρμακευτικής περίθαλψης και συναφείς παροχές» (π.χ. επιδόματα, προνόμια κλπ που συνέχονται προς την εφαρμογή αυτοματοποιημένων κανόνων κλπ)
    και γενικότερα αναδιατύπωση ως κατωτέρω (για λόγους σαφήνειας, βάσει του κειμένου του ΓΚΠΔ).

    2. στην 2η Παράγραφο την προσθήκη των λέξεων «του ΓΚΠΔ» στο τέλος.

    Έτσι το κείμενο θα έχει ως εξής:

    «1. Πέρα από τις περιπτώσεις που προβλέπονται στο άρθρο 22 παράγραφος 2 στοιχεία α) και γ) του ΓΚΠΔ, η παράγραφος 1 του άρθρου 22 του ΓΚΠΔ δεν εφαρμόζεται, σε εφαρμογή της διάταξης του στοιχείου β) της παραγράφου 2 του άρθρου 22 του ΓΚΠΔ, και σε αποφάσεις που λαμβάνονται αποκλειστικά βάσει αυτοματοποιημένης επεξεργασίας στο πλαίσιο της παροχής υπηρεσιών δυνάμει ασφαλιστικής σύμβασης, όταν
    α) το αίτημα του υποκειμένου ικανοποιήθηκε• ή
    β) η απόφαση βασίζεται στην εφαρμογή δεσμευτικών κανόνων αποζημίωσης για ιατροφαρμακευτική περίθαλψη και συναφείς παροχές και ο υπεύθυνος επεξεργασίας για την περίπτωση που η αίτηση δεν έχει γίνει πλήρως δεκτή, λαμβάνει κατάλληλα μέτρα για τη διαφύλαξη των έννομων συμφερόντων του υποκειμένου των δεδομένων, στα οποία περιλαμβάνεται τουλάχιστον το δικαίωμα να μεσολαβεί ανθρώπινη παρέμβαση εκ μέρους του υπεύθυνου επεξεργασίας, ώστε το υποκείμενο των δεδομένων να εκφράσει την άποψή του και να αμφισβητήσει την απόφαση• ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για τα δικαιώματα αυτά το αργότερο κατά τη στιγμή της ανακοίνωσης ότι το αίτημά του δεν θα ικανοποιηθεί πλήρως.
    2. Οι αποφάσεις σύμφωνα με την παράγραφο 1 μπορούν να βασίζονται στην επεξεργασία δεδομένων υγείας με την έννοια του άρθρου 4 στοιχείο 15) του ΓΚΠΔ. Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα και ειδικά μέτρα για τη διαφύλαξη των συμφερόντων του υποκειμένου των δεδομένων προσωπικού χαρακτήρα σύμφωνα με το δεύτερο εδάφιο της παραγράφου 3 του άρθρου 22 του ΓΚΠΔ.»