Profilowanie i zautomatyzowane podejmowanie decyzji

Przez „profilowanie” należy rozumieć dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na ich wykorzystywaniu do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów jej pracy, sytuacji ekonomicznej, zdrowia, preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Upraszczając jest to zautomatyzowany proces prowadzący do wnioskowania o posiadaniu przez człowieka określonych cech. Przykładem może być aplikacja bankowa, która na podstawie pozyskanych informacji automatycznie ocenia, że osoba nie powinna dostać kredytu ze względu na jej niskie wynagrodzenie i liczną rodzinę.

Na szerszą skalę jest to wykorzystywane przez brokerów baz danych, którzy sprzedają je spółkom chcącym skuteczniej docierać do osób zainteresowanych ich produktami czy usługami. Z perspektywy RODO, profilowaniem będzie także zwykła klasyfikacja osób ze względu na ich wiek, płeć czy wzrost.

Natomiast zautomatyzowane podejmowanie decyzji to proces, w wyniku którego system informatyczny lub inne rozwiązanie techniczne może wpłynąć na sytuację osoby, której dane dotyczą uwzględniając określone czynniki, które mogą być wprowadzone przez dowolną osobę lub zebrane automatycznie przez system, sama decyzja jest podejmowana bez interwencji ludzkiej.

Dzięki śledzeniu użytkowników, portale społecznościowe mogą proponować im lepiej dostosowane treści. Samo reklamowanie czy sugerowanie spersonalizowanych treści nie jest jeszcze decyzją. Będzie nią dopiero np. uzależnianie ceny czy jakości oferowanego produktu od czynników dotyczących konkretnej osoby np. oferowanie kobietom różnej jakości kosmetyków w zależności od ich koloru skóry. Zautomatyzowane decyzje mogą być jednak podejmowane bez profilowania np. mandaty wystawiane na podstawie pomiarów fotoradarów .

Jak dowiadujemy się z art. 22 RODO: osoba, której dane dotyczą ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołuje wobec niej skutki prawne. Chodzi o to, aby osoby miały prawo nie zgodzić się na to, że zostanie ona podjęta wyłącznie przez automat.

Jak zapewnić zgodność z RODO?

W Polsce automatyczne przetwarzanie danych obecne jest już od dawna. RODO jedynie uszczegóławia cały proces i warunki, w jakich może do niego dochodzić. Jeżeli profilowanie odbywa się w celu marketingu bezpośredniego – który do tej pory stanowił w polskim prawie tzw. usprawiedliwiony prawnie cel przetwarzania, RODO zaś określa go jako tzw. cel wynikający z uzasadnionych interesów administratora – można zgłosić sprzeciw w związku z takim wykorzystaniem danych. Niekorzystny wpływ tej zmiany na firmy łagodzi możliwość korzystania z profilowania, o ile jest niezbędne do zawarcia umowy – tak będzie zapewne w przypadku np. ubezpieczeń.

O profilowaniu firmy powinny informować na etapie zbierania danych osobowych, a także na wniosek osoby fizycznej. Spowoduje to z pewnością konieczność modyfikacji istniejących formularzy, zatem aby przygotować się do wdrożenia zasad opisanych w rozporządzeniu należy przede wszystkim ocenić, w jakich procesach „szufladkuje” się klientów oraz gdzie na takiej podstawie podejmowane są automatyczne decyzje. Pytanie brzmi zatem, czy strony internetowe mogą domyślnie gromadzić informacje o korzystających z nich użytkownikach, czy też mogą to robić dopiero po uzyskaniu ich zgody. Krótka odpowiedź jest taka, że z braku innej podstawy prawnej, należy przetwarzać dane dopiero po uzyskaniu zgody. Szczegółową podstawę prawną oraz ramy, z jakich można korzystać z plików cookie, ma zapewnić dopiero rozporządzenie o prywatności i łączności elektronicznej (e-privacy), które nadal jest w fazie konsultacji.

Autor: Paweł Mielniczek, ekspert ds. ochrony danych, Fundacja Wiedza To Bezpieczeństwo