Περίληψη

Όπως όλα τα δικαιώματα του υποκειμένου των προσωπικών δεδομένων, όπως το ίδιο το δικαίωμα στα προσωπικά δεδομένα, έτσι και το δικαίωμα στην ανθρώπινη παρέμβαση δεν είναι ένα απόλυτο δικαίωμα. Οι προϋποθέσεις, ο αποκλεισμός και οι περιορισμοί του δικαιώματος του άρθρου 22 ΓΚΠΔ είναι απόρροια στάθμισης συμφερόντων, με εργαλείο την αρχή της αναλογικότητας, από τη μία πλευρά αυτών του υποκειμένου των δεδομένων και από την άλλη πλευρά εκείνων του υπευθύνου επεξεργασίας ή τρίτου ή του κοινωνικού συνόλου. Εντάσσεται στον νομοθετικό στόχο ενθάρρυνσης της τεχνολογικής ανάπτυξης, αλλά και τιθάσευσης των εφαρμογών της τεχνολογίας -ιδίως της τεχνητής νοημοσύνης- και της επέλασής της στην ιδιωτικότητα, θέτοντας όρους και όρια, με στόχο τη συμμόρφωση με την απόλυτη επιταγή τα υποκείμενα των δεδομένων να έχουν τον έλεγχο των δεδομένων τους.

Εμφάνιση περισσότερων Εμφάνιση λιγότερων

Κείμενο

Αφετηρία για την εργασία αυτή αποτέλεσε εισήγηση της συγγραφέα στο 2ο Διεπιστημονικό Συνέδριο με τίτλο «ΔΙΚΑΙΟ ΚΑΙ ΠΛΗΡΟΦΟΡΙΚΗ ΙΙ. Διερευνώντας τις πτυχές της Τεχνητής Νοημοσύνης. Οι τεχνολογίες αιχμής ως νομοθετική πρόκληση», που διοργανώθηκε στη Νομική Σχολή ΔΠΘ, 24 και 25/5/2024, στο πλαίσιο του Διιδρυματικού Μεταπτυχιακού Προγράμματος ΔΙΚΑΙΟ ΚΑΙ ΠΛΗΡΟΦΟΡΙΚΗ, www.mli.uom.gr. Τμήμα της εργασίας αποτελεί προδημοσίευση από τα υπό έκδοση Πρακτικά του Συνεδρίου, ευγενική χορηγία της ΝΟΜΙΚΗΣ ΒΙΒΛΙΟΘΗΚΗΣ.
1. Εισαγωγή
Ο νομικός πολιτισμός αντικατοπτρίζεται στην προστατευτική νομοθεσία για τα ανθρώπινα δικαιώματα. Η Ευρώπη, με τη μακροχρόνια στο θέμα αυτό κουλτούρα της, κατέχει τα σκήπτρα στον χώρο αυτό. Είναι η γηραιά ήπειρος, όπου εδώ και πολλά χρόνια, από τον προηγούμενο αιώνα, άνθισαν οι διατάξεις για την προστασία των προσωπικών δεδομένων, στην αρχή ως άμυνα στην αλματώδη εξέλιξη της τεχνολογίας και στη συνέχεια ως ρύθμιση της χρήσης της μέσα από τη στάθμιση του δικαιώματος στα προσωπικά δεδομένα και άλλων ανθρώπινων δικαιωμάτων με τα οποία αυτά αναμετρώνται.
Επιστέγασμα της νομοθεσίας για την προστασία των προσωπικών δεδομένων, ο Γενικός Κανονισμός για την Προστασία Δεδομένων (ΓΚΠΔ, GDPR), , ο οποίος, με την ενδυνάμω
Σελ. 336 ση των υποχρεώσεων και δικαιωμάτων και με την εκτόξευση των προστίμων που προβλέπει, ευαισθητοποίησε περισσότερο από ποτέ και κινητροδότησε τη συμμόρφωση με τις θεμελιώδεις ευρωπαϊκές, αλλά και πανανθρώπινες αξίες και αρχές που ενσωματώνουν οι διατάξεις του: λογοδοσία, διαφάνεια, ασφάλεια κ.ά. Ήδη διανύουμε τον 6ο χρόνο εφαρμογής του ΓΚΠΔ, και οι εφαρμοστές του αντιμετωπίζουν διαρκώς προκλήσεις, στην προσπάθειά τους να σταθμίσουν αντικρουόμενα συμφέροντα και δικαιώματα, προκλήσεις που εν πολλοίς οφείλονται στη ραγδαία ανάπτυξη της τεχνολογίας. Είναι στην ευθυκρισία των εφαρμοστών και ερμηνευτών του ΓΚΠΔ, αλλά και όλων των νομοθετημάτων, των ρυθμιστικών των νέων τεχνολογιών, όπως του Κανονισμού για τη χρήση της τεχνητής νοημοσύνης, να επιβάλουν την ορθή χρήση της τεχνολογίας, μέσα από την ορθή στάθμιση των αντικρουόμενων δικαιωμάτων και έννομων συμφερόντων.
Ένα από τα θεμελιώδη δικαιώματα κάθε φυσικού προσώπου, δηλ. κάθε υποκειμένου προσωπικών δεδομένων, που προβλέπονται στον ΓΚΠΔ, είναι το δικαίωμά του μη υποβολής του σε αυτοματοποιημένη ατομική λήψη αποφάσεων, δηλ. το δικαίωμά του στην ανθρώπινη παρέμβαση. Η χρήση της τεχνητής νοημοσύνης και της μηχανικής μάθησης λειτουργεί ως μία αυτοματοποιημένη διαδικασία ολοένα και περισσότερο τόσο στον ιδιωτικό όσο και στον δημόσιο τομέα, λόγω των ιδιαίτερα θετικών αποτελεσμάτων (αυξημένη αποδοτικότητα, εξοικονόμηση πόρων κλπ) που παρέχουν οι σχετικές εφαρμογές, ακόμη και η κατάρτιση προφίλ -ιδιαίτερα η τελευταία- σε κάθε κλάδο δραστηριότητας, όπως στον τραπεζικό και χρηματοπιστωτικό τομέα, στην υγεία, στη φορολογία, στον ασφαλιστικό κλάδο, στην εμπορική προώθηση και διαφήμιση, στις μεταφορές κ.α. Όμως, η χρήση αυτή συνεπάγεται κινδύνους για τα ατομικά δικαιώματα και ελευθερίες, τους οποίους ο νομοθέτης καλείται –για την ακρίβεια προκαλείται- να αντισταθμίσει.
Με τη θέσπιση του δικαιώματος στην ανθρώπινη παρέμβαση, που προβλέπεται στο άρθρο 22 του ΓΚΠΔ, επιχειρείται η αντιστάθμιση αυτή, στο πλαίσιο του κινδυνοκεντρικού συστήματος του ΓΚΠΔ. Εξάλλου, σύμφωνα με τον Κανονισμό για τη χρήση της τεχνητής νοημοσύνης, μία από τις επτά δεοντολογικές αρχές που στοχεύουν στη διασφάλιση της αξιοπιστίας και της δεοντολογικής ορθότητας της τεχνητής νοημοσύνης είναι η αρχή της «ανθρώπινης παρέμβασης και εποπτείας». Η αρχή αυτή σημαίνει ότι τα συστήματα τεχνητής νοημοσύνης αναπτύσσονται και χρησιμοποιούνται ως εργαλείο που εξυπηρετεί τον άνθρωπο, σέβεται την ανθρώπινη αξιοπρέπεια και την προσωπική αυτονομία και λειτουργεί κατά τρόπο που μπορεί να ελέγχεται και να εποπτεύεται καταλλήλως από τον άνθρωπο.

2. Αυτοματοποιημένη ατομική λήψη αποφάσεων (άρθρο 22 ΓΚΠΔ) και δικαίωμα στην ανθρώπινη παρέμβαση
Η αυτοματοποιημένη λήψη αποφάσεων που παράγουν έννομα αποτελέσματα για ένα φυσικό πρόσωπο, μπορεί να είναι αποκλειστικά ή εν μέρει αυτοματοποιημένη. Η λήψη αποφάσεων με μερικώς αυτοματοποιημένη επεξεργασία επιτρέπεται, αρκεί να τηρούνται οι απαιτήσεις του ΓΚΠΔ. Η λήψη αποφάσεων με αποκλειστικά αυτοματοποιημένη επεξεργασία κατ´ αρχήν απαγορεύεται (με κάποιες εξαιρέσεις). Το δικαίωμα στην
Σελ. 337 ανθρώπινη παρέμβαση του άρθρου 22 ΓΚΠΔ αφορά μόνο τη δεύτερη περίπτωση.

Συγκεκριμένα, σύμφωνα με το άρθρο 22 ΓΚΠΔ, το υποκείμενο των δεδομένων έχει δικαίωμα να μη λαμβάνεται απόφαση που το αφορά αποκλειστικά με αυτοματοποιημένη επεξεργασία δεδομένων του, συμπεριλαμβανομένης της κατάρτισης προφίλ. Πρόκειται για αποφάσεις που αξιολογούν προσωπικές πτυχές του υποκειμένου, όπως την αποδοτικότητά του στην εργασία, την οικονομική φερεγγυότητά του, την αξιοπιστία του και παράγουν έννομα αποτελέσματα π.χ. λύση μιας σύμβασης, αποκλεισμό από συγκεκριμένη κοινωνική παροχή (επίδομα τέκνων ή στεγαστικό επίδομα), άρνηση εισδοχής σε μία χώρα, άρνηση παροχής ιθαγένειας ή το επηρεάζουν σημαντικά με παρόμοιο τρόπο, όπως η αυτόματη απόρριψη επιγραμμικής αίτησης πίστωσης ή οι πρακτικές ηλεκτρονικών προσλήψεων χωρίς ανθρώπινη παρέμβαση. Η λήψη αυτοματοποιημένων αποφάσεων βασίζεται στη χρησιμοποίηση δεδομένων κάθε φύσης που είτε παρέχονται απευθείας από τα φυσικά πρόσωπα (όπως απαντήσεις σε ερωτηματολόγιο), είτε προέρχονται από παρατήρηση (όπως δεδομένα τοποθεσίας που συλλέγονται μέσω μιας εφαρμογής) ή από προφίλ του φυσικού προσώπου που έχει ήδη δημιουργηθεί (π.χ. βαθμολόγηση πιστοληπτικής ικανότητας).

2.1. Κατάρτιση προφίλ (μορφοτύπου) ως μορφή επεξεργασίας δεδομένων
Σύμφωνα με τον ορισμό που δίνει ο ΓΚΠΔ, «κατάρτιση προφίλ» είναι οποιαδήποτε μορφή αυτοματοποιημένης επεξεργασίας προσωπικών δεδομένων που συνίσταται στη χρήση προσωπικών δεδομένων για την αξιολόγηση ορισμένων προσωπικών πτυχών ενός φυσικού προσώπου, ιδίως για την ανάλυση ή την πρόβλεψη πτυχών που αφορούν την απόδοση στην εργασία, την οικονομική κατάσταση, την υγεία, τις προσωπικές προτιμήσεις, τα ενδιαφέροντα, την αξιοπιστία, τη συμπεριφορά, τη θέση ή τις μετακινήσεις του εν λόγω φυσικού προσώπου. Η κατάρτιση προφίλ καταλήγει ή δεν καταλήγει σε απόφαση με έννομα αποτελέσματα για το υποκείμενο των δεδομένων π.χ. απόλυση, μετάθεση, μη έγκριση δανείου. Μόνο η πρώτη περίπτωση εγείρει θέμα εφαρμογής του άρθρου 22 ΓΚΠΔ. Στο μέτρο που η κατάρτιση προφίλ συνίσταται στη χρήση προσωπικών δεδομένων, αποτελεί μορφή επεξεργασίας, και υπόκειται στους κανόνες επεξεργασίας του ΓΚΠΔ. Πάντως, ορθά επισημαίνεται ότι, στην περίπτωση που χρησιμοποιείται τεχνητή νοημοσύνη, η ικανότητα ενός συστήματος τεχνητής νοημοσύνης να συνάγει συμπεράσματα υπερβαίνει τη βασική επεξεργασία δεδομένων· επιτρέπει τη μάθηση, τη συλλογιστική ή τη μοντελοποίηση. Εξάλλου τα συστήματα τεχνητής νοημοσύ
Σελ. 338 νης που συνεπάγονται την κατάρτιση προφίλ θεωρούνται σε κάθε περίπτωση ότι είναι υψηλού κινδύνου.

Η χρήση της λέξης «αξιολόγηση» υποδηλώνει ότι η κατάρτιση προφίλ περιλαμβάνει κάποια μορφή αξιολόγησης ή κρίσης σχετικά με ένα πρόσωπο. Η απλή ταξινόμηση προσώπων με βάση γνωστά χαρακτηριστικά όπως η ηλικία, το φύλο και το ύψος δεν συνιστά κατ’ ανάγκη κατάρτιση προφίλ. Αυτό θα εξαρτηθεί από τον σκοπό της ταξινόμησης. Για παράδειγμα, μια επιχείρηση ταξινομεί τους πελάτες της με βάση την ηλικία ή το φύλο τους για στατιστικούς λόγους και προκειμένου να διαμορφώσει μια συγκεντρωτική γενική εικόνα των πελατών της χωρίς να προβαίνει σε προβλέψεις ή να εξάγει συμπεράσματα σχετικά με ένα συγκεκριμένο άτομο. Σ’ αυτή την περίπτωση, ο σκοπός δεν είναι η αξιολόγηση ατομικών χαρακτηριστικών και, συνεπώς, δεν πρόκειται για κατάρτιση προφίλ.
Προκειμένου να προβεί σε κατάρτιση προφίλ, ο υπεύθυνος επεξεργασίας θα πρέπει α) να χρησιμοποιεί κατάλληλες μαθηματικές ή στατιστικές διαδικασίες για την κατάρτιση του προφίλ, να εφαρμόζει τεχνικά και οργανωτικά μέτρα, ώστε να διορθώνονται οι παράγοντες που οδηγούν σε ανακρίβειες ως προς τα τηρούμενα δεδομένα και να ελαχιστοποιείται ο κίνδυνος σφαλμάτων, β) να καθιστά ασφαλή τα δεδομένα κατά τρόπο που να λαμβάνει υπόψη τους πιθανούς κινδύνους που συνδέονται με τα συμφέροντα και τα δικαιώματα του υποκειμένου των δεδομένων και κατά τρόπο που να προλαμβάνει, μεταξύ άλλων, τα αποτελέσματα διακρίσεων σε βάρος φυσικών προσώπων βάσει της φυλετικής ή εθνοτικής καταγωγής, των πολιτικών φρονημάτων, της θρησκείας ή των πεποιθήσεων, της συμμετοχής σε συνδικαλιστικές οργανώσεις, της γενετικής κατάστασης ή της κατάστασης της υγείας ή του γενετήσιου προσανατολισμού, ή μέτρων ισοδύναμου αποτελέσματος.

Οι αυτοματοποιημένες αποφάσεις μπορούν να λαμβάνονται με ή χωρίς κατάρτιση προφίλ, η κατάρτιση προφίλ μπορεί να πραγματοποιείται με ή χωρίς τη λήψη αυτοματοποιημένων αποφάσεων, όπως στην περίπτωση των εξατομικευμένων διαφημίσεων που βασίζονται σε κατάρτιση προφίλ, αλλά δεν λαμβάνεται απόφαση που επηρεάζει το άτομο. Από την άλλη πλευρά μια διαδικασία που ξεκινά ως απλή διαδικασία αυτοματοποιημένης λήψης αποφάσεων μπορεί να εξελιχθεί σε διαδικασία που βασίζεται στην κατάρτιση προφίλ, ανάλογα με τον τρόπο με τον οποίο χρησιμοποιούνται τα δεδομένα. Για παράδειγμα, η επιβολή προστίμων για παραβάσεις του ορίου ταχύτητας αποκλειστικά με βάση αποδεικτικά στοιχεία από κάμερες παρακολούθησης της ταχύτητας αποτελεί αυτοματοποιημένη διαδικασία λήψης αποφάσεων η οποία δεν περιλαμβάνει κατ’ ανάγκη κατάρτιση προφίλ. Ωστόσο, θα μπορούσε να ληφθεί απόφαση με βάση την κατάρτιση προφίλ σε περίπτωση που οι συνήθειες οδήγησης του φυσικού προσώπου παρακολουθούνται διαχρονικά, και, για παράδειγμα, το ύψος του επιβαλλόμενου προστίμου είναι αποτέλεσμα αξιολόγησης που περιλαμβάνει και άλλους παράγοντες, όπως το κατά πόσον η υπέρβαση του ορίου ταχύτητας αποτελεί υποτροπή ή κατά πόσον ο οδηγός έχει διαπράξει άλλες πρόσφατες οδικές παραβάσεις.

Σκόπιμη είναι η διάκριση ανάμεσα στη λήψη αποφάσεων που επηρεάζει σημαντικά το υποκείμενο των δεδομένων με βάση την κατάρτιση προφίλ, και στην αποκλειστικά αυτοματοποιημένη λήψη αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ, που εμπίπτει στο πεδίο εφαρμογής του άρθρου 22 του ΓΚΠΔ. Για παράδειγμα, στην περίπτωση απόφασης για τη χορήγηση τραπεζικού δανείου, την απόφαση τη λαμβάνει αλγόριθμος και γνωστοποιείται αυτόματα στο φυσικό πρόσωπο χωρίς προηγούμενη και ουσιαστική αξιολόγηση από άνθρωπο. Δεν εμπίπτει στο πεδίο εφαρμογής του άρθρου 22 ΓΚΠΔ η περίπτωση κατά την οποία την απόφαση για την έγκριση του δανείου λαμβάνει ένας άνθρωπος με βάση το προφίλ που καταρτίζεται με αποκλειστικά αυτοματοποιημένα μέσα, διότι εν προκειμένω υπάρχει ανθρώπινη παρέμβαση.

3. Η κατ’ εξαίρεση αποκλειστικά αυτοματοποιημένη λήψη αποφάσεων
3.1. Αποκλεισμός του δικαιώματος του άρθρου 22 ΓΚΠΔ και ελάχιστες αντισταθμιστικές εγγυήσεις
Το δικαίωμα του άρθρου 22 ΓΚΠΔ αποκλείεται, στις παρακάτω διαζευκτικά περιπτώσεις:
α) Όταν η αποκλειστικά αυτοματοποιημένη λήψη απόφασης είναι αναγκαία για τη σύναψη ή την εκτέλεση σύμβασης μεταξύ του υποκειμένου των δεδομένων και του υπευθύνου επεξεργασίας των δεδομένων, εφόσον το συγκεκριμένο είδος επεξεργασίας είναι απαραίτητο για την επίτευξη του σκοπού της επεξεργασίας, π.χ. όταν η ανθρώπινη παρέμβαση δεν είναι πρακτική ή εφικτή λόγω της ποσότητας και μόνο των υπό επε
Σελ. 339 ξεργασία δεδομένων. Αυτό συμβαίνει, για παράδειγμα, όταν επιχείρηση δέχεται μεγάλο όγκο αιτήσεων ενδιαφερόμενων για πρόσληψη και πρέπει να χρησιμοποιήσει πρώτα πλήρως αυτοματοποιημένα μέσα με σκοπό να αποκλείσει τις αιτήσεις που δεν παρουσιάζουν συνάφεια και να δημιουργήσει ένα κατάλογο επιλέξιμων υποψηφίων, για τη σύναψη σύμβασης με έναν από αυτούς.

Στην περίπτωση αυτή αποκλεισμού του δικαιώματος του άρθρου 22 ΓΚΠΔ, πρέπει να υπάρχουν, ως αντιστάθμισμα, εγγυήσεις ότι ο υπεύθυνος επεξεργασίας των δεδομένων εφαρμόζει κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, τουλάχιστον του δικαιώματός του για εξασφάλιση ανθρώπινης παρέμβασης από την πλευρά του υπευθύνου επεξεργασίας, για έκφραση άποψης, για λήψη αιτιολόγησης της απόφασης που το αφορά και για αμφισβήτηση της απόφασης. Τα παραπάνω κατάλληλα μέτρα/εγγυήσεις πρέπει να συνοδεύονται από ειδική ενημέρωση του υποκειμένου των δεδομένων για αυτά.
Το δικαίωμα εξασφάλισης ανθρώπινης παρέμβασης συνεπάγεται την αντίστοιχη υποχρέωση του υπευθύνου επεξεργασίας για συχνό έλεγχο των μέσων και μεθόδων αυτοματοποίησης. Αυτό πρακτικά σημαίνει ότι οι υπεύθυνοι επεξεργασίας θα πρέπει να διενεργούν συχνά αξιολογήσεις των συνόλων δεδομένων που επεξεργάζονται προκειμένου να ελέγχουν την ύπαρξη τυχόν μεροληπτικών επιλογών, και να αναπτύσσουν τρόπους αντιμετώπισης των μεροληπτικών στοιχείων τους, συμπεριλαμβανομένης της αντιμετώπισης της στήριξης των αποφάσεών τους σε συσχετισμούς σε υπερβολικό βαθμό. Άλλα χρήσιμα μέτρα είναι τα συστήματα ελέγχου αλγόριθμων και οι τακτικές επανεξετάσεις της ακρίβειας και της συνάφειας της αυτοματοποιημένης λήψης αποφάσεων, συμπεριλαμβανομένης της κατάρτισης προφίλ. Οι υπεύθυνοι επεξεργασίας θα πρέπει να εφαρμόζουν τις κατάλληλες διαδικασίες και μέτρα για την πρόληψη των σφαλμάτων, των ανακριβειών ή των διακρίσεων με βάση δεδομένα ειδικών κατηγοριών. Τα εν λόγω μέτρα θα πρέπει να χρησιμοποιούνται κυκλικά· όχι μόνο στο στάδιο του σχεδιασμού, αλλά σε μόνιμη βάση, κατά την εφαρμογή της κατάρτισης προφίλ σε φυσικά πρόσωπα. Το αποτέλεσμα του εν λόγω ελέγχου θα πρέπει να αξιοποιείται ξανά στον σχεδιασμό του συστήματος. π.χ. τυχόν επανεξέταση πρέπει να διεκπεραιώνεται από άτομο το οποίο έχει τη δέουσα εξουσιοδότηση και αρμοδιότητα να μεταβάλει την απόφαση, το οποίο θα πρέπει να διενεργεί διεξοδική αξιολόγηση του συνόλου των σχετικών δεδομένων, περιλαμβανομένων τυχόν πρόσθετων πληροφοριών που παρέσχε το υποκείμενο των δεδομένων.

β) Όταν η αποκλειστικά αυτοματοποιημένη λήψη απόφασης επιτρέπεται από το δίκαιο της Ένωσης ή το δίκαιο κράτους μέλους στο οποίο υπόκειται ο υπεύθυνος επεξεργασίας και το οποίο προβλέπει επίσης κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων. Πρόκειται για επεξεργασίες που αποσκοπούν, μεταξύ άλλων, σε παρακολούθηση και πρόληψη της απάτης και της φοροδιαφυγής σύμφωνα με τους κανονισμούς, τα πρότυπα και τις συστάσεις των θεσμικών οργάνων της Ένωσης ή των εθνικών οργάνων εποπτείας και προκειμένου να διασφαλιστεί η ασφάλεια και η αξιοπιστία της υπηρεσίας που παρέχει ο υπεύθυνος επεξεργασίας
γ) Όταν η αποκλειστικά αυτοματοποιημένη λήψη απόφασης βασίζεται στη ρητή, όχι απλά αδιαμφισβήτητη, συγκατάθεση του υποκειμένου των δεδομένων, με τις εγγυήσεις που αναφέρθηκαν παραπάνω, υπό α).
Ωστόσο η απόφαση αυτή δεν πρέπει να είναι απόρροια αποκλειστικά αυτοματοποιημένης επεξεργασίας ευαίσθητων δεδομένων, εκτός αν συντρέχουν οι προϋποθέσεις του άρθρου 9 παρ. 2 στοιχείο α) ή ζ) του ΓΚΠΔ, που αναφέροντα στη ρητή συγκατάθεση του υποκειμένου ή στην αναγκαιότητα της επεξεργασίας για λόγους ουσιαστικού δημόσιου συμφέροντος. Στην τελευταία περίπτωση θα πρέπει να υφίστανται κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων.

Τέλος, σύμφωνα με την υπ’ αριθ. 71 αιτιολογική σκέψη του ΓΚΠΔ, η αυτοματοποιημένη επεξεργασία δεδομένων δεν πρέπει να αφορά παιδί. Στο άρθρο 22 ΓΚΠΔ δεν γίνεται διάκριση μεταξύ επεξεργασίας που αφορά ενήλικες και επεξεργασίας που αφορά ανηλίκους. Ωστόσο, η ανηλικότητα θα πρέπει να λαμβάνεται σοβαρά υπόψη κατά την αυτοματοποιημένη
Σελ. 340 επεξεργασία δεδομένων, λόγω της ειδικής προστασίας με την οποία πρέπει να περιβάλλονται τα παιδιά. Εννοείται ότι στις περιπτώσεις που η αυτοματοποιημένη επεξεργασία δεδομένων παιδιών αποβλέπει στην προστασία της ευημερίας τους, αυτή θα μπορεί να πραγματοποιείται.

3.2. Περιορισμοί του δικαιώματος του άρθρου 22 ΓΚΠΔ
Στις παραπάνω περιπτώσεις απαλλαγής του υπεύθυνου επεξεργασίας από την υποχρέωση να ικανοποιεί το δικαίωμα του υποκειμένου στην ανθρώπινη παρέμβαση πρέπει να προστεθούν και οι εξαιρετικές περιπτώσεις περιορισμού (περιοριστικοί όροι) που ισχύουν για όλα τα δικαιώματα του υποκειμένου, υπό ειδικές προϋποθέσεις, κατ’ άρθρον 23 του ΓΚΠΔ και σε αρμονία με τον Χάρτη Θεμελιωδών Δικαιωμάτων της Ε.Ε. (άρθρο 52 παρ. 1). Συγκεκριμένα, με το άρθρο 23 του ΓΚΠΔ παρέχεται η δυνατότητα στον ενωσιακό και στον εθνικό νομοθέτη να θέτει περιορισμούς στα δικαιώματα του υποκειμένου των δεδομένων και στις αντίστοιχες υποχρεώσεις του υπευθύνου επεξεργασίας, στο μέτρο που οι περιορισμοί αυτοί αποτελούν αναγκαίο, αναλογικό και προβλέψιμο νομοθετικό μέτρο για την εξυπηρέτηση συγκεκριμένων στόχων δημόσιου συμφέροντος ή για την προστασία των δικαιωμάτων και των ελευθεριών τρίτων. Οι λόγοι αυτοί περιορισμού του δικαιώματος αναφέρονται εξαντλητικά στο άρθρο 23 παρ. 1 ΓΚΠΔ και μεταξύ αυτών περιλαμβάνονται η ασφάλεια του Κράτους, εθνική άμυνα, δημόσια ασφάλεια, αντιμετώπιση εγκληματικής δράσης, δημόσια υγεία, κοινωνική ασφάλιση, δημοσιονομική πολιτική, ανεξαρτησία δικαιοσύνης, αντιμετώπιση αντιδεοντολογικών παραβάσεων σε νομοθετικά κατοχυρωμένα επαγγέλματα.
Οι περιορισμοί θα πρέπει να ερμηνεύονται στενά, στο μέτρο που αποτελούν εξαιρετικό δίκαιο, εισάγοντας εξαιρέσεις στις διατάξεις που καθιερώνουν τα αντίστοιχα δικαιώματα και υποχρεώσεις. Συνεπώς θα πρέπει: α) να εφαρμόζονται μόνο για τη διασφάλιση των συγκεκριμένων σκοπών που προβλέπονται στο άρθρο 23 παρ. 1 ΓΚΠΔ και β) να ερείδονται σε νομοθετική ρύθμιση, η οποία περιέχει συγκεκριμένες διατάξεις που περιλαμβάνουν τουλάχιστον τα προβλεπόμενα στο άρθρο 23 παρ. 2 (σκοποί, κατηγορίες επεξεργασίας, κατηγορίες προσωπικών δεδομένων, πεδίο εφαρμογής των περιορισμών κ.λπ.).

Αυτονόητο είναι ότι οι περιορισμοί δεν πρέπει να συνεπάγονται τον «ολικό» περιορισμό, δηλ. την ουσιαστική ακύρωση των αντίστοιχων δικαιωμάτων και υποχρεώσεων. Ο υπεύθυνος επεξεργασίας έχει πάντοτε την υποχρέωση λογοδοσίας, με γνώμονα την αρχή της αναλογικότητας, την οποία οφείλει να εφαρμόζει και στο περιεχόμενο και στην έκταση των περιορισμών.

Σημειώνεται ότι σε περίπτωση που ο περιορισμός του δικαιώματος είναι χρονικός, αυτός, ανάλογα με τον εξυπηρετούμενο στόχο, μπορεί να είναι είτε προσωρινός (για παράδειγμα όσο διαρκεί μια πανδημία) είτε διαρκής (για παράδειγμα η διασφάλιση της προστασίας της ανεξαρτησίας της δικαιοσύνης και των δικαστικών διαδικασιών).
Το υποκείμενο πρέπει να ενημερώνεται για τον περιορισμό του δικαιώματός του, εκτός αν η ενημέρωσή του εμποδίζει την πραγμάτωση των σκοπών του περιορισμού, όπως στην περίπτωση που η ενημέρωση θα παρεμπόδιζε τα προκαταρκτικά
Σελ. 341αποτελέσματα μιας διοικητικής έρευνας σχετική με το υποκείμενο των δεδομένων.
Ο υπεύθυνος επεξεργασίας οφείλει να άρει τους περιορισμούς αμέσως μόλις παύσουν να ισχύουν οι προϋποθέσεις εφαρμογής τους και να ενημερώσει τα υποκείμενα των δεδομένων για την παύση των περιορισμών.
3.3. Υποχρεώσεις του υπευθύνου επεξεργασίας στο πλαίσιο της -κατ’ εξαίρεση- αποκλειστικά αυτοματοποιημένης λήψης αποφάσεων
Στην περίπτωση της επιτρεπτής κατ’ εξαίρεση αποκλειστικά αυτοματοποιημένης λήψης αποφάσεων, περιλαμβανομένης της χρήσης τεχνητής νοημοσύνης, θα πρέπει ο υπεύθυνος επεξεργασίας να τηρεί όλες τις νόμιμες προϋποθέσεις που απαιτούνται για κάθε επεξεργασία των δεδομένων, αυτοματοποιημένη ή μη, όπως η τήρηση των αρχών επεξεργασίας, η θεμελίωση της επεξεργασίας στις καθορισμένες από τον ΓΚΠΔ νόμιμες βάσεις επεξεργασίας, η εκπλήρωση των υποχρεώσεων του υπευθύνου επεξεργασίας, όπως η λήψη οργανωτικών και τεχνολογικών μέτρων ασφάλειας, ήδη από τον σχεδιασμό της επεξεργασίας, η κοινολόγηση της παραβίασης των προσωπικών δεδομένων στην Εποπτική Αρχή και στο υποκείμενο των δεδομένων, η διενέργεια εκτίμησης αντικτύπου, ο ορισμός υπευθύνου προστασίας δεδομένων, η ικανοποίηση των δικαιωμάτων του υποκειμένου, εφόσον συντρέχουν οι νόμιμες προϋποθέσεις, για παράδειγμα του δικαιώματος εναντίωσης του άρθρου 21 ΓΚΠΔ. Η συμμόρφωση αυτή του υπευθύνου επεξεργασίας με τις απαιτήσεις του ΓΚΠΔ, που αποτελεί έκφανση της ανθρώπινης παρέμβασης με ευρεία έννοια, συναντά δυσκολίες και συναφώς εγείρονται αρκετά ζητήματα, τα οποία οξύνονται όταν γίνεται χρήση της τεχνητής νοημοσύνης. Τα ζητήματα αυτά αφορούν τη συμβατότητα μιας αποκλειστικά (ή και μη) αυτοματοποιημένης επεξεργασίας με τις απαιτήσεις του ΓΚΠΔ, και πρακτικά με την εφαρμοσιμότητα των τελευταίων, όπως με την αρχή της διαφάνειας και
Σελ. 342 την ικανοποίηση του δικαιώματος ενημέρωσης του υποκειμένου, ιδίως σχετικά με την παροχή ουσιαστικών πληροφοριών για τη λογική που ακολουθείται, και όχι απαραιτήτως με την παροχή μιας σύνθετης εξήγησης των αλγορίθμων που χρησιμοποιούνται ή με την αποκάλυψη του πλήρους αλγόριθμου. Άλλα ζητήματα που εγείρονται είναι η διαιώνιση υφιστάμενων στερεοτύπων και κοινωνικών διακρίσεων, η αυστηρή ταξινόμηση ενός φυσικού προσώπου σε μια συγκεκριμένη κατηγορία, με αποτέλεσμα π.χ. ανακριβείς προβλέψεις για το άτομο αυτό και τον εσφαλμένο αποκλεισμό του από ομάδες δυνητικών καταναλωτών συγκεκριμένων προϊόντων ή υπηρεσιών.

4. Η άσκηση του δικαιώματος στην ανθρώπινη παρέμβαση
Υποστηρίζεται η άποψη ότι με το άρθρο 22 ΓΚΠΔ θεσπίζεται γενική απαγόρευση της λήψης αποφάσεων με βάση αποκλειστικά αυτοματοποιημένη επεξεργασία, ανεξάρτητα από το αν το υποκείμενο των δεδομένων ασκεί ή όχι το δικαίωμά του αυτό, με αποτέλεσμα την αυτόματη προστασία του από τις πιθανές επιπτώσεις που μπορεί να έχει αυτό το είδος επεξεργασίας. Ωστόσο, θα μπορούσε να εκφραστεί και η αντίθετη άποψη, με βάση τόσο τη γραμματική ερμηνεία του άρθρου 22 ΓΚΠΔ όσο και τη συστηματική ερμηνεία, στο μέτρο που το άρθρο 22 είναι ενταγμένο στο Κεφάλαιο ΙΙΙ του ΓΚΠΔ με τίτλο Δικαιώματα του υποκειμένου των δεδομένων, όπως όλα τα προβλεπόμενα δικαιώματά του, ενώ το «εισαγωγικό» άρθρο 12 σχετικά με τις ρυθμίσεις των δικαιωμάτων των υποκειμένων δεν επιφυλάσσει κάποια ιδιαίτερη «μεταχείριση» στο δικαίωμα του άρθρου 22.
Ο υπεύθυνος επεξεργασίας λαμβάνει τα κατάλληλα μέτρα και παρέχει κάθε διευκόλυνση στο υποκείμενο των δεδομένων για την άσκηση του δικαιώματος αυτού ενημερώνοντας πρώτα απ’ όλα το υποκείμενο για την ύπαρξη του συγκεκριμένου δικαιώματός του.

Όπως κατά την άσκηση κάθε δικαιώματος του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας θα πρέπει να χρησιμοποιεί κάθε εύλογο μέτρο για να επαληθεύει την ταυτότητα του υποκειμένου των δεδομένων που ασκεί το δικαίωμα, ιδίως στο πλαίσιο επιγραμμικών υπηρεσιών και επιγραμμικών αναγνωριστικών στοιχείων ταυτότητας. Ο υπεύθυνος επε
Σελ. 343 ξεργασίας δεν θα πρέπει να διατηρεί προσωπικά δεδομένα με μοναδικό σκοπό να μπορεί να αποκρίνεται σε δυνητικά αιτήματα. Όταν ο υπεύθυνος επεξεργασίας έχει εύλογες αμφιβολίες σχετικά με την ταυτότητα του φυσικού προσώπου που υποβάλλει το αίτημα για την ικανοποίηση του συγκεκριμένου δικαιώματος, ο υπεύθυνος επεξεργασίας μπορεί να ζητήσει την παροχή πρόσθετων πληροφοριών αναγκαίων για την επιβεβαίωση της ταυτότητας του υποκειμένου των δεδομένων, τηρώντας την αρχή της αναλογικότητας.

Ο υπεύθυνος επεξεργασίας παρέχει στο υποκείμενο των δεδομένων πληροφορίες για την ικανοποίηση του αιτήματός του χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή του αιτήματος. Η προθεσμία αυτή μπορεί να παραταθεί κατά δύο ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας του αιτήματος και του αριθμού των αιτημάτων. Ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο των δεδομένων για την παράταση εντός μηνός από την παραλαβή του αιτήματος, καθώς και για τους λόγους της καθυστέρησης.
Εάν ο υπεύθυνος επεξεργασίας δεν ανταποκριθεί θετικά στο αίτημα του υποκειμένου των δεδομένων, ο υπεύθυνος επεξεργασίας ενημερώνει το υποκείμενο, χωρίς καθυστέρηση και το αργότερο εντός μηνός από την παραλαβή του αιτήματος, για τους λόγους για τους οποίους δεν ενήργησε και για τη δυνατότητα υποβολής καταγγελίας σε εποπτική αρχή και άσκησης δικαστικής προσφυγής.
5. Επίμετρο:
Το δικαίωμα στην ανθρώπινη παρέμβαση ως απότοκο στάθμισης συμφερόντων Όπως όλα τα δικαιώματα του υποκειμένου των προσωπικών δεδομένων, όπως το ίδιο το δικαίωμα στα προσωπικά δεδομένα, έτσι και το δικαίωμα στην ανθρώπινη παρέμβαση δεν είναι ένα απόλυτο δικαίωμα. Οι προϋποθέσεις και οι περιορισμοί του είναι προϊόν στάθμισης συμφερόντων, με εργαλείο την αρχή της αναλογικότητας, από τη μία πλευρά αυτών του υποκειμένου των δεδομένων και από την άλλη πλευρά εκείνων του υπευθύνου επεξεργασίας ή τρίτου ή του κοινωνικού συνόλου. Εντάσσεται στον νομοθετικό στόχο ενθάρρυνσης της τεχνολογικής ανάπτυξης, αλλά και τιθάσευσης των εφαρμογών της τεχνολογίας -ιδίως της τεχνητής νοημοσύνης- και της επέλασής της στην ιδιωτικότητα, θέτοντας όρους και όρια, με στόχο τη συμμόρφωση με την επιταγή τα υποκείμενα των δεδομένων να έχουν τον έλεγχο των δεδομένων τους.

Εξάλλου, στις περιπτώσεις που η στάθμιση συμφερόντων επιτρέπει τον αποκλεισμό του δικαιώματος (π.χ. όταν υπάρχει ρητή συγκατάθεση του υποκειμένου ή για την εκτέλεση σύμβασης ή καταπολέμηση της απάτης), ο υπεύθυνος επεξεργασίας εφαρμόζει, ως αντιστάθμισμα, κατάλληλα μέτρα για την προστασία των δικαιωμάτων, των ελευθεριών και των έννομων συμφερόντων του υποκειμένου των δεδομένων, όπως αναπτύχθηκαν παραπάνω. Στην ίδια κατεύθυνση κινούνται και οι γενικοί περιορισμοί που τίθενται με το άρθρο 23 του ΓΚΠΔ, σε όλα τα δικαιώματα (περιλαμβανομένου του άρθρου 22 ΓΚΠΔ) του υποκειμένου των δεδομένων, οι οποίοι αποτελούν αναγκαίο και αναλογικό νομοθετικό μέτρο για την εξυπηρέτηση δημόσιου συμφέροντος ή για την προστασία των δικαιωμάτων και των ελευθεριών τρίτων.
Στο πεδίο της αυτοματοποιημένης λήψης αποφάσεων, ισχυρό εργαλείο αποτελεί η τεχνολογία, με αιχμή του δόρατος την τεχνητή νοημοσύνη και τη συνταρακτική εξέλιξή της. Η τεχνητή νοημοσύνη για να αναπτυχτεί χρειάζεται ως «καύσιμο» ολοένα και μεγαλύτερες ποσότητες δεδομένων, με αυτονόητες επιπτώσεις στην προστασία της ιδιωτικής ζωής και των προσωπικών δεδομένων. Βέβαια υπάρχει το νομοθετικό πλαίσιο, ο ΓΚΠΔ, ο νέος Κανονισμός για τη χρήση της τεχνητής νοημοσύνης και άλλα νομικά προστατευτικά εργαλεία, ωστόσο ο προβληματισμός κατά πόσο ο άνθρωπος έχει στην εποχή μας τον έλεγχο των προσωπικών του δεδομένων, παραμένει. Το ζητούμενο είναι, όπως πάντα, η χρυσή τομή ανάμεσα στην ενθάρρυνση και τη στήριξη της τεχνολογικής ανάπτυξης και καινοτομίας και στην προστασία των ανθρώπινων δικαιωμάτων που διακυβεύονται.

anchor link
Εγγραφήκατε επιτυχώς στο newsletter!
Η εγγραφή στο newsletter απέτυχε. Παρακαλώ δοκιμάστε αργότερα.
Αρθρογραφία, Νομολογία ή Σχόλια | Άμεση ανάρτηση | Επώνυμη ή ανώνυμη | Προβολή σε χιλιάδες χρήστες σε όλη την Ελλάδα