Profilowanie według RODO

Data 27 września 2018, 9:00

Autor:
Barbara Sośnicka
Kontakt@kancelariasosnicka.pl

PROFILOWANIE - o co chodzi??

Zgodnie z RODO profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych człowieka, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Profilowaniem może być zatem tylko zautomatyzowane przetwarzanie danych osobowych. --> jeżeli mamy po drugiej stronie człowieka to już nie będziemy mieli do czynienia z profilowaniem.

CZŁOWIEK PO DRUGIEJ STRONIE ≠ PROFILOWANIE

A tak bardziej po polsku?

Często zdarza się, że podczas przeglądania oferty sklepu internetowego w oddzielnym panelu wyświetlają się nam propozycje produktów, które powiązane są z wcześniej przeglądanymi przez nas ofertami, np. podczas przeglądania różnych modeli telefonów, w podpowiedziach wyświetlą nam się również oferty pasujących do danego modelu etui, folii czy innych akcesoriów lub też sprzedawca na podstawie dotychczasowych zakupów, będzie mógł przesłać nam spersonalizowane oferty rabatowe. Takie działania można określić jako profilowanie. Profilowanie to jedno z najbardziej popularnych narzędzi marketingowych w e-commerce. Dzięki temu do klienta może dotrzeć zindywidualizowana oferta produktów.
Profilowanie spotykamy także przy ocenie ryzyka ubezpieczeniowego lub zdolności kredytowej.
Profilowanie jest zatem wykorzystaniem algorytmu, który na bazie wieku, lokalizacji dotychczasowych akcji czy wprowadzanych danych, tworzy profil danej osoby i prognozuje jej przyszłe zachowania, co umożliwia dopasowanie oferty związanej z preferencjami konkretnego klienta. Bardziej „matematycznie” --> mamy osoby, które mają cechy X i Y oraz ustalono, że mają one również cechę Z – jeżeli algorytm znajdzie inną osobę z cechami X i Y przypisze jej wtedy także cechę Z. Takie małe zautomatyzowane wnioskowanie.

I co w związku z tym?

Zgodnie z RODO osobom fizycznym przysługuje prawo do niepodlegania profilowaniu, jednak nie dotyczy ono każdej postaci tego sposobu przetwarzania danych. O tym należy pamiętać, ponieważ w związku z paranoją RODO, bardzo dużo osób nie rozumiejąc swoich praw, chciałoby się „wypisać” i usunąć ze „wszystkiego”. W wielu wypowiedziach samozwańczych ekspertów od RODO pojawiają nadal informacje, że absolutnie nie można profilować oraz że takie działania należy zgłaszać do UODO?! Podchodząc do kwestii profilowania racjonalnie --> jeżeli profilowanie byłoby zakazane nie można by na dobrą sprawę skutecznie handlować w internecie; co stałoby się z kredytami czy ubezpieczeniami? No właśnie...

RODO daje nam prawo do tego, by nie podlegać decyzjom, które opierają się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołują wobec nas skutki prawne lub w podobny sposób istotnie na nas wpływają. Muszą zatem zajść razem trzy przesłanki, żeby faktycznie móc skorzystać z ww. prawa. Jeżeli zatem profilowanie tylko pomaga nam w podjęciu decyzji to prawo nie będzie tutaj miało zastosowania. Samo zaproponowanie produktu przez sklep internetowy nie wiąże się automatycznie z decyzją o zakupie. Sami decydujemy, czy kupimy określony produkt czy nie.

Prawo do nie podlegania decyzjom.... Bla, bla, bla (patrz wyżej) będzie wyłączone również w nw. sytuacjach:

1. Decyzja jest niezbędna do zawarcia umowy pomiędzy ADO a daną osobą (np. umowa ubezpieczenia OC zawierana online),
2. Decyzja taka jest dozwolona prawem UE lub państwa członkowskiego UE,
3. Mamy wyraźną ZGODĘ! --> jak można łatwo zauważyć zwykłe profilowanie np. poprzez proponowanie przez sklep spersonalizowanych produktów, żadnej zgody nie wymaga!

Bez względu na rodzaj profilowania osoba, której dane dotyczą, ma prawo wnieść sprzeciw (to prawo przysługuje nawet jeżeli mamy do czynienia z tym „mniej ważnym” profilowaniem). Skutkiem sprzeciwu jest dla administratora zakaz dalszego przetwarzania tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Co ma zrobić ADO?

RODO nakłada na administratora danych (ADO) obowiązek informacyjny związany także z profilowaniem --> patrz: art. 13 i 14 RODO! ADO jest zobowiązany przedstawić informacje o tym, że podejmowanie zautomatyzowanych decyzji ma miejsce, zasadach, na jakich się odbywa, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą, oraz prawie do wniesienia przez nią sprzeciwu. Informacja taka musi zostać przekazana w sposób przejrzysty, konkretny i zrozumiały dla odbiorcy.
Profilowanie samo w sobie nie wiąże się z nałożeniem na administratora lub podmiot przetwarzający dane żadnych dodatkowych obowiązków (oprócz oczywiście POINFORMOWANIA). Jednak jeśli się okaże, że wyłączną podstawą do podejmowania decyzji wobec danej osoby jest zautomatyzowane przetwarzanie danych w postaci profilowania, to konieczne jest spełnienie wymogów z art. 22 RODO. No i oczywiście należy pamiętać o zasadach z art. 6 i 9 RODO. Jak widać po raz kolejny --> bez zapoznania się z tekstem RODO ani rusz!

Co teraz powinieneś/powinnaś zrobić? Zamiast przeglądać internety – PRZECZYTAJ ZE ZROZUMIENIEM TEKST ROZPORZĄDZENIA!* :)

*oczywiście nasze teksty możesz czytać zawsze – mając jednak na uwadze, że znajomość samego tekstu RODO jest bardzo wskazana ?

Autorkami dzisiejszego postu są radca prawny Barbara Sośnicka i Karolina Wiencek, studentka V roku prawa Uniwersytetu Śląskiego.

Spodobał Ci się artykuł – polub, udostępnij, zostaw komentarz. Będzie mi bardzo miło!

Do napisania :)

Zostaw komentarz

Czytaj także