О чём эта статья
Статья 22 — право не быть подвергнутым автоматизированному решению, включая профилирование. Одна из самых актуальных статей в эпоху AI.
22(1) — Общее правило
Субъект имеет право не быть подвергнутым решению, основанному исключительно на автоматизированной обработке, включая профилирование, которое порождает в отношении него правовые последствия или существенно затрагивает его.
«Существенно затрагивает» — широкое понятие: отказ в кредите, отказ в работе, ограничение доступа к услугам, изменение цены — всё это сюда попадает.
22(2) — Исключения
22(1) не применяется, если решение:
(a) необходимо для заключения или исполнения договора между субъектом и контролёром; (b) разрешено правом Союза или государства-члена с надлежащими гарантиями; (c) основано на явном согласии субъекта.
22(3) — Минимальные гарантии в случаях (a) и (c)
Контролёр должен реализовать как минимум:
- право на вмешательство человека со стороны контролёра,
- право выразить свою точку зрения,
- право оспорить решение.
22(4) — Особые категории данных
Решения 22(2) не могут основываться на особых категориях данных (Art. 9), за исключением применения 9(2)(a) с явным согласием или 9(2)(g) — публичный интерес — с надлежащими гарантиями.
Почему это важно
Art. 22 — главный инструмент против непрозрачных алгоритмов: shadow ban, отказы в кредитах, рекламный таргетинг, скоринг. Если алгоритм принял решение, влияющее на вас, и нет человека, который может его пересмотреть — это нарушение.
CJEU в деле SCHUFA (C-634/21) расширил толкование 22: даже сам факт расчёта score уже является «автоматизированным решением», если этот score реально используется при принятии решений другими компаниями.
См. также Art. 13(2)(f) и 15(1)(h) — субъект имеет право знать логику автоматизированных решений.