Na czym polega profilowanie według RODO?
Sama definicja profilowania znalazła się w art. 4 pkt 4 rozporządzenia RODO i oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności zaś do analizy lub prognozy dotyczących:
- efektów pracy tej osoby;
- jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Profilowanie jest powszechnie wykorzystywane w bankowości przy określaniu zdolności kredytowej oraz szacowaniu poziomu ryzyka przez zakłady ubezpieczeń. Korzysta z niego sektor marketingu internetowego na potrzeby przygotowywania spersonalizowanych ofert i wycen (RODO a profilowanie). Profilowaniem jest także monitorowanie aktywności w internecie, które prowadzi do sugerowania powiązanych ze sobą produktów lub usług. Efektem profilowania jest analiza informacji dotyczących konkretnej osoby fizycznej w celu pozyskania innych, dotyczących jej danych, a w rezultacie zakwalifikowania do określonej grupy odbiorców formą przetwarzania danych osobowych polegającą na automatycznym przetwarzaniem danych osobowych na potrzeby marketingu bezpośredniego w sprawie zautomatyzowanego podejmowania decyzji ochrony danych osobowych prawa państwa członkowskiego.
Ważne jest to, że przetwarzanie danych może zostać uznane za profilowanie wyłącznie wtedy, gdy dotyczy możliwej do zidentyfikowania osoby fizycznej. Nie będą nim operacje prowadzone na całym, anonimowym, zbiorze populacji.
Zobacz również: Incydent RODO. Jak sobie z nim poradzić?
Jakie rodzaje profilowania można stosować?
Profilowanie dzieli się na zwykłe oraz kwalifikowane. Różnica między nimi jest o tyle istotna, że w przypadku profilowania zwykłego wystarczające będzie udzielenie informacji na temat zautomatyzowanego przetwarzania danych. Jeśli jednak chodzi o profilowanie kwalifikowane, konieczna będzie zgoda na konkretny rodzaj przetwarzania danych. Jak rozgraniczyć te dwie grupy działań?
Na czym polega profilowanie zwykłe?
Profilowanie zwykłe dotyczy przetwarzania danych osobowych, które wprawdzie jest zautomatyzowane, ale nie prowadzi do powstania konkretnych skutków prawnych (np. w postaci zawarcia umowy). Aby było legalne, profilowanie zwykle musi opierać się na jednej z podstaw legalizujących przetwarzanie danych osobowych wymienionych w art. 6 RODO, tj.:
- osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednej lub większej liczbie określonych celów. Taka zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna zgodnie z brzmieniem art. 4 pkt 11 RODO;
- przetwarzanie jest niezbędne do wykonania umowy , której stroną jest osoba, której dane dotyczą lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
- przetwarzanie danych osobowych jest niezbędne do realizacji obowiązków prawnych ciążących na administratorze;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
- przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach realizowania władzy publicznej powierzonej administratorowi;
- przetwarzanie danych jest niezbędne do realizacji prawnie uzasadnionych obowiązków administratora lub przez stronę trzecią, chyba że ochrona danych osobowych ma w tym przypadku cel nadrzędny.
Wystarczy, że administrator danych osobowych będzie w stanie wykazać przynajmniej jedną przesłankę legalizującą przetwarzanie, aby mógł skorzystać z profilowania zwykłego. Bardzo ważne jest przechowywanie w siedzibie firmy niezbędnej dokumentacji, która będzie potwierdzała zgodność z prawem przetwarzania, ponieważ w razie wystąpienia incydentu to na administratorze spoczywa obowiązek wykazania, że dochował on zasady rozliczalności.
Warto zaznaczyć, że profilowanie danych osobowych nadal jest ich przetwarzaniem. Oznacza to, że administrator musi dochować wszelkich zasad, związanych z takim procesem, np. minimalizacji zakresu przetwarzania danych, ograniczenia przechowywania, celowości czy integralności i poufności.
Zobacz również: Szacowanie ryzyka w zakresie RODO i DPIA. Jak do nich podejść?
Co można zrobić w przypadku naruszenia granicy profilowania zwykłego?
Sam fakt wystąpienia podstawy legalizującej przetwarzanie danych osobowych nie oznacza jeszcze, że dane osoby fizycznej mogą być przetwarzane w sposób dowolny i nieograniczony w czasie poprzez profilowanie. Należy pamiętać, że art. 21 RODO dopuszcza możliwość wniesienia przez osobę, którą dane dotyczą, sprzeciwu wobec przetwarzania informacji, które jej dotyczą. Przysługuje on, jeżeli dane osobowe przetwarzane są na podstawie:
- udzielonej wcześniej zgody;
- prawnie uzasadnionego interesu administratora;
- profilowania.
Same przepisy RODO nie nakładają wymagań co do formy i treści sprzeciwu, więc może on zostać wyartykułowany w dowolnej postaci tak długo, jak treść oświadczenia woli nie budzi wątpliwości co do tego, że osoba fizyczna nie chce już, aby jej dane były dłużej przetwarzane. Jeżeli jest to możliwe z technicznego punktu widzenia (np. poprzez interfejs strony), sprzeciw można złożyć także za pośrednictwem zautomatyzowanych środków.
Warunkiem skorzystania ze sprzeciwu musi być „szczególna sytuacja” podmiotu danych. Innymi słowy, wnioskodawca, składając sprzeciw, musi wykazać, że dalsze przetwarzanie danych pociągałoby za sobą negatywne dla niego konsekwencje. Administrator musi taki wniosek uwzględnić, chyba że wykaże istnienie nadrzędnych podstaw do przetwarzania. Wniesienie sprzeciwu nie musi być argumentowane w przypadku, kiedy dotyczy zabiegów marketingu bezpośredniego.
Dla administratora ważne jest to, że zgodnie z art. 21 ust. 4 RODO, musi on poinformować osobę, której dane dotyczą o prawie wniesienia sprzeciwu.
Kiedy można mówić o kwalifikowanym profilowaniu danych osobowych?
Inaczej niż profilowanie zwykłe wygląda profilowanie kwalifikowane. Dotyczy ono sytuacji, kiedy decyzja wywołująca konkretne skutki prawne lub decyzja wywierająca wpływ jest podejmowana wyłącznie z wykorzystaniem algorytmu i bez udziału człowieka. O takiej sytuacji można mówić np. przy ubieganiu się o pożyczkę, kiedy jej parametry wylicza system, który następnie udziela zgody na zawarcie umowy. Innym przykładem może być podejmowanie zautomatyzowanych decyzji przez algorytmy stosowane przez biura maklerskie w celu nabycia aktywów najlepiej dopasowanych do profilu inwestora.
Aby profilowanie kwalifikowane było zgodne z prawem, osoba, której dane dotyczą, musi wyrazić zgodę w rozumieniu przepisów RODO. Nie wystarczy więc sam fakt powiadomienia o zautomatyzowanym przetwarzaniu danych. W tym przypadku art. 22 ust. 2 RODO wymienia odmienne przesłanki legalizacyjne, spośród których przynajmniej jedna musi zostać spełniona:
- zautomatyzowana decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą a administratorem;
- decyzja jest dozwolona prawem Unii Europejskiej lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą;
- decyzja opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
Jeżeli administrator powołuje się na pierwszą lub ostatnią przesłankę, ma obowiązek wdrożyć właściwe środki ochrony praw, wolności i uzasadnionych interesów osoby, której dane są przetwarzanie. Muszą one obejmować co najmniej prawo do uzyskania interwencji ludzkiej ze strony administratora (tak, aby działania nie były po raz kolejny podejmowane przez algorytm), do wyrażenia własnego stanowiska oraz do zakwestionowania decyzji odnośnie profilowania danych osobowych.
Zobacz również: Praca zdalna a RODO i BHP
Czy można profilować osoby fizyczne, wykorzystując do tego dane wrażliwe?
Przepisy RODO wyróżniają dwie kategorie danych osobowych – zwykłe oraz wrażliwe. Te drugie, zgodnie z art. 9 ust. 1 rozporządzenie obejmują przede wszystkim pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne i światopoglądowe, a także dane dotyczące zdrowia, genetyki, biometrii, seksualności i orientacji seksualnej.
W stosunku do profilowania danych wrażliwych niezbędna jest wyraźna zgoda osoby, której dane dotyczą lub też przetwarzanie jest niezbędne ze względu na związek z ważnym interesem publicznym (art. 9 ust. 1 lit a oraz g rozporządzenia). Wyklucza się jednak możliwość zautomatyzowania takiego przetwarzania na podstawie pozostałych przesłanek legitymizujących. Jednocześnie administrator, decydując się na profilowanie kwalifikowane danych wrażliwych, ma obowiązek zapewnić właściwe środki ochrony takich informacji.
O czym powinien pamiętać administrator danych osobowych, decydując się na profilowanie?
Odpowiedzialne korzystanie z profilowania zwykłego wymaga przestrzegania kilku zasad. Przede wszystkim administrator powinien pamiętać o poinformowaniu osoby, że jej dane są przetwarzane w sposób automatyczny oraz wskazać na zasady, według której dokonywane jest przetwarzanie informacji. Oczywiście nie oznacza to konieczności prezentowania samego algorytmu wykorzystywanego przy podejmowaniu decyzji, ale osoba, której dane dotyczą, powinna wiedzieć, jakie jej dane, w jakim zakresie i w jakim celu są przetwarzane, a także zdawać sobie sprawę z konsekwencji takiej operacji. Dodatkowo należy pamiętać o poinformowaniu o prawie do wniesienia sprzeciwu względem profilowania.
Zobacz również: Szkolenie z RODO
Jak zadbać o legalność profilowania w branży e-commerce?
Prowadzenie biznesu w internecie często rodzi wątpliwości, co właściwie musi zrobić administrator, aby działać zgodnie z przepisane RODO. Przyjrzyjmy się, w jaki sposób zapewnić zgodność z prawem profilowania w przypadku podmiotów działających w branży e-commerce.
Polityka prywatności
Przede wszystkim zbierając i przetwarzając dane osobowe jakiejkolwiek osoby, np. klienta sklep internetowy powinien poinformować ją o tym fakcie, przekazują informacje wymienione w art. 13 RODO. Taka polityka prywatności powinna zawierać następujące dane:
- dane kontaktowe i identyfikacyjne ADO, a także IOD (jeżeli został ustanowiony);
- cele i zakres przetwarzania danych oraz wskazanie przesłanek legalizujących te czynności (celami mogą być np. realizacja zamówienia lub wysyłanie newslettera);
- informacje o odbiorcach danych (np. firmy kurierskie, firmy dostarczające towar w ramach dropshippingu);
- okres przetwarzania danych osobowych;
- informację o przekazaniu danych do państwa trzeciego (jeśli takie przekazania następuje);
- informację o wykorzystaniu danych osobowych do profilowania (głównie w celu tworzenia reklam dopasowanych do preferencji klienta);
- informację o prawie wniesienia skargi do organu nadzorczego;
- informację o uprawnieniach przysługujących osobie, której dane dotyczą.
Ważne jest, aby administrator nie zbierał większej ilości danych niż jest to niezbędne dla realizacji celów ich przetwarzania.
Pliki cookies
Niewielkie pliki cookies zawierają dane niezbędne do zapewnienia funkcjonalności strony (np. zapamiętania treści koszyka podczas przechodzenia między poszczególnymi podstronami), ale też do tworzenia lepiej dopasowanych treści. Wyróżnia się ich wiele rodzajów, w tym sesyjne i stałe, a także first- oraz third-party. W kontekście profilowania znaczenia mają zwłaszcza to ostatnie, ponieważ to właśnie dostawcy oprogramowania analitycznego (jak Google Analytics czy Facebook Pixel) mierzą takie parametry, jak liczba kliknięć czy czas spędzany na oglądaniu reklamy).
W przypadku ciasteczek, które nie przetwarzają danych osobowych, wystarczającym działaniem będzie poinformowanie odbiorcy o fakcie ich stosowania, a także wprowadzenie możliwości wyrażenia zgody lub odmowy. Dla ciasteczek wykorzystywanych np. do profilowania, należy wyczerpująco i zrozumiałym językiem wyjaśnić, które dane, w jakim celu, zakresie i na jakiej podstawie, a także przez kogo i jak długo są przetwarzane. Można to zrobić w polityce prywatności albo w oddzielnej polityce cookies. Należy pamiętać, aby:
- wszystkie zgody, poza plikami niezbędnymi do tego, aby strona wyświetlała się prawidłowo, były domyślnie odznaczone;
- komunikat dotyczący zgody na pliki cookies nie uniemożliwiał korzystania ze strony, ale był dobrze widoczny.
Jeżeli komunikat cookies przewiduje opcję wyrażenia zgody na wszystkie pliki cookies, powinien również zawierać opcję odrzucenia wszystkich ciasteczek. Warto wspomnieć, że Google deklaruje chęć rezygnacji z third-party cookies już w 2024 roku. Może się więc okazać, że wymagania dotyczące właściwego oznaczania będzie można znacznie łatwiej spełnić.
Jaka powinna być zgoda w rozumieniu RODO?
Należy zadbać, aby zgoda udzielana przez klienta sklepu internetowego spełniała wymagania o których mowa w art. 4 pkt 11 RODO, czyli była:
- dobrowolna – klient może jej udzielić, a także cofnąć (również na dalszym etapie korzystania z usług e-commerce;
- konkretna – klient wie, jaki jest cel i zakres przetwarzanych danych;
- świadoma – klient zostaje powiadomiony, w jaki sposób będą przetwarzane jego dane osobowe;
- jednoznaczna – nie ma wątpliwości, że klient udzielił zgody (może być to np. oznaczenie checkboxa na stronie sklepu lub kliknięcie przycisku oznaczonego jako “zgoda”).
Konieczność pozyskania zgody dotyczy m.in. zautomatyzowanego przetwarzania danych szczególnych.Profilowanie danych osobowych może znacząco zwiększyć efekty finansowe prowadzonej działalności, ale wykorzystywane niezgodnie z zasadami RODO, prowadzi do powstania surowej odpowiedzialności finansowej. Firma, która rozważa implementacją algorytmów do automatycznego przetwarzania danych osobowych, ale ma wątpliwości, jak zrobić to poprawnie, powinna rozważyć skorzystanie ze wsparcia kancelarii prawnej z doświadczeniem w obsłudze sektora nowych technologii.
Zobacz również: Audyt RODO – jak powinien wyglądać i kiedy go przeprowadzać
Pytania i odpowiedzi
Rozporządzenie RODO nie zawiera wytycznych w tym zakresie, ale można je odnaleźć w opracowaniach Grupy Roboczej. Poprzez ograniczenie skutków prawnych należy rozumieć wpływ na prawa wynikające z przepisów prawa. Z kolei wywieranie wpływu można postrzegać poprzez zmianę zakresu praw i obowiązków związanych z konkretną umową zawartą przez osobę fizyczną
Rozporządzenie RODO nie daje jednoznacznej odpowiedzi na to pytanie. Zgodnie jednak z motywem 38 dane osobowe dzieci wymagają szczególnej ochrony, jeżeli są one wykorzystywane do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika. Decydując się na profilowanie w tym przypadku, należy pamiętać o zastosowaniu „lepszych”, silniejszych środków ochrony, mniej perswazyjnych komunikatów i innych rozwiązań, które łagodzą siłę profilowania.
Zaufali nam: