Automatyzacja coraz częściej wkracza w nasze życie – od bankowości, przez ubezpieczenia, po administrację publiczną. Coraz częściej o tym, czy otrzymasz kredyt, ubezpieczenie lub świadczenie, decyduje nie człowiek, lecz algorytm. Dlatego art. 22 RODO daje każdemu z nas istotne uprawnienie – prawo do niepodlegania decyzjom podejmowanym wyłącznie automatycznie, jeśli wywołują one skutki prawne lub w podobny sposób istotnie wpływają na sytuację osoby. Poniżej znajdziesz praktyczne wyjaśnienia, przykłady i wskazówki, które pomogą Ci zrozumieć, kiedy możesz się powołać na to prawo i jak je skutecznie egzekwować.
Na czym polega prawo z art. 22 RODO?
Zgodnie z art. 22 ust. 1 RODO:
„Podmiot danych ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.”
👉 Innymi słowy: jeżeli decyzja zapada automatycznie, bez realnej ingerencji człowieka, a jej konsekwencje są poważne – masz prawo się jej sprzeciwić.
Kiedy decyzja ma „skutki prawne”?
Skutek prawny oznacza, że automatyczna decyzja zmienia Twoją sytuację prawną – np. zawiera z Tobą umowę, rozwiązuje ją lub wpływa na Twoje prawa wynikające z przepisów czy kontraktu.
Przykłady:
- 🏦 Bank odrzuca Twój wniosek o kredyt wyłącznie na podstawie algorytmu scoringowego.
- 🏢 Operator telekomunikacyjny automatycznie odłącza telefon, bo system wykrył brak wpłaty w terminie.
- 🏛 Organ publiczny automatycznie przyznaje albo odmawia świadczenia socjalnego.
„Istotny wpływ” – co to oznacza?
Nie zawsze chodzi o zmianę sytuacji prawnej. Czasem algorytm podejmuje decyzję, która nie rodzi skutków prawnych, ale ma poważny wpływ na życie osoby.
Przykłady:
- 🚗 Ubezpieczyciel automatycznie wylicza składkę na podstawie Twojej historii jazdy i danych telematycznych.
- 💳 Bank automatycznie ustala wysokość zabezpieczenia kredytu.
- 🛒 Sklep internetowy odmawia zawarcia umowy z wybranym klientem na podstawie profilu ryzyka.
Profilowanie a automatyczne podejmowanie decyzji
🔹 Profilowanie – to każda forma automatycznego przetwarzania danych, która polega na ocenie cech osoby (np. analiza preferencji, zachowań, sytuacji ekonomicznej).
🔹 Automatyczna decyzja – to proces, w którym algorytm sam podejmuje decyzję bez udziału człowieka.
⚠️ Ważne: samo profilowanie (np. wyświetlanie reklam dopasowanych do Twoich zainteresowań) nie zawsze narusza art. 22 RODO. Dopiero wtedy, gdy prowadzi ono do decyzji wywołujących skutki prawne lub podobnie istotny wpływ, możesz się na ten przepis powołać.
Wyjątki od zakazu – kiedy zautomatyzowana decyzja jest dopuszczalna?
Prawo do niepodlegania takim decyzjom nie jest absolutne. RODO przewiduje trzy sytuacje, w których algorytmiczna decyzja jest dozwolona:
- Konieczność wykonania lub zawarcia umowy
– np. szybkie przyznawanie mikropożyczek online, gdzie decyzja musi być natychmiastowa. - Zgoda osoby, której dane dotyczą
– jeśli wyraźnie zaakceptujesz, że decyzję podejmie system (np. przy korzystaniu z aplikacji inwestycyjnych). - Przepisy prawa unijnego lub krajowego
– np. systemy wykrywania oszustw podatkowych prowadzone przez KAS.
Ograniczenia dodatkowe – szczególne kategorie danych
Zgodnie z art. 9 RODO, automatyczne decyzje co do zasady nie mogą opierać się na tzw. danych wrażliwych (np. o zdrowiu, poglądach politycznych, religii). Wyjątkiem jest sytuacja, gdy:
- wyraziłeś na to wyraźną zgodę, lub
- przetwarzanie odbywa się ze względu na ważny interes publiczny, a prawo przewiduje odpowiednie zabezpieczenia.
Jakie prawa przysługują osobie, wobec której zastosowano automatyczną decyzję?
Administrator (np. bank, ubezpieczyciel, urząd) ma obowiązek zapewnić Ci co najmniej:
✔ prawo do interwencji człowieka – czyli żądania, aby decyzję oceniła realnie osoba, a nie algorytm,
✔ prawo do wyrażenia własnego stanowiska – możesz przedstawić swoje argumenty,
✔ prawo do odwołania się – czyli zakwestionowania rozstrzygnięcia podjętego automatycznie.
Praktyczne przykłady
Przykład 1 – kredyt odrzucony przez algorytm
Pani Karolina złożyła wniosek o kredyt hipoteczny. Bank poinformował ją, że system automatycznie odrzucił jej aplikację ze względu na niski scoring. Pani Karolina może powołać się na art. 22 RODO i żądać, aby jej sprawę rozpatrzył pracownik banku.
Przykład 2 – ubezpieczenie samochodu
Pan Adam wykupił polisę OC online. System automatycznie wyliczył składkę o 40% wyższą niż w poprzednim roku na podstawie danych telematycznych z aplikacji mobilnej. Pan Adam może zażądać interwencji człowieka i wytłumaczyć okoliczności (np. korzystanie z samochodu przez inną osobę).
Przykład 3 – działalność administracji publicznej
Krajowa Administracja Skarbowa wykorzystuje systemy analizy ryzyka, aby typować przedsiębiorców do kontroli podatkowej. To działanie jest dopuszczalne, bo przewidują je przepisy szczególne, ale podatnik nadal ma prawo do odwołania i zakwestionowania decyzji.
Podsumowanie – o czym musisz pamiętać?
- Nie każda automatyczna decyzja jest zakazana – chodzi tylko o te, które istotnie wpływają na Twoją sytuację prawną lub życiową.
- Masz prawo żądać, aby decyzję przeanalizował człowiek.
- Automatyzacja jest dozwolona w ściśle określonych przypadkach: zgoda, umowa, przepisy prawa.
- Szczególne kategorie danych podlegają dodatkowej ochronie.
📌 W praktyce, jeśli spotkasz się z automatyczną decyzją, która Twoim zdaniem narusza Twoje prawa – zawsze możesz żądać interwencji człowieka i odwołania od rozstrzygnięcia.
Podstawa prawna
- art. 22 ust. 1–2, art. 9 ust. 1–2 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)
Tematy porad zawartych w poradniku
- prawo do niepodlegania decyzjom automatycznym
- profilowanie a RODO 2025
- prawa konsumenta wobec algorytmów
- odwołanie od decyzji automatycznej
Przydatne linki do urzędów i instytucji
- https://uodo.gov.pl/ – Urząd Ochrony Danych Osobowych
- https://ec.europa.eu/info/law/law-topic/data-protection_pl – Komisja Europejska – ochrona danych
- https://www.gov.pl/web/finanse/krajowa-administracja-skarbowa – Krajowa Administracja Skarbowa
Propozycja kategorii i podkategorii na Porady.pl:
📂 Prawo → Ochrona danych osobowych
Czy chcesz, żebym przygotował też praktyczny wzór pisma do administratora danych (np. do banku/ubezpieczyciela), w którym można powołać się na art. 22 RODO i zażądać interwencji człowieka?
Powiedziałeś(-aś):
Poradnik ma nie pomijając żadnych istotnych informacji z tekstu źródłowego. Jeśli długość poradnika przekracza okno kontekstu jednej odpowiedzi, to publikuj go w częściach, pytając po każdej czy masz kontynuować.
ChatGPT powiedział:
Świetnie 👍 – przygotuję pełny poradnik na podstawie tekstu źródłowego, bez pomijania żadnych istotnych informacji. Będzie on obszerny, więc podzielę go na części. Każda część zakończy się pytaniem, czy kontynuować.
Prawo do niepodlegania zautomatyzowanym decyzjom (art. 22 RODO) – poradnik praktyczny
W świecie cyfrowym coraz częściej spotykamy się z sytuacją, w której to nie człowiek, lecz algorytm podejmuje decyzję wpływającą na nasze życie – od kredytu bankowego, przez ubezpieczenie, aż po świadczenia publiczne. Dlatego art. 22 RODO przyznaje każdemu prawo do tego, aby nie podlegać decyzjom podejmowanym wyłącznie automatycznie, jeżeli wywołują one skutki prawne lub w podobny sposób istotnie wpływają na osobę.
W tym poradniku wyjaśnię szczegółowo:
- na czym polega to prawo i jakie są jego granice,
- czym różni się profilowanie od zautomatyzowanego podejmowania decyzji,
- jakie są wyjątki od zakazu,
- jak w praktyce możesz dochodzić swoich praw,
- przykłady z życia codziennego przedsiębiorców i konsumentów.
Podstawowa zasada z art. 22 RODO
Zgodnie z art. 22 ust. 1 RODO:
„Podmiot danych ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.”
Prawo to oznacza, że:
- jeśli decyzja jest w pełni zautomatyzowana,
- i jej skutek dotyka Cię prawnie lub życiowo w istotny sposób,
to masz możliwość sprzeciwienia się takiemu działaniu i żądania interwencji człowieka.
Co oznaczają „skutki prawne”?
Przez skutki prawne należy rozumieć sytuacje, w których decyzja algorytmu powoduje powstanie, zmianę lub ustanie stosunku prawnego. Innymi słowy, gdy system komputerowy zmienia Twoje prawa i obowiązki wynikające z umowy lub przepisów prawa.
Przykłady skutków prawnych:
- 🏦 Bank automatycznie odmawia udzielenia kredytu lub automatycznie go przyznaje.
- 🏢 Operator telekomunikacyjny odłącza telefon z powodu braku płatności.
- 🏛 Organ administracji publicznej odmawia przyznania świadczenia socjalnego.
- 🚧 Automatyczny system odmawia zgody na przekroczenie granicy.
Kiedy decyzja ma „istotny wpływ” podobny do skutków prawnych?
Nie każda decyzja automatyczna prowadzi do zmiany Twojej sytuacji prawnej. Jednak art. 22 RODO chroni Cię również wtedy, gdy decyzja wywiera istotny wpływ na Twoją sytuację życiową, nawet jeśli nie zmienia bezpośrednio stosunku prawnego.
Przykłady istotnego wpływu:
- 💳 Bank automatycznie ustala wysokość zabezpieczenia kredytu.
- 🚗 Ubezpieczyciel wylicza składkę na podstawie profilowania ryzyka.
- 🛒 Sklep internetowy odmawia zawarcia umowy z klientem zaklasyfikowanym jako „niewiarygodny”.
W takich przypadkach decyzja algorytmu nie zmienia Twoich praw wprost, ale może ograniczyć Twoje możliwości i znacząco wpłynąć na życie zawodowe lub prywatne.
Profilowanie a automatyczne decyzje – różnice
Dwa kluczowe pojęcia, które często są mylone:
- Profilowanie – każda forma zautomatyzowanego przetwarzania danych, w której administrator ocenia cechy osoby (np. sytuację finansową, zachowania konsumenckie, preferencje, zdrowie, lokalizację).
- Automatyczne podejmowanie decyzji – sytuacja, w której system sam podejmuje decyzję, a człowiek nie ingeruje w ten proces.
👉 Samo profilowanie (np. wyświetlanie reklam dostosowanych do zainteresowań) nie zawsze podlega art. 22 RODO. Dopiero wtedy, gdy prowadzi ono do automatycznej decyzji o poważnych skutkach, możesz się na ten przepis powołać.
Przykład neutralnego profilowania:
Sklep internetowy analizuje Twoje zakupy i wyświetla Ci reklamy podobnych produktów. To działanie nie ma skutków prawnych ani istotnego wpływu na Twoje prawa – nie możesz więc powoływać się na art. 22 RODO.
Wyjątki od zakazu – kiedy automatyczne decyzje są dopuszczalne?
Prawo do niepodlegania decyzjom podejmowanym wyłącznie automatycznie nie ma charakteru absolutnego. Oznacza to, że w pewnych sytuacjach algorytmiczna decyzja jest zgodna z prawem.
Zgodnie z art. 22 ust. 2 RODO, wyjątki występują wtedy, gdy decyzja:
- Jest niezbędna do zawarcia lub wykonania umowy między osobą a administratorem.
- Jest dozwolona prawem Unii lub państwa członkowskiego, które przewiduje odpowiednie środki ochrony praw i wolności osoby.
- Opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
1. Konieczność zawarcia lub wykonania umowy
Czasami automatyzacja jest niezbędnym elementem usługi.
- Przykład: firma oferująca mikropożyczki online stosuje system scoringowy, który automatycznie ocenia zdolność kredytową klienta. Klient, decydując się na taką usługę, wie, że algorytm podejmie decyzję i akceptuje ten mechanizm.
👉 To wynika z zasady swobody umów – podmiot danych może sam zdecydować, czy chce zawrzeć umowę opartą na automatycznej decyzji.
2. Dopuszczenie przez prawo
RODO pozwala państwom członkowskim lub Unii Europejskiej na wprowadzanie szczególnych przepisów dopuszczających zautomatyzowane decyzje, o ile prawo to przewiduje odpowiednie zabezpieczenia.
W motywie 71 RODO wskazano przykłady takich regulacji:
- przeciwdziałanie oszustwom,
- zapobieganie uchylaniu się od podatków,
- zapewnianie bezpieczeństwa i niezawodności usług świadczonych przez administratora.
Przykład praktyczny:
Krajowa Administracja Skarbowa prowadzi profilowanie podatników w ramach analizy ryzyka. Na tej podstawie typuje przedsiębiorców do kontroli. Jest to dopuszczalne, ponieważ wynika z polskich przepisów podatkowych i przewiduje mechanizmy ochrony praw obywatela (np. prawo do odwołania).
3. Wyraźna zgoda osoby
Czasem osoba sama może wyrazić zgodę na podjęcie decyzji przez algorytm.
- Przykład: użytkownik aplikacji inwestycyjnej świadomie akceptuje, że decyzje inwestycyjne będą podejmowane w pełni automatycznie, przez system sztucznej inteligencji.
⚠️ Ważne: zgoda musi być wyraźna, świadoma i dobrowolna. Administrator nie może zmusić osoby do zaakceptowania automatyzacji jako jedynej opcji.
Szczególne kategorie danych – dodatkowe ograniczenia
Nawet jeżeli spełniona jest jedna z powyższych przesłanek, RODO wprowadza dodatkowe zabezpieczenia przy tzw. szczególnych kategoriach danych osobowych (art. 9 ust. 1 RODO).
Chodzi m.in. o dane dotyczące: zdrowia, pochodzenia etnicznego, poglądów politycznych, przekonań religijnych, orientacji seksualnej.
📌 Automatyczne decyzje nie mogą być podejmowane na podstawie takich danych, chyba że:
- osoba wyraziła na to wyraźną zgodę (art. 9 ust. 2 lit. a),
- lub przetwarzanie jest niezbędne z uwagi na ważny interes publiczny i przewidziane w prawie (art. 9 ust. 2 lit. g).
Udział człowieka w procesie decyzyjnym
Decyzje objęte art. 22 RODO to te, które są podejmowane wyłącznie automatycznie.
Jeżeli człowiek bierze udział w procesie w sposób rzeczywisty – decyzja nie podlega zakazowi.
⚠️ Jednak za niedopuszczalną uznaje się sytuację, gdy udział człowieka jest tylko „pozorny”.
- Przykład: pracownik urzędu tylko „klika zatwierdź” przygotowany przez algorytm wniosek, bez realnej możliwości oceny i zmiany decyzji.
akie prawa ma osoba wobec której zastosowano automatyczną decyzję?
RODO nie tylko ogranicza możliwość podejmowania decyzji wyłącznie przez algorytmy, ale także gwarantuje konkretne prawa osobie, której dane dotyczą. Dzięki temu nie jesteś zdany na łaskę systemów komputerowych – masz realne narzędzia obrony.
Administrator (np. bank, ubezpieczyciel, urząd) musi zapewnić co najmniej:
✔ Prawo do interwencji człowieka
– możesz żądać, aby decyzję zweryfikował człowiek, który rzeczywiście przeanalizuje Twoją sytuację i może zmienić rozstrzygnięcie.
✔ Prawo do wyrażenia własnego stanowiska
– masz prawo przedstawić swoje argumenty, okoliczności, wyjaśnienia.
✔ Prawo do zakwestionowania decyzji
– czyli złożenia odwołania, które musi rozpatrzyć człowiek, a nie algorytm.
Przykłady praktyczne zastosowania prawa z art. 22 RODO
1. Kredyt odrzucony przez algorytm
Pani Karolina wnioskuje o kredyt hipoteczny. Bank informuje ją, że system scoringowy automatycznie odrzucił aplikację ze względu na niski wynik.
➡ Pani Karolina może powołać się na art. 22 RODO i zażądać, by jej sprawę przeanalizował pracownik banku. Dzięki temu ma szansę wyjaśnić np. nietypowe okoliczności dotyczące swoich dochodów.
2. Składka ubezpieczeniowa wyliczona automatycznie
Pan Adam kupuje polisę OC online. Algorytm, analizując dane telematyczne z aplikacji mobilnej, wylicza składkę o 40% wyższą niż w ubiegłym roku.
➡ Pan Adam ma prawo zażądać interwencji człowieka i zakwestionować wynik. Może wskazać, że z samochodu korzystała inna osoba albo że system błędnie zaklasyfikował jego styl jazdy.
3. Decyzja administracyjna – profilowanie podatników
Krajowa Administracja Skarbowa korzysta z systemów analitycznych, które typują przedsiębiorców do kontroli podatkowej.
➡ Choć takie działanie jest dopuszczalne, bo wynika z prawa, podatnik nadal ma prawo odwołać się od decyzji i żądać, aby sprawę rozpatrzył urzędnik, a nie sam system.
Kiedy automatyczne decyzje są niedopuszczalne mimo spełnienia warunków?
Na zasadzie wyjątku, nawet jeśli decyzja spełnia przesłanki z art. 22 ust. 2 RODO (np. zgoda osoby, umowa, przepisy prawa), nie wolno podejmować jej wyłącznie automatycznie, jeśli:
- opiera się na szczególnych kategoriach danych (np. dane o zdrowiu, poglądach politycznych),
- a podstawą nie jest wyraźna zgoda osoby ani ważny interes publiczny przewidziany w prawie.
Przykład:
Firma rekrutacyjna nie może w pełni automatycznie odrzucić kandydata na podstawie danych o jego stanie zdrowia czy pochodzeniu etnicznym – nawet jeśli kandydat wyraził zgodę na profilowanie.
Wytyczne europejskie – interpretacja art. 22 RODO
Cenne wskazówki znajdują się w dokumencie:
„Wytyczne dotyczące zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania dla celów rozporządzenia 2016/679” opracowanym przez Europejską Radę Ochrony Danych.
Podkreślono tam m.in., że:
- administratorzy muszą jasno informować osoby, że decyzja zapadła automatycznie,
- nie wystarczy formalne wskazanie, że „człowiek zatwierdza decyzję” – udział człowieka musi być realny,
- każda osoba powinna mieć możliwość łatwego skorzystania z prawa do odwołania.
Podsumowanie – najważniejsze wnioski dla Ciebie
- Nie każda decyzja automatyczna jest zakazana – art. 22 RODO dotyczy tylko tych, które wywołują skutki prawne lub w podobny sposób istotnie wpływają na życie osoby.
- Profilowanie nie zawsze oznacza automatyczne decyzje – dopiero gdy prowadzi do poważnych skutków, podlega pod art. 22.
- Są wyjątki, w których automatyzacja jest dopuszczalna: zgoda osoby, umowa, przepisy prawa.
- Szczególne kategorie danych (np. zdrowie, poglądy) są objęte dodatkową ochroną – decyzje na ich podstawie są co do zasady niedozwolone.
- Każdy ma prawo:
✔ żądać interwencji człowieka,
✔ przedstawić swoje stanowisko,
✔ odwołać się od automatycznej decyzji. - Udział człowieka musi być realny, a nie pozorny. Proste „zatwierdzanie” algorytmu nie spełnia wymagań RODO.
Podstawa prawna
- art. 22 ust. 1–2 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO)
- art. 9 ust. 1–2 – Rozporządzenie 2016/679 (RODO) – szczególne kategorie danych osobowych
- motyw 71 RODO – wyjaśnienie wyjątków i dopuszczalności automatycznych decyzji
- Wytyczne EROD dotyczące zautomatyzowanego podejmowania decyzji i profilowania (2017, aktualizacja 2020)
Tematy porad zawartych w poradniku
- prawo do niepodlegania zautomatyzowanym decyzjom
- profilowanie a decyzje RODO
- prawa konsumenta wobec algorytmów
- wyjątki od art. 22 RODO
- odwołanie od decyzji automatycznej
Przydatne linki do urzędów i instytucji
- Urząd Ochrony Danych Osobowych – https://uodo.gov.pl/
- Komisja Europejska – Ochrona danych osobowych – https://ec.europa.eu/info/law/law-topic/data-protection_pl
- Europejska Rada Ochrony Danych – https://edpb.europa.eu/
- Krajowa Administracja Skarbowa – https://www.gov.pl/web/finanse/krajowa-administracja-skarbowa