Profilowanie to temat, który od momentu wejścia w życie Rozporządzenia o ochronie danych osobowych budzi wiele emocji. Profilowanie ze względu na ścisłe powiązanie z rozwojem nowych technologii oraz wykorzystywaniem znacznych zasobów danych, uchodzić może za skomplikowane i niezrozumiałe, zarówno dla osób, których dane są przetwarzane, jak i dla administratorów danych.
Nadal może się zdarzyć, że będziemy proszeni o wyrażenie zgody na ten rodzaj przetwarzania naszych danych. Pojawiają się pytania, czy w każdym przypadku powstaje konieczność uzyskiwania zgody na profilowanie od osób, których dane są przetwarzane?
Na czym polega profilowanie według RODO
Profilowanie można opisać jako zbieranie niepowiązanych ze sobą danych na temat jednej osoby z jednego lub różnych źródeł, a następnie- za pomocą modeli statystycznych lub algorytmów- wyciąganie wniosków oraz nieznanych informacji na temat tej osoby. Na tej podstawie tworzy się profile. Wyróżnić można profil indywidualny, gdzie profilowanie dotyczy osoby zidentyfikowanej i jest oparte o dane osobowe tej osoby, a także profile statystyczne- dotyczące konkretnej osoby, ale tworzone na podstawie danych statystycznie pasujących do określonego typu osób zgodnie z przyjętymi wcześniej założeniami.
Mówiąc inaczej, profilowaniem nazywamy takie przetwarzanie, gdzie wystąpi efekt w postaci oceny czynników osobowych, które to pozwalają na ocenę postępowania danej osoby, a to z kolei ma służyć zakwalifikowaniu jej do jakiejś kategorii, na przykład w przypadku oceny ryzyka kredytowego.
Definicja profilowania RODO została określona w art. 4 Rozporządzenia. Jest to dobrowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystywaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Profilowanie – co nim nie jest
Nie możemy mówić o profilowaniu RODO w przypadku, gdy zbieramy dane o grupie osób fizycznych bez możliwości wyodrębnienia spośród nich poszczególnych osób fizycznych i przypisania ich indywidualnych cech lub preferencji
Profilowanie zwykłe
W kontekście RODO można mówić o tak zwanym profilowaniu zwykłym i profilowaniu kwalifikowanym. Profilowanie zwykłe, to takie profilowanie, które nie może być prowadzone w celu automatycznego podejmowania decyzji wywołujących skutki prawne wobec osoby, której dane dotyczą. Jego regulacja ogranicza się do możliwości wniesienia sprzeciwu. jest to taka forma przetwarzania danych, która może być oparta na jednej z podstaw przetwarzania wymienionych w art. 6 Rozporządzenia. Nie mamy zatem obowiązku zbieranie oddzielnej zgody na profilowanie zwykłe.
Profilowanie kwalifikowane
Artykuł 22 RODO mówi o zautomatyzowanym podejmowaniu decyzji w indywidualnych przypadkach w tym profilowaniu. Zgodnie z nim osoba, której dane dotyczą ma prawo do tego by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Z powyższego wyłaniają się dwa elementy tzw. profilowania kwalifikowanego, są to:
- zautomatyzowane podejmowanie decyzji wobec osób, których dane dotyczą, czyli decyzje podejmowane środkami technicznymi bez udziału człowieka,
- wywołanie skutków prawnych względem profilowanej osoby lub w inny istotny sposób wpływanie na profilowaną osobę.
Profilowanie – kiedy jest możliwe?
Podejmowanie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych w tym profilowaniu, które wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa, jest dopuszczalne jeśli:
- jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą a administratorem,
- jest dozwolone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator danych i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą,
- opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
Profilowanie a szczególne kategorie danych
Profilowania RODO, co do zasady, nie dopuszcza operacji na danych szczególnej kategorii. Podejmowanie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, w tym profilowaniu, nie jest dopuszczalne w przypadku przetwarzania szczególnych kategorii danych osobowych. Wyjątkiem od powyższego jest sytuacja, w której podstawą przetwarzania tych danych byłaby wyraźna zgoda osoby, której dane dotyczą lub przetwarzanie byłoby niezbędne ze względów związanych z ważnym interesem publicznym na podstawie prawa Unii lub prawa państwa członkowskiego.
Profilowanie – Obowiązki administratora
Podstawowym obowiązkiem administratora jest spełnienie obowiązku informacyjnego. Podejmowanie decyzji na podstawie profilowania oraz automatycznego podejmowania decyzji wymaga poinformowania, o tym fakcie osoby, której dane dotyczą. Informacja powinna być przekazana w momencie zbierania danych, a także w wykonaniu żądania dostępu do danych. Powinno się także pamiętać o poinformowaniu o przysługującym prawie do sprzeciwu.
Artykuł 22 RODO w przypadku wydawania zautomatyzowanych decyzji nakłada na administratora obowiązek wdrożenia środków, które zabezpieczać będą prawa i wolności osób, których dane dotyczą. Administrator zobowiązany jest co najmniej zapewnić osobom, których dane są przetwarzane prawo do uzyskania „interwencji ludzkiej”, czyli zapewnienia komunikacji z udziałem człowieka w czasie przebiegu procesu wydawania zautomatyzowanych decyzji. Powinien także zapewnić prawo do wyrażenia własnego stanowiska, a także możliwość zakwestionowania decyzji.
Podsumowanie
Żyjemy w erze społeczeństwa informacyjnego. Tworzenie profili wymaga przetwarzania ogromnej ilości danych i wykorzystywania coraz bardziej złożonych algorytmów oraz nowych technologii. Wskazuje się, że profilowanie automatyczne może stanowić powszechne zagrożenie praw osób fizycznych, w tym prywatności. RODO w tym względzie pełni funkcję pewnego rodzaju ochrony. Biorąc powyższe pod uwagę, profilowanie niewątpliwie stanowi interesujący i przyszłościowy temat nie tylko ze względu na jego praktyczne zastosowanie w biznesie, lecz także ze względu na wypełnianie obowiązków przez administratora danych.