Avtorja: Mark Bauer[1] in Katja Svetina[2]

Izvleček: Varstvo osebnih podatkov je bilo v zadnjem desetletju večkrat predmet zakonodajne aktivnosti, med drugim tudi s strani evropskega zakonodajalca, ki je z GDPR področje uredil celovito in splošno. Vprašljivo pa je, ali je dejansko dosegel cilj učinkovitega varstva osebnih podatkov na področjih, kakršno je delovno pravo, ki bi morda zahtevala bolj specialno ureditev. Je sploh mogoče aplicirati splošna pravila GDPR na obdelavo podatkov v delovnem razmerju tako, da delavčeva pravica do varstva osebnih podatkov ne bo okrnjena? Poleg tega bliskovit razvoj novih tehnologij umetne inteligence postavlja povsem nova delovnopravna vprašanja, ki obstoječo ureditev potiskajo na rob zmožnosti učinkovitega varstva. Kot »panaceja« se v javnem diskurzu omenja Akt o UI, toda ali gre res za obljubljeno rešitev?

Ključne besede: GDPR, varstvo osebnih podatkov, delovno pravo, delovno razmerje, privolitev, umetna inteligenca, avtomatizirano odločanje, algoritmi, AI Act, pravni okvir.

UVODNO O PRAVICI DO VARSTVA OSEBNIH PODATKOV

V eri informacijske družbe, ki se neprestano sooča z novimi tehnološkimi in digitalnimi izzivi, je varstvo osebnih podatkov postalo ključno pravno vprašanje. Zbiranje, hranjenje, analiza, sinteza in izbris osebnih podatkov predstavljajo »nujno zlo« našega modus operandi na številnih področjih sodobnega življenja – kar se morda celo najbolj jasno kaže na področju dela in delovnih razmerij. Obdelava osebnih podatkov je temeljni element vzpostavitve in vzdrževanja delovnega razmerja,[3] kar postavlja delodajalce v vlogo upravljavcev osebnih podatkov[4] (angl. data controller), delavce pa v položaj posameznikov, na katere se nanašajo osebni podatki (angl. data subject).

Varstvo osebnih podatkov v Evropski uniji (EU) pretežno ureja Splošna uredba o varstvu podatkov (GDPR),[5] katere ustreznost in učinkovitost sta z vidika specifičnosti delovnih razmerij na določenih mestih sporni. V odnosu delavec/delodajalec po naravi stvari prihaja do nesorazmerja moči ter asimetrije informacij, zato je položaj delavca kot posameznika, na katerega se nanašajo osebni podatki, izpostavljen tveganjem, ki jih digitalizacija in razvoj moderne tehnologije še dodatno povečujeta. Narava delovnega prava je drugačna kot narava, na primer potrošniškega prava, zaradi česar se postavlja vprašanje, kako bi bilo lahko pravo varstva osebnih podatkov ustrezneje prilagojeno delovnopravnemu področju. V članku bova identificirala člene GDPR, ki so pomanjkljivo oziroma presplošno urejeni, da bi zagotavljali učinkovito varstvo osebnih podatkov delavca. Z ozirom na uvedbo novih tehnologij v delovnih razmerjih, bova poskušala najti razloge za nepopolno ureditev ter predstavila nekatere možne rešitve.

PRAVNI OKVIR EVROPSKE UNIJE[6]

Obdelava osebnih podatkov zajema več različnih ravnanj upravljavca. V drugem odstavku 4. člena GDPR je obdelava opredeljena kot »vsako dejanje ali niz dejanj, ki se izvaja v zvezi z osebnimi podatki ali nizi osebnih podatkov z avtomatiziranimi sredstvi ali brez njih, kot je zbiranje, beleženje, urejanje, strukturiranje, shranjevanje, prilagajanje ali spreminjanje, priklic, vpogled, uporaba, razkritje s posredovanjem, razširjanje ali drugačno omogočanje dostopa, prilagajanje ali kombiniranje, omejevanje, izbris ali uničenje«.[7] Delodajalci obdelujejo različne osebne podatke zaposlenih in drugih posameznikov (na primer kandidatov za zaposlitev, družinskih članov). Pri tem morajo upoštevati, da je obdelava teh podatkov dopustna le, če za to izkažejo ustrezno pravno podlago. GDPR v 6. členu določa šest možnih pravnih podlag za obdelavo osebnih podatkov. V kontekstu delovnega razmerja so dopustne pravne podlage za obdelavo osebnih podatkov zlasti naslednje: izvajanje pogodbe o zaposlitvi, izpolnjevanje zakonskih obveznosti delodajalca, zakoniti interes delodajalca ter privolitev zaposlenega.[8]

Dejstva, da je delovno razmerje specifično napram običajnemu razmerju med upravljavcem osebnih podatkov ter posameznikom, na katerega se nanašajo osebni podatki, se je zavedal tudi evropski zakonodajalec, vendar pa do bolj podrobne ureditve, ki bi bila ciljno usmerjena v zaščito osebnih podatkov delavca ni prišlo.[9] Razlog lahko najdemo predvsem v dejstvu, da pravo varstva osebnih podatkov na tem področju ni in ne more biti regulirano povsem ločeno od delovnega prava, katerega podrobna ureditev ostaja v pristojnosti držav članic.[10] Delovno pravo namreč z urejanjem razmerja med delavcem in delodajalcem bistveno vpliva na to, kako naj bi bili osebni podatki obdelani.[11] Abraha pri tem izpostavlja, da je bila določena mera skepse prisotna predvsem v državah članicah, ki delavcem že tako nudijo višjo raven varstva, kar bi skupna rešitev na ravni EU potencialno lahko ogrozila.[12] Kot kompromis je bil v GDPR vnesen 88. člen, ki državam članicam dopušča komplementarno urejanje z nacionalno zakonodajo, kar pa lahko vodi do fragmentirane pravne ureditve znotraj EU.[13]

PROBLEM PRIVOLITVE

Splošno gledano je privolitev po (a) točki prvega odstavka 6. člena GDPR najpomembnejša in najpogostejša pravna podlaga za obdelavo osebnih podatkov. To pa ne velja na delovnem mestu, kjer je delavec kot šibkejša stranka v podrejenem položaju in je privolitev lahko izsiljena.[14] Omeniti je vredno tudi skupinski pritisk (angl. peer pressure), tj. pritisk sodelavcev in delodajalca, da delavec poda privolitev.[15] Slednji bo namreč v takšnih situacijah največkrat privolil v večino stvari, ki mu jih predloži njegov nadrejeni, saj se boji morebitnih negativnih posledic oziroma povračilnih ukrepov v primeru odklonitve. Takšna privolitev bo »zelo malo verjetno dana svobodno in prostovoljno«[16] in kot taka ne more predstavljati ustrezne pravne podlage za obdelavo osebnih podatkov po GDPR. Delodajalci se na privolitev tako lahko sklicujejo le v določenih situacijah, kjer zaposleni ne trpijo negativnih posledic, če privolitve ne podajo.[17]Takšno situacijo pa si je v luči neravnovesja pogajalske moči ter splošne ranljivosti delavca v delovnem razmerju, le redko mogoče predstavljati. Kot jedrnato pojasnjuje Kahn-Freund, je pogodbena svoboda v okviru zaposlovanja in teka delovnih razmerij pogosto le »pravniška floskula«.[18]

Kljub navedenemu, GDPR pravno podlago izrecne privolitve pogosto določa kot izjemo, na podlagi katere je dopustna obdelava tudi tistih osebnih podatkov, katerih zbiranje načeloma ni dovoljeno.[19] Njeno pogosto pojavljanje je problematično, saj upravljavcem osebnih podatkov, ki so običajno pravni laiki, daje vtis, da se izrecne privolitve kot dopustne pravne podlage za obdelavo, lahko poslužujejo veliko pogosteje, kot se je v resnici lahko. Privolitev mora biti namreč dana svobodno in prostovoljno, da je veljavna in v skladu z GDPR, kar pa je v veliki večini situacij delovnih razmerij zelo težko dosegljivo. V luči tega, da je privolitev sicer laikom (delodajalcem) razumljiva in na prvi pogled lahko pridobljiva pravna podlaga, ki se je tudi statistično gledano[20] pogosto poslužujejo, je obstoječ zapis GDPR mogoče označiti za varljiv v kontekstu delovnih razmerij. Delavci bi v teoriji seveda lahko ugovarjali takšni obdelavi, vendar pa so nenazadnje tudi sami pravni laiki (in v šibkejšem položaju napram delodajalcu) zato takšnega ravnanja pogosto ne problematizirajo.

AVTOMATIZIRANO SPREJEMANJE ODLOČITEV: JE REGULACIJA UMETNE INTELIGENCE PO 22. ČLENU GDPR UČINKOVITA?

Avtomatizirano sprejemanje posameznih odločitev (angl. automated decision making) ter s tem povezano algoritemsko upravljanje,[21] ki temelji na umetni inteligenci (UI), sta z razvojem tehnologije v moderni družbi postala vseprisotna. Tudi delovno razmerje na nove oblike uporabe algoritemske tehnologije nikakor ni imuno. Algoritmi so ob pravilni implementaciji lahko zelo uporabno sredstvo za učinkovitejše in kvalitetnejše sprejemanje odločitev, saj eliminirajo človeške napake ter pospešijo mehanizme za sprejemanje odločitev.[22]

Vendar pa uporaba UI za delavca pomeni tudi določena tveganja. Med drugim[23] lahko vodi do prekomerne oziroma neutemeljene obdelave osebnih podatkov, saj je jasno, da algoritmi odločitve lahko sprejemajo zgolj ob izpolnjeni predpostavki, da imajo za generiranje odločitev na voljo ogromne količine podatkov.[24] Iz tega vidika je lahko pravo varstva osebnih podatkov vsaj deloma ustrezen način zaščite, ni pa edini in, kot bo predstavljeno v nadaljevanju, tudi ni popoln. GDPR se s to problematiko ukvarja v prvem odstavku 22. člena, ki določa, da ima posameznik, na katerega se nanašajo osebni podatki, pravico »da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi, vključno z oblikovanjem profilov, ki ima pravne učinke v zvezi z njim ali na podoben način nanj znatno vpliva«.[25] Narava prvega odstavka 22. člena GDPR je v teoriji predmet diskusij, saj kaže na nedoločenost, ali gre za splošno prepoved ali (zgolj) za možnost oziroma pravico posameznika, da taki odločitvi nasprotuje.[26]

Nadalje je smiselno izpostaviti problematiko, ki se nanaša na krog situacij, v katerih je prvi odstavek 22. člena GDPR uporabljiv. V delovnopravnem kontekstu, kjer je ravnotežje moči že a priori porušeno, je namreč težko razumeti, zakaj je domet omenjenega člena že v sami definiciji zastavljen tako ozko in izpostavljen vrsti izjem, ki močno rahljajo prvotno prepoved.

Pravica, da za posameznika, na katerega se nanašajo osebni podatki, ne velja posamezna odločitev, se po formulaciji prvega odstavka 22. člena GDPR nanaša samo na tiste odločitve, ki temeljijo zgolj na avtomatizirani obdelavi.[27] Beseda »zgolj« (angl. »solely«) zamejuje razlago prepovedi v smislu, da se izključno nanaša na povsem avtomatizirano odločanje o posameznikih, tj. brez kakršnegakoli posredovanja človeka.[28] Posledično se postavlja vprašanje, ali je mogoče takšno varstvo razširiti na obogatene odločitve (angl. augmented decision making) – to so odločitve, ki jih sprejema človek ob zanašanju na algoritem.[29] Predstavljamo si lahko primer, ko bi delodajalec na podlagi avtomatično generiranih podatkov o uspešnosti delavcev sprejel odločitev o napredovanju. Kako torej opredeliti človeško posredovanje, brez katerega se odločitev šteje za avtomatizirano? Glede na razlago Evropskega odbora za varstvo podatkov (EDPB), se za človeško posredovanje šteje vsak nadzor, ki ga izvaja posameznik s pooblastili za spremembo odločitve in ki ni le simbolično dejanje.[30] Iz navedenega sledi, da bi bila že situacija obogatenega odločanja, kjer UI ne nadomešča, temveč zgolj pomaga delodajalcu pri sprejemanju poslovnih odločitev, v večini primerov dovolj za izključitev uporabe prvega odstavka 22. člena GDPR. [31]

Kot veliko drugih določb GDPR, je tudi 22. člen izpostavljen vrsti izjem od prepovedi avtomatiziranega odločanja (glej spodnji graf). Za delovno razmerje najbolj problematična izjema, je določena v (c) točki drugega odstavka,[32] ki omogoča izognitev uporabi prvega odstavka ob prisotnosti izrecne privolitve posameznika. Kot je bilo pojasnjeno že zgoraj, je v skladu z GDPR privolitev dana svobodno le ob izredno strogih pogojih, zato teorija poudarja, da naj bi se je delodajalci posluževali le izjemoma.[33]

Za delavca je ob avtomatiziranem sprejemanju odločitev s strani UI lahko problematično tudi učinkovito uveljavljanje pravnih sredstev.[34] To je moč pripisati netransparentnosti ter nejasnosti odločitve in njene podlage – pri tem so mišljeni zlasti razlogi oziroma podatki, na podlagi katerih je algoritem UI sprejel odločitev. Delodajalec je sicer v skladu s 13. in 14. členom GDPR dolžan delavca poučiti o dejstvu, da je predmet avtomatiziranega odločanja ter o vseh relevantnih informacijah glede obdelave njegovih osebnih podatkov. Delovna skupina za varstvo osebnih podatkov,[35] vzpostavljena skladno z 29. členom Direktive 95/46/ES[36] (angl. Article 29 Working Party), pri tem poudarja, da bi moral delodajalec delavcu na enostaven in razumljiv način pojasniti način delovanja sistema UI ter ratio njegove odločitve, kar bi delavec nato lahko uporabil pri svojem morebitnem ugovoru.[37] Vendar pa tu naletimo na težavo  »pojasnljivosti« UI algoritmov. Upravljavci (delodajalci) pogosto svoje sisteme UI dojemajo kot konkurenčno prednost oziroma poslovno skrivnost, zato ne želijo na jasen način razkriti sistema njihovega delovanja.[38] Teorija je pri tem deljena, saj del zagovarja popoln vpogled v delovanje »črne škatle« UI algoritmov (angl. black-box algorithms), del pa zagovarja pristop, kjer so delavcu predstavljeni le bolj dojemljivi razlogi za odločitev algoritma/delodajalca (npr. stopnja izobrazbe).[39]

(PRETIRANA) INDIVIDUALIZIRANOST PRAVIC PO GDPR

GDPR izhaja iz predpostavke, da bo imel posameznik nadzor nad svojimi podatki, če so mu vse pravice po GDPR upoštevane; te pravice so zato skrajno individualizirane.[40] Predpostavlja tudi, da je individualizirana sama škoda, ki nastane zaradi kršitev. Tako ozko razumevanje določb GDPR ni prilagojeno na delovno razmerje,[41] kar lahko ponazorimo s primerom pravice dostopa do (lastnih) osebnih podatkov iz 15. člena GDPR.[42] Stroga individualiziranost, zlasti ko govorimo o avtomatiziranem odločanju, je omejujoča in delavcu ne nudi celovitega varstva. Delavec sam, kljub temu da mu je pravica spoštovana, zgolj z dostopom do svojih podatkov, ne bo mogel učinkovito prepoznati napačnih ali nezakonitih vzorcev, na podlagi katerih je algoritem odločal v konkretnem primeru. Učinkoviteje bi bilo, da bi do podatkov, ki so bili uporabljeni dostopalo strokovno telo, ki zastopa delavce, in nadziralo zakonitost.[43]

Strogo razumevanje pravic po GDPR kot individualiziranih pravic lahko otežuje tudi postopek kompenzacije škode. Kljub temu da GDPR daje na voljo različne možnosti uveljavljanja pravic (npr. da posameznik vloži pritožbo pri nadzornem organu[44] ali da pooblasti neprofitno organizacijo, da zanj uveljavlja pravice in morebitno odškodnino),[45] je lahko škoda premajhna, da bi se delavcu splačalo v postopek vlagati čas in energijo. Po drugi strani pa je lahko škoda zelo velika, vendar posameznik ne ve, da je bila povzročena nezakonito. Adams-Prassl in drugi kot klasičen primer navajajo situacijo, ko bi se algoritem odločil, da kandidatu ne bo ponujen razgovor za službo.[46] Takšna nepravilnost je praktično nevidna in tako tudi zelo težko izpodbijana, ravno zato ker izolirani obdelani podatki ne razkrivajo vzorca odločanja.[47]

AKT O UMETNI INTELIGENCI KOT MOŽNA REŠITEV

Veliko upanja za boljšo regulacijo varstva osebnih podatkov delavcev se polaga v Akt o umetni inteligenci (Akt o UI),[48] ki vzpostavlja enoten in vseobsegajoč okvir t. i. »evropskega« pristopa k UI[49] in med drugim vsebuje tudi specialne določbe za delovna razmerja. Kot izhaja iz 36. uvodne izjave Akta o UI, bi bilo potrebno kakršnekoli sisteme UI, ki se uporabljajo v kontekstu delovnih razmerij, razvrstiti med umetnointeligenčne sisteme velikega tveganja, saj lahko ti sistemi občutno vplivajo na prihodnje poklicne možnosti in s tem eksistenčni položaj delavca. Predlagana ureditev temelji na sistemu obvladovanja tveganja, ki ga opredeljuje 9. člen Akta o UI. Sistem obvladovanja tveganja je sestavljen iz »neprekinjenega ponavljajočega se procesa, ki se izvaja med celotno življenjsko dobo umetnointeligenčnega sistema velikega tveganja«[50] in za uporabnike takšnih sistemov predvideva izvedbo taksativno naštetih postopkovnih zahtev. Ena izmed predvidenih postopkovnih zahtev je izvedba interne ocene tveganj, ki se lahko pojavijo pri uporabi umetnointeligenčnega sistema velikega tveganja. V skladu s 43. členom Akta o UI, pri izvedbi interne ocene ni zahtevano sodelovanje priglašenega organa[51] – predvideni so zlasti strokovni organi, ki bi zastopali delavce – kar močno zmanjša učinkovitost opisanega sistema z vidika varstva osebnih podatkov delavcev.

Akt o UI tako resda vzpostavlja nekatere pomembne mehanizme varstva (npr. transparentnost, človeški nadzor, notranja kontrola ipd.), a ima pri tem številne pomanjkljivosti.[52] Temeljna pomanjkljivost Akta o UI z vidika varstva osebnih podatkov delavcev je dejansko že v njegovi idejni zasnovi. V svojem bistvu je namreč osredotočen na širjenje »dobre« oziroma »zaupanja vredne« (angl. trustworthy) UI, ne pa na zaščito temeljnih pravic posameznikov,[53] kot sta spoštovanje zasebnega življenja in varstvo osebnih podatkov.[54] Posledica tega je, da pod regulatorni drobnogled postavlja predvsem ponudnike in proizvajalce sistemov velikega tveganja (t. i. razvijalce) ne pa njihovih končnih uporabnikov (potencialnih delodajalcev).[55] Teorija opozarja tudi na dejstvo, da bo Akt o UI ob začetku uporabe prevladal nad bolj omejevalnimi zakonodajami.[56] Deloval bo kot neke vrste regulatorni »strop«, saj bo preprečeval uporabo strožjih določb nacionalnih zakonodaj in s tem efektivno zniževal standard varstva.[57] V njem namreč ni vsebovana klavzula, ki bi bila primerljiva s klavzulo iz 88. člena GDPR – ta eksplicitno pooblašča države članice, da področje varstva osebnih podatkov v delovnem razmerju podrobneje uredijo z nacionalno zakonodajo – kar bi lahko sprožilo deregulacijo na področju delovnopravnih ureditev po Evropi.[58]

SKLEPNE MISLI

Ničkolikokrat je bilo v preteklih letih opozorjeno, da so korenite spremembe zaradi implementacij algoritemskih (UI) tehnologij na delovnem mestu le še vprašanje časa. GDPR je do neke mere lahko interpretiran z ozirom na posebnosti delovnega razmerja, vendar pa je moč skleniti, da ne zagotavlja zadostnega varstva delavčevih osebnih podatkov, zlasti pod vplivi digitalizacije. Na bolj konkretne rešitve glede regulacije UI bo očitno potrebno počakati vsaj do začetka uporabe Akta o umetni inteligenci – če ne dlje, saj se zdi, da slednjemu varstvo osebnih podatkov v delovnem razmerju ni prioriteta.

Poudariti gre, da je GDPR v veliki meri pripravljen dobro glede na ekstenzivnost svojega namena, vendar pa se njegova hiba odraža ravno v splošnosti – aplikativen je vsem področjem, a nobenemu specifično. Vsekakor bi bilo potrebno pravo varstva osebnih podatkov prilagoditi posebnostim delovnega razmerja, zlasti ko se za pravno podlago njihove obdelave uporablja privolitev. Poleg tega izrazita individualiziranost pravic ne more funkcionalno zaščititi interesov v delovnem razmerju. Delavčev položaj preprosto ni ustrezno varovan brez dodatnih jamstev (zlasti povezanih z zastopniki delavcev), ki so sicer v splošnem značilna za delovno pravo. Če ne drugače, je nekatere pomanjkljivosti ureditve mogoče korigirati z uporabo klavzule iz 88. člena GDPR, ki pooblašča države članice, da področje prava varstva osebnih podatkov v delovnih razmerjih podrobneje uredijo z nacionalno zakonodajo.

Seznam literature:

Abraha, Halefom: A pragmatic compromise? The role of Article 88 GDPR in upholding privacy in the workplace, v: International Data Privacy Law, 12 (2022) 4, str. 276–296.

Abraha, Halefom: Regulating algorithmic employment decisions through data protection law, v: European Labour Law Journal, 14 (2023) 2, str. 172–191.

Adams-Prassl, Jeremias; Abraha, Halefom; Kelly-Lyth, Aislinn; Silberman 'Six' Michael; Rakshita, Sangh: Regulating algorithmic management: A blueprint, v: European Labour Law Journal 14 (2023) 2, str. 124–151.

Bagari, Sara: Tveganja pri uvajanju umetne inteligence v delovna razmerja in možne pravne rešitve, v: Delavci in delodajalci, 23 (2023) 2–3, str. 221–240.

Baiocco, Sara; Fernandez-Macías, Enrique; Rani, Uma; Pesole, Annarosa: The Algorithmic Management of Work and Its Implications in Different Contexts, International Labour Organization and European Commission Background paper, št. 9, Ženeva in Bruselj (9. junij 2022).

Davies, Paul; Freedland, Mark: Kahn-Freund's Labour and the Law, tretja izdaja, Stevens & Sons, London 1983.

ITN International: Why a white paper on European Union GDPR?, URL: https://www.iaee.com/wp-content/uploads/2018/02/ITN-GDPR-Whitepaper-Dec-2017.pdf (11. marec 2024).

Kelly-Lyth, Aislinn: Algorithmic discrimination at work, v: European Labour Law Journal 14 (2023) 2, str. 152–171.

Kraigher Mišič, Klemen (ur.) in drugi: Uvod v varstvo osebnih podatkov, Lexpera, GV Založba, Ljubljana 2024.

Langer, Markus; König, Cornelius J.; Busch, Vivien: Changing the means of managerial work: effects of automated decision support systems on personnel selection tasks, v: Journal of Business and Psychology, 36 (2021), str. 751–769.

Lukács, Adrienn; Váradi, Szilvia: GDPR-compliant AI-based automated decision-making in the world of work, v: Computer Law & Security Review, 50 (2023), str. 1–14.

Nemška zveza sindikatov: The German Trade Union Confederation’s Position on the EU Commission’s draft of a European AI Regulation, URL: www.dgb.de/downloadcenter/++co++9341cf1a-5107-11ec-9432-001a4a160123 (2021).

Nolan, Philip; Cadogan, Áine; Quirke, Áine: Processing Employee Personal Data - Five Key Tips for Employers, URL: https://www.lexology.com/library/detail.aspx?g=2f3f9d36-61bb-4b71-be46-42dfa0420202 (11. marec 2024).

Ogriseg, Claudia: GDPR and Personal Data Protection in the Employment Context, v: Labour & Law Issues, 3 (2017) 2.

Pirc Musar, Nataša (ur.) in drugi: Komentar Splošne uredbe o varstvu podatkov, Uradni list Republike Slovenije, Ljubljana 2020.

Šerbec, Hana; Polajžar, Aljoša: Predlog Akta o umetni inteligenci in vpliv na delovna razmerja, v: Pravna praksa : časopis za pravna vprašanja, 41 (2022) 15, str. 11–13.

Tisné, Martin: The Data Delusion: protecting individual data isn't enough when the harm is collective. URL: https://cyber.fsi.stanford.edu/publication/data-delusion (12. marec 2024).

Wachter, Sandra; Mittelstadt, Brent; Russell, Chris: Counterfactual Explanations Without Opening the Black Box: Automated Decisions and the GDPR, v: Harvard Journal of Law & Technology, 31 (2018) 2, str. 841–887.

OPOMBE

[1] *Pravna fakulteta Univerze v Ljubljani.

[2] **Pravna fakulteta Univerze v Ljubljani.

[3]  Kraigher Mišič, v: Kraigher Mišič (ur.) in drugi, Uvod v varstvo osebnih podatkov (2024), str. 173.

[4]  Sedmi odstavek 4. člena GDPR govori le o »upravljavcu«, a bova v članku zaradi jasnosti uporabljala izraz »upravljavec osebnih podatkov«.

[5]  Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (Besedilo velja za EGP), Uradni list L 119.

[6]  To področje v Sloveniji ureja tudi Zakon o varstvu osebnih podatkov (ZVOP-2), ki naj bi se ga bralo vzporedno z GDPR ter področna zakonodaja – predvsem Zakon o delovnih razmerjih (ZDR-1) ter Zakon o evidencah na področju dela in socialne varnosti (ZEPDSV).

[7]  Drugi odstavek 4. člena GDPR.

[8]  Kraigher Mišič, v: Kraigher Mišič (ur.) in drugi, Uvod v varstvo osebnih podatkov (2024), str. 172.

[9]  Abraha, The role of Article 88 GDPR in upholding privacy in the workplace (2022), str. 276–277.

[10]  Prav tam, str. 276–278.

[11]  Prav tam, str. 280.

[12]  Prav tam, str. 281.

[13]  Abraha, Regulating algorithmic employment decisions through data protection law (2023), str. 185.

[14]  Ogriseg, GDPR and Personal Data Protection (2017), str. 8.

[15]  Kraigher Mišič, v: Kraigher Mišič (ur.) in drugi, Uvod v varstvo osebnih podatkov (2024), str. 173.

[16]  Uvodna izjava št. 42 Splošne uredbe o varstvu podatkov.

[17]  Kraigher Mišič, v: Kraigher Mišič (ur.) in drugi, Uvod v varstvo osebnih podatkov (2024), str. 172.

[18]  Davies, Freedland, Kahn-Freund's Labour and the Law (1983), str. 18.

[19]  Gre za bolj občutljive osebne podatke, ki jih GDPR v 9. členu ureja kot »posebne vrste osebnih podatkov« in za njih predvideva višji standard varstva. Mednje spadajo osebni podatki, ki razkrivajo npr. rasno ali etnično poreklo, politično mnenje ali članstvo v sindikatu.

[20]  ITN International, Why a white paper on EU GDPR?, URL: https://www.iaee.com/wp-content/uploads/2018/02/ITN-GDPR-Whitepaper-Dec-2017.pdf., str. 5.

[21]  Izraz se v delovnopravnem kontekstu predvsem uporablja za odločitve glede dodeljevanja dela, dajanjem navodil, nadzorom in ocenjevanjem delavcev s strani algoritmov. (Bagari, Tveganja pri uvajanju umetne inteligence v delovna razmerja in možne pravne rešitve (2023), str. 222)

[22]  Smernice o avtomatiziranem sprejemanju posameznih odločitev in oblikovanju profilov za namene Uredbe 2016/679, str. 13.

[23] Uporaba UI predvsem lahko vodi do diskriminatorne obravnave posameznika, saj je bilo že večkrat izkazano, da algoritmi posnemajo vzorce iz dejanske družbene realnosti, ko se učijo. (Kelly-Lyth, Algorithmic discrimination at work (2023), str. 153).

[24]  Lukács, Váradi, GDPR-compliant AI-based automated decision-making in the world of work (2023), str. 5.

[25]  Prvi odstavek 22. člena GDPR. Člen sicer regulira tudi delanje profilov, na kar pa se članek ne bo osredotočil.

[26]  Evropski odbor za varstvo podatkov člen kategorizira v smislu prepovedi, slovenski Komentar Splošne uredbe o varstvu podatkov pa – upoštevaje sistematično razlago – zagovarja stališče, da gre za pravico posameznika. Umeščen je namreč v III. poglavje GDPR, ki je naslovljeno »Pravice posameznika, na katerega se nanašajo osebni podatki«.

[27]  Glej prvi odstavek 22. člena GDPR.

[28]  Kraigher Mišič, v: Pirc Musar (ur.) in drugi, KOMENTAR SPLOŠNE UREDBE O VARSTVU PODATKOV (2020), str. 411–419.

[29]  Lukács, Váradi, GDPR-compliant AI-based automated decision-making in the world of work (2023), str. 3–4.

[30]  Kraigher Mišič, v: Pirc Musar (ur.) in drugi, KOMENTAR SPLOŠNE UREDBE O VARSTVU PODATKOV (2020), str. 411–419.

[31]  Kelly-Lyth, Algorithmic discrimination at work (2023), str. 169; tako tudi Abraha, Regulating algorithmic employment decisions through data protection law (2023), str. 179; Mednarodna organizacija dela pri tem opozarja, da verjetno trenutno tehnološko še ni mogoče ustvariti popolnoma avtomatiziranega in avtonomnega sistema odločanja UI, kar pomeni da je 22. člen v večini primerov izvotlen. Glej Baiocco, Fernandez-Macías, Rani, Pesole, The Algorithmic Management of Work (2022), str. 6.

[32]  Prvi odstavek 22. člena GDPR: »posameznik, na katerega se nanašajo osebni podatki, ima pravico, da zanj ne velja odločitev, ki temelji zgolj na avtomatizirani obdelavi /.../«.

[33]  Abraha, Regulating algorithmic employment decisions through data protection law (2023), str. 180–181.

[34]  Lukács, Váradi, GDPR-compliant AI-based automated decision-making in the world of work (2023), str. 8.

[35] Celo ime je »Delovna skupina za varstvo posameznikov pri obdelavi osebnih podatkov«.

[36]  Direktiva Evropskega parlamenta in Sveta 95/46/ES z dne 24. oktobra 1995 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov. Delovno skupino je ob začetku uporabe GDPR, 25. maja 2018, nadomestil Evropski odbor za varstvo podatkov (EDPB).

[37]  Smernice o avtomatiziranem sprejemanju posameznih odločitev in oblikovanju profilov za namene Uredbe 2016/679, str. 26.

[38]  Lukács, Váradi, GDPR-compliant AI-based automated decision-making in the world of work (2023), str. 9.

[39]  Wachter, Mittelstadt, Russell, Counterfactual Explanations Without Opening the Black Box (2018), str. 880–883.

[40] Abraha, Regulating algorithmic employment decisions through data protection law (2023), str. 184–185.

[41]  Prav tam, str. 184.

[42]  Prvi odstavek 15. člena GDPR: »posameznik, na katerega se nanašajo osebni podatki, ima pravico od upravljavca dobiti potrditev, ali se v zvezi z njim obdelujejo osebni podatki, in kadar je temu tako, dostop do osebnih podatkov /.../«. GDPR med drugim prav tako zahteva, da se posamezniku, na katerega se nanašajo osebni podatki razkrije namen obdelave, uporabnike, ki so jim bili podatki posredovani, predvideno obdobje hrambe ipd.

[43] Adams-Prassl, Abraha, Kelly-Lyth, Silberman, Sangh, Regulating algorithmic management (2023), str. 138–139.

[44]  Glej 77. člen GDPR.

[45]  Glej 80. člen GDPR.

[46] Adams-Prassl, Abraha, Kelly-Lyth, Silberman, Sangh, Regulating algorithmic management (2023), str. 138–139.

[47]  Tisné, Protecting individual data isn't enough when the harm is collective. URL: https://cyber.fsi.stanford.edu/publication/data-delusion, str. 4–6.

[48]  Predlog Uredbe Evropskega parlamenta in Sveta z dne 21. aprila 2021 o določitvi harmoniziranih pravil o umetni inteligenci (Akt o umetni inteligenci) in spremembi nekaterih zakonodajnih aktov Unije.

[49]  Šerbec, Polajžar, Predlog Akta o umetni inteligenci in vpliv na delovna razmerja (2022), str. 11.

[50]  Drugi odstavek, 9. člena Akta o UI.

[51] Za to se je zavzemala zlasti Nemška zveza sindikatov (DGB). Glej Nemška zveza sindikatov, The German Trade Union Confederation’s Position on the EU Commission’s draft of a European AI Regulation, URL: www.dgb.de/downloadcenter/++co++9341cf1a-5107-11ec-9432-001a4a160123.

[52]  Lukács, Váradi, GDPR-compliant AI-based automated decision-making in the world of work (2023), str. 12.

[53]  Prav tam.

[54]  Glej 7. in 8. člen Listine Evropske unije o temeljnih pravicah (2010/C 83/02).

[55]  Šerbec, Polajžar, Predlog Akta o umetni inteligenci in vpliv na delovna razmerja (2022), str. 13.

[56] Bagari, Tveganja pri uvajanju umetne inteligence v delovna razmerja in možne pravne rešitve (2023), str. 236–237.

[57]  Lukács, Váradi, GDPR-compliant AI-based automated decision-making in the world of work (2023), str. 12.

[58] Prav tam.