Profilowanie w świetle RODO

Art. 4 RODO definiuje profilowanie jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Kwestia profilowania nabrała znaczenia ze względu na rozwój nowych technologii, powstanie Internetu rzeczy, możliwości tworzenia dużych zasobów danych, a przez to, możliwość tworzenia profilów i podejmowania zautomatyzowanych decyzji, co w rozumieniu RODO może istotnie wpływać lub naruszać prawa i wolności osób fizycznych.

W jaki jednak sposób określić czy i kiedy mamy do czynienia z profilowaniem?

  1. Po pierwsze, profilowanie może zachodzić tylko na danych przetwarzanych w systemach informatycznych.
  2. Po drugie, profilowanie dotyczy danych osobowych, a nie np. kalkulacji finansowych, czy danych statystycznych, które nie pozwalają zidentyfikować osoby fizycznej.
  3. Po trzecie, rezultat profilowania stanowi ocena pozyskanych danych o osobie, której dane przetwarzamy.

Aby można było mówić o profilowaniu, musi dojść do oceny danych dotyczących jednej, konkretnej osoby fizycznej. Opracowanie profilów dla grup społecznych, ekonomicznych, czy zawodowych, bez możliwości identyfikacji osoby, której dane przetwarzamy, nie będzie już procesem profilowania. Jeśli natomiast, w wyniku profilowania, jesteśmy w stanie określić, na podstawie np. współpracy z klientem, jakie tenże klient ma potrzeby lub preferencje i na tej podstawie możemy wystosować względem niego konkretną ofertę nowej usługi lub modyfikacji obecnej usługi, to mamy do czynienia z profilowaniem.

RODO mając na celu ochronę praw osób, których dane przetwarzamy, nakazuje by o stosowaniu profilowania informować. Podmiot danych, będąc świadomym przetwarzania jego danych z wykorzystaniem procesu profilowania, może na podstawie art. 21 ust.1 RODO w każdej chwili się temu profilowaniu sprzeciwić. Administrator zobowiązany jest w przypadku stosowania profilowania, zamieścić tę informację przy realizacji obowiązku informacyjnego.

Ponieważ profilowanie może „istotnie wpłynąć na osobę”, gdyż jego wynikiem, może być nadawanie podmiotom danych „etykiet” lub przydzielanie podmiotów danych do narzuconych schematem grup osób, może dojść do dyskryminacji, ograniczeń konsumenckich, czy też pozbawienia dostępu do usług lub towarów wykluczonych dla zakresu wyprofilowanej grupy.

Przy okazji profilowania warto wspomnieć o podejmowaniu zautomatyzowanych decyzji wobec podmiotów danych, tj. sytuacji, gdzie proces decyzyjny wykonywany jest bez obecności czynnika ludzkiego – w pełni decyduje system. System, który jak wiemy, przyporządkowuje dane zgodnie ze schematem i kryteriami, bez uwzględnienia wyjątków, co w konkretnych przypadkach może dyskryminować osoby fizyczne. Aby uniknąć stosowania decyzyjności przypisanej systemowi informatycznemu, należy uzależnić finalny sposób realizacji procesu biznesowego od decyzji kompetentnej osoby, a nie jedynie wyliczeń i wskazań systemowych.

Niektóre procesy przetwarzania danych oparte na profilowaniu są jednak możliwe na podstawie szczególnych przepisów prawa – tak będzie np. przy administratorach danych, którzy stosują profilowanie przy ocenie zdolności kredytowej podmiotów danych.

Należy pamiętać, że procesy przetwarzania danych osobowych, w których dochodzi do profilowanie i podejmowania zautomatyzowanych decyzji wymagają przeanalizowania ryzyka jakie za sobą niosą, zgodnie z DPIA (art. 35 ust. 3 RODO).

Autor

Katarzyna Marcisz

Doświadczenie w zakresie ochrony danych osobowych zdobywała w Ministerstwie Cyfryzacji, jako wsparcie Departamentu Zarządzania Danymi przy konsultacjach społecznych ustawy o ochronie danych osobowych.

Z tej samej kategorii

Kategorie