Na czym polega profilowanie i jak to robić zgodnie z RODO?

27-04-2018, 10:05

Firmy, które promują się w sieci wykorzystują dane użytkowników do zwiększania efektywności działań marketingowych. Przewidywanie zachowań i preferencji potencjalnych klientów stanowi element praktycznego wykorzystania technik profilowania w internecie. Jak się ma do tego RODO

Profilowanie i zautomatyzowane podejmowanie decyzji

Przez „profilowanie” należy rozumieć dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na ich wykorzystywaniu do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów jej pracy, sytuacji ekonomicznej, zdrowia, preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Upraszczając jest to zautomatyzowany proces prowadzący do wnioskowania o posiadaniu przez człowieka określonych cech. Przykładem może być aplikacja bankowa, która na podstawie pozyskanych informacji automatycznie ocenia, że osoba nie powinna dostać kredytu ze względu na jej niskie wynagrodzenie i liczną rodzinę.

Na szerszą skalę jest to wykorzystywane przez brokerów baz danych, którzy sprzedają je spółkom chcącym skuteczniej docierać do osób zainteresowanych ich produktami czy usługami. Z perspektywy RODO, profilowaniem będzie także zwykła klasyfikacja osób ze względu na ich wiek, płeć czy wzrost.

Natomiast zautomatyzowane podejmowanie decyzji to proces, w wyniku którego system informatyczny lub inne rozwiązanie techniczne może wpłynąć na sytuację osoby, której dane dotyczą uwzględniając określone czynniki, które mogą być wprowadzone przez dowolną osobę lub zebrane automatycznie przez system, sama decyzja jest podejmowana bez interwencji ludzkiej.

 

Czytaj także: RODO puka do drzwi. Akredytowany kurs inspektora ochrony danych (IOD). Recenzja oraz sprawdź zapisy na najbliższe akredytowane kursy IOD >>

 

Dzięki śledzeniu użytkowników, portale społecznościowe mogą proponować im lepiej dostosowane treści. Samo reklamowanie czy sugerowanie spersonalizowanych treści nie jest jeszcze decyzją. Będzie nią dopiero np. uzależnianie ceny czy jakości oferowanego produktu od czynników dotyczących konkretnej osoby np. oferowanie kobietom różnej jakości kosmetyków w zależności od ich koloru skóry. Zautomatyzowane decyzje mogą być jednak podejmowane bez profilowania np. mandaty wystawiane na podstawie pomiarów fotoradarów .

Jak dowiadujemy się z art. 22 RODO: osoba, której dane dotyczą ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołuje wobec niej skutki prawne. Chodzi o to, aby osoby miały prawo nie zgodzić się na to, że zostanie ona podjęta wyłącznie przez automat.

Jak zapewnić zgodność z RODO?

W Polsce automatyczne przetwarzanie danych obecne jest już od dawna. RODO jedynie uszczegóławia cały proces i warunki, w jakich może do niego dochodzić. Jeżeli profilowanie odbywa się w celu marketingu bezpośredniego – który do tej pory stanowił w polskim prawie tzw. usprawiedliwiony prawnie cel przetwarzania, RODO zaś określa go jako tzw. cel wynikający z uzasadnionych interesów administratora – można zgłosić sprzeciw w związku z takim wykorzystaniem danych. Niekorzystny wpływ tej zmiany na firmy łagodzi możliwość korzystania z profilowania, o ile jest niezbędne do zawarcia umowy – tak będzie zapewne w przypadku np. ubezpieczeń.

O profilowaniu firmy powinny informować na etapie zbierania danych osobowych, a także na wniosek osoby fizycznej. Spowoduje to z pewnością konieczność modyfikacji istniejących formularzy, zatem aby przygotować się do wdrożenia zasad opisanych w rozporządzeniu należy przede wszystkim ocenić, w jakich procesach „szufladkuje” się klientów oraz gdzie na takiej podstawie podejmowane są automatyczne decyzje. Pytanie brzmi zatem, czy strony internetowe mogą domyślnie gromadzić informacje o korzystających z nich użytkownikach, czy też mogą to robić dopiero po uzyskaniu ich zgody. Krótka odpowiedź jest taka, że z braku innej podstawy prawnej, należy przetwarzać dane dopiero po uzyskaniu zgody. Szczegółową podstawę prawną oraz ramy, z jakich można korzystać z plików cookie, ma zapewnić dopiero rozporządzenie o prywatności i łączności elektronicznej (e-privacy), które nadal jest w fazie konsultacji.

Autor: Paweł Mielniczek, ekspert ds. ochrony danych, Fundacja Wiedza To Bezpieczeństwo


Źródło: materiał nadesłany do redakcji
To warto przeczytać




fot. ZUS








Komentarze
comments powered by Disqus
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Sierpień 2018»
PoWtŚrCzwPtSbNd
 12345
6789101112
13141516171819
20212223242526
2728293031 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.