obsługa klienta Poradnia Prawo

Profilowanie danych – RODO

Profilowanie danych w RODO rodzi wiele pytań i wątpliwości. Wydaje się że w ich wyjaśnieniu raczej nie pomaga definicja z Rozporządzenia, zgodnie z którą: „profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.

Choć dotychczas pojęcie profilowania nie było obce doktrynie i praktyce ochrony danych osobowych, to jednak w polskim prawie dopiero w RODO po raz pierwszy doczekało się oficjalnej definicji. Ustalono również podstawowe zasady, związane ze stosowaniem tego powszechnie obecnie wykorzystywanego przy przetwarzaniu danych osobowych mechanizmu.

 

CZYM JEST PROFILOWANIE

Najogólniej rzecz ujmując, są to takie operacje na zbiorach danych, których efektem jest przypisanie danej osobie określonych właściwości, cech lub przewidywanie jej zachowań.

Używając prostego przykładu – ponieważ kupuję książki prawnicze, skrypt księgarni oznaczy mnie w profilach: „profesjonalista” , „prawnik”, „ochrona danych osobowych”. Ze względu na to, iż jednocześnie kilkukrotnie kupiłem książki dla dzieci, trafiam również do kategorii „rodzic” – zaś analizując podane w formularzu zamówienia imię, zakwalifikowano mnie jako „mężczyznę” i w powiązaniu ze wcześniejszą informacją –  „ojca”.

Jak widać już po dokonaniu kilku prostych zakupów, sklep ma o mnie znacznie więcej informacji, niż sam mu wskazałem. Im częściej będę robić zakupy, tym więcej będzie tych informacji i będą one coraz bardziej precyzyjne. Co więcej, może się zdarzyć, że administrator powiąże dane z księgarni z informacjami pozyskanymi z innych prowadzonych przez siebie zbiorów danych, zwiększając tą metodą wiedzę o mnie. Naturalnie profilowanie ma swój cel. W podanym przykładzie skrypt sklepu może zacząć wysyłać do mnie oferty książek zgodnych z moimi zainteresowaniami. Co więcej, analiza danych innych klientów o podobnym profilu podpowie sprzedawcy, jakie produkty najczęściej kupują osoby o podobnym do mojego profilu, przewidując moje potencjalne zachowanie i  znacząco zwiększając skuteczność kierowanego do mnie marketingu. Zostanę więc poinformowany o nowym komentarzu do RODO, ale także, być może, o nowej książce „Dane osobowe w obrazkach dla dzieci”.

Podany przeze mnie przykład nie budzi większych kontrowersji. Zasadniczo końcowym efektem profilowania będzie w tym przypadku otrzymywanie ofert zgodnych z moimi zainteresowaniami i potencjalnymi potrzebami.

Można jednak wyobrazić sobie znacznie groźniejsze scenariusze – szczególnie, że do profilowania można użyć także wszelkich innych informacji – w tym geolokalizacyjnych, biometrycznych (np. automatycznej analizy zdjęć z kamer, skanów podpisów) czy związanych z e-płatnościami. Tak więc odpowiednia analiza danych może z dużą dozą prawdopodobieństwa ujawnić dane, których ujawniać byśmy sobie nie życzyli. Może również służyć celom wątpliwym etycznie lub niezgodnym z prawem – takim jak choćby szantażowanie ujawnieniem wrażliwych danych czy skompromitowaniem danej osoby przed określonym gronem osób (pracodawcą, wyborcami). W połączeniu z danymi statystycznymi uzyskanymi z analizy danych osób o podobnych profilach, przy odpowiednio dużej ilości danych w praktyce możliwa jest predykcja niektórych zachowań określonych osób a stąd prosta droga do różnego rodzaju manipulacji. Profilowanie może być również narzędziem dyskryminacji – np. poprzez wykluczenie określonych profili użytkowników z ofert lub możliwości skorzystania z danej usługi jak również uzależniania ceny usługi (np. ubezpieczenia) od wyniku profilowania. Dlatego jest to temat niezwykle ważny oraz zagadnienie, które ma istotne znaczenie w interpretacji wymagań RODO.

 

PROFILOWANIE W RODO

Wracając do przytoczonej na początku definicji, w RODO zdecydowano się na zawężenie zakresu definicji profilowania poprzez dwa istotne elementy. Pierwszym jest automatyzm. „(…)formę zautomatyzowanegoprzetwarzania danych(…)”. Oznacza to, że wykorzystywanie danych do oceny określonych cech lub zachować osoby fizycznej przez człowieka, nie będzie w świetle RODO traktowane jak profilowanie. Tu należy jednak zwrócić uwagę, że udział człowieka nie może ograniczać się wyłącznie do replikowania zaleceń wygenerowanych przez automat. Aby profilowanie nie miało charakteru zautomatyzowanego, człowiek musi mieć realną możliwość podjęcia decyzji o przypisaniu danej osoby do danego profilu.

Profilowaniem w świetle RODO nie będzie również przypisywanie do określonych profili całych grup osób. W świetle definicji, profilowanie dotyczy „(…) danych osobowych osoby fizycznej(…)”.

Profilowanie zostało opisane wprost w następujących przepisach RODO:

  • 4 pkt 4 – zawarta tam jest definicja profilowania;
  • 13 ust. 4 pkt f – w zakresie objęcia profilowania obowiązkiem informacyjnym;
  • 15 ust. 1 lit h – w zakresie prawa do informacji o dokonywanym profilowaniu;
  • 21 – w zakresie prawa do sprzeciwu względem profilowania
  • 22 – w zakresie prawa do żądania niepodlegania decyzji opartych na profilowaniu.

 

Oprócz tego dodać należy, że do profilowania mają zastosowanie także ogólne zasady RODO – np. prawo do bycia zapomnianym czy prawo do sprostowania.

Niektóre ograniczenia dotyczące profilowania można wywieść również z motywów – czyli nie mających charakteru normatywnego interpretacji zawartych w preambule Rozporządzenia. Dotyczy to w szczególności ochrony danych dzieci. Przykładowo motyw 38 wskazuje, że tworzenie profili osobowych dzieci dla celów marketingowych powinno podlegać szczególnej ochronie.

INFORMOWANIE I UZYSKIWANIE ZGODY NA PROFILOWANIE.

Pierwszą konsekwencją przytoczonych przepisów jest rozszerzony obowiązek informowania o tym, iż administrator na podstawie profilowania podejmuje zautomatyzowane decyzje oraz, jakie są reguły podejmowania takich decyzji a także, jakie konsekwencje dla osoby, której dane są przetwarzane się z tym wiążą. Część normatywna RODO nie określa obowiązku informowania, czy tym bardziej pozyskiwania zgody na samo profilowanie – choć niektórzy interpretatorzy wskazują w tym kontekście na treść motywu 60, które zaleca takie działania. Motyw ten nie znalazł jednak bezpośredniego odzwierciedlenia w normatywnej części RODO. Tak więc można przyjąć, że jeżeli administrator profiluje dane wyłącznie w celach statystycznych czy rozwojowych lub wyłącznie na wewnętrzne potrzeby i nie wiąże się to z żadnym procesem decyzyjnym względem osoby, której dane są profilowane, nie ma również obowiązku informować o tym działaniu lub uzyskiwać zgody w tym zakresie. Nie stoi przeszkodzie, aby takiej informacji udzielił.

W RODO nie do końca wyjaśnione, jak należy rozumieć pojęcie „wykorzystanie do celów podejmowania decyzji”. Do czasu, kiedy kwestia ta nie zostanie dookreślona przez oficjalne interpretacje oraz orzecznictwo sądowe,  zalecałbym przyjęcie najszerszej, a co za tym idzie najbezpieczniejszej interpretacji.

Za decyzję opartą na profilowaniu może być uznana każde działanie lub zaniechanie, którego efektem jest podjęcie określonej aktywności skierowanej do osoby, której dane podlegały profilowaniu lub dotyczące zakresu jej praw i obowiązków.

Opierając się na omawianym wcześnie przykładzie mojej osoby, „decyzją” będzie przygotowanie oferty rabatowej dedykowanej dla prawników. Decyzją będzie również podwyższenie mi wyceny składki OC ze względu na to, iż osoby zajmujące się danymi osobowymi statystycznie powodują więcej wypadków (przykład, mam nadzieję, abstrakcyjny). Ale decyzją będzie również zaniechanie wysyłki określonych ofert do mnie – np. ze względu na zaliczenie mnie do profilu „ojców” jak również decyzja o wysyłaniu ofert dotyczących literatury zajmującej się zagadnieniami danych osobowych.

I w takim wypadku RODO wymaga, abym miał wiedzę, czy dany podmiot korzysta z profilowania względem moich danych, jakie dane są używane do profilowania, jak zostałem „sprofilowany” czy też jaki jest cel profilowania danych.

Różne są zdania do wyrażenia zgody na profilowanie. Wymóg taki nie został wpisany w RODO wprost, pośrednio na istnienie takiego obowiązku może wskazywać treść motywu 72 „profilowanie podlega przepisom niniejszego rozporządzenia dotyczącym przetwarzania danych osobowych, takim jak przepisy określające podstawy prawne przetwarzania lub zasady ochrony danych”. Ale jak już wspomniałem – motywy nie mają charakteru normatywnego. Pośrednio komentatorzy wywodzą obowiązek informowania o automatycznym podejmowaniu decyzji opartych na profilowaniu również z treści z art. 22. Należy tu wskazać, że również WG29, czyli podmiot dokonujący interpretacji przepisów o ochronie danych osobowych, a za nim duża część komentatorów, stoi na stanowisku, iż automatyczne podejmowanie decyzji w oparciu o profilowanie powinno być poprzedzone uzyskaniem wyraźnej zgody w tym zakresie. Wynika to z intrepretacji treści art. 22 ust. 1 RODO jako generalnego zakazu podejmowania zautomatyzowanych decyzji na podstawie profilowania danych, od którego wyjątek stanowi sytuacja uzyskania zgody.  W mojej jednak opinii  – taka interpretacja nie znajduje odzwierciedlenia w treści tegoż artykułu, ponieważ „prawo do niepodlegania profilowaniu” nie jest równoznaczne z „zakazem profilowania” i wymaga aktywności danej osoby w celu realizacji tego prawa. Przy takiej interpretacji, odrębna zgoda dotycząca profilowania nie jest niezbędna, o ile w sposób prawidłowy wypełniony został obowiązek informacyjny. Podobnie jednak, jak większość komentatorów, zgadzam się z opinią że w związku z treścią art. 9 RODO wyraźna zgoda na automatyczne podejmowanie decyzji konieczna jest w przypadku, gdy profilowane są dane wrażliwe. Może się również zdarzyć, że pozyskanie zgody będzie działaniem korzystnym dla administratora ze względu na konsekwencje wynikające z prawa do niepodlegania profilowaniu, co nieco szerzej omówione zostanie w dalszej części.

PRAWO DO NIEPODLEGANIA PROFILOWANIU, SPRZECIW, INFORMOWANIE I SPROSTOWANIE

RODO przewiduje prawo każdej osoby do niepodlegania decyzjom opierającym się wyłącznie na profilowaniu (art. 22), jeżeli decyzja ta wywołuje wobec niej skutki prawne lub wpływa na nią w inny sposób. Od tego prawa przewidziano wyjątki – kiedy decyzja jest niezbędna do zawarcia lub wykonania umowy lub została dozwolona na poziomie prawa powszechnie obowiązującego lub osoba, której dane podlegają profilowaniu wyraziła na to zgodę. Warunkiem koniecznym dla zapewnienia realizacji tego prawa jest, aby osoba której proces ten dotyczy o tym wiedziała. Realizacja tego warunku opiera się bądź to na prawidłowo zrealizowanym obowiązku informacyjnym, bądź uzyskaniu zgody w tym zakresie.

Realizacja tego prawa będzie polegała na złożeniu przez osobę uprawnioną żądania zaniechania podejmowania automatycznych decyzji opartych na profilowaniu. Wniosek taki należy niezwłocznie zrealizować, z wyłączeniem sytuacji, w których prawo to zostało wyłączone – np. poprzez wcześniejsze wydanie zgody.

Pojawia się w tym kontekście pytanie, czy zgoda na profilowanie może stanowić część umowy. W mojej opinii – tak. Wynika to z treści art.  7 ust. 2, który generalnie przewiduje możliwość wyrażenia zgody w oświadczeniu dotyczącym także innych kwestii.

Pojawia się pytanie, czy określone działanie można uzależnić od złożenia zgody na profilowanie lub od niewycofywania tej zgody. Odpowiedź na to pytanie nie jest jednoznaczna. W mojej ocenie – jest to dopuszczalne. Przepisy RODO nie wyłączają w żadnym miejscu wprost takiego prawa. Jeżeli więc przyjmiemy, że dana oferta wynika ze zautomatyzowanego procesu profilowania, to oczywistym jest, że zaprzestanie takiego procesu na podstawie żądania osoby uprawnionej spowoduje brak możliwości korzystania z oferty. Wracając do mojego przykładu – jeżeli dzięki sproflilowaniu mnie jako „profesjonalnego prawnika” skrypt księgarni automatycznie przyznaje mi rabat na książki prawnicze, to po złożeniu żądania w zakresie niepodlegania decyzjom opartym na profliowaniu – uprawnienie to zostanie mi odebrane. Podobnie w przypadku decyzji o zniżce w ubezpieczeniu AC opartej na automatycznej analizie stylu jazdy opartej na GPS. Jeżeli ubezpieczony wycofa zgodę na wykorzystanie tych danych do podejmowania decyzji – wówczas prawidłowym będzie cofnięcie ulg czy zniżek, jakie z tego tytułu otrzymywał – choć warto tu wspomnieć, że w zakresie przetwarzania danych osobowych przez ubezpieczycieli przyjęte zostaną prawdopodobnie szczególne rozwiązania o charakterze ustawowym, które tą problematykę mogą uregulować w sposób odmienny.

W art. 21 RODO przewidziane zostało prawo sprzeciw wobec przetwarzania danych – dotyczący również profilowania. Po otrzymaniu sprzeciwu, należy niezwłocznie zaprzestać profilowania – także na potrzeby wewnętrzne, „chyba że wykaże on[administrator] istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.”

To ostatnie wyłączenie, opisane w RODO nie dotyczy profilowania na potrzeby marketingu bezpośredniego, w którym to zakresie osoba podlegająca profilowaniu może wnieść sprzeciw w każdych okolicznościach i w każdym czasie. W innych okolicznościach, realizacja prawa do sprzeciwu nie ma charakteru bezwzględnego i w tym zakresie możliwa jest odmowa – o ile zaistnieją przesłanki, uzasadniające dalsze profilowanie danych.

O prawie tym bezwzględnie należy poinformować przy wypełnianiu obowiązków informacyjnych.

Z prawem do informacji o przetwarzanych danych wiąże się również prawo do ich sprostowania – dotyczy to także danych wywnioskowanych w oparciu o profilowanie. Posługując się wcześniejszym przykładem – fakt kupowania przeze mnie dziecięcych książek nie musi oznaczać, że jestem ojcem. Być może często daje takie prezenty moim licznym bratankom. Uzyskując informację, iż system sprofilował mnie automatycznie jako „ojca” – co przecież może mieć konsekwencje np. w zakresie dostępu do ofert kierowanych do osób bezdzietnych, powinienem mieć możliwość sprostowania tej informacji.

W zakresie realizacji prawa do przenoszenia danych, stoję na stanowisku, iż profile mu nie podlegają. Informacje uzyskane w trakcie profilowania nie należą bowiem ani do kategorii danych pozyskanych wprost, ani do kategorii danych „zaobserwowanych”. Są to dane oparte o wnioskowanie na podstawie powyższych informacji. Sposób tego wnioskowania może stanowić know-how i aktywa przedsiębiorcy, który dokonuje profilowania. Wnioski te nie muszą też odpowiadać rzeczywistości (jak choćby we wskazanym wyżej przykładzie). Tak więc realizując prawo do przenoszenia danych, w mojej opinii można pominąć dane o profilowaniu, choć informacji takich nie powinno pomijać się przy realizacji prawa osoby, której dane przetwarzamy, do informacji.

Źródła:

  1. RODO, Ogólne Rozporządzenie o Ochronie Danych
  2. W29, WP 251, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679;
  3. RODO Ogólne Rozporządzenie o Ochronie Danych – komentarz, E.Bielak-Jomaa, D. Lubasz (red.)
  4. Przetwarzanie danych osobowych – kryteria profilowania – Rzeczpospolita, 24 marca 2017, Maria Guzewska, Izabela Kowalczuk-Pakuła

autor: DBMS

Redakcja Na Słuchawkach

Na Słuchawkach to projekt realizowany przez Fundację Forum Call Center. Tworzymy miejsce, w którym każdy znajdzie odpowiedzi na pytania dotyczące tzw. pracy na słuchawce czyli szeroko pojętej obsłudze klienta opartej na zdalnych kanałach komunikacji.

Dodaj komentarz

Kliknij aby dodać komentarz

 

PLIKI COOKIES:

Stosujemy pliki cookies, aby ułatwić korzystanie z serwisu. Szczegóły znajdziesz w Polityce Cookies.