Pojęcie profilowania i jego wpływ na ochronę danych osobowych wg RODO

Profilowanie stanowi we współczesnym świecie powszechne zjawisko. Spotykamy się z profilowaniem m.in. w bankach przy udzielaniu kredytów, firmach ubezpieczeniowych przy ocenie ryzyka ubezpieczeniowego czy urzędach pracy przy dopasowywaniu odpowiednich metod pomocy przy aktywizacji zawodowej bezrobotnych.

  • Rafał Stępniewski
  • /
  • 13 czerwca 2016

Profilowanie stanowi we współczesnym świecie powszechne zjawisko. Spotykamy się z profilowaniem m.in. w bankach przy udzielaniu kredytów, firmach ubezpieczeniowych przy ocenie ryzyka ubezpieczeniowego czy urzędach pracy przy dopasowywaniu odpowiednich metod pomocy przy aktywizacji zawodowej bezrobotnych.

Najczęściej jednak profilowanie dotyka nas w Internecie, przy zakupach online, korzystając ze stron internetowych, dokonując rezerwacji biletów. Dane dotyczące przeglądanych stron są gromadzone przez właścicieli takich domen w formie plików cookies. Pliki te są przypisane konkretnym osobom i wykorzystywane są do analizy, np. ile razy strona i jej podstrony są odwiedzane, jakie kategorie produktów i usług najczęściej są wybierane, co warto poprawić w funkcjonalności strony. Pliki te wykorzystywane są także do oceny osobistych preferencji i zainteresowań użytkowników. Za ich pomocą właściciel strony internetowej może stworzyć profil konkretnego użytkownika i opracować dedykowaną ofertę lub poprawić jakość korzystania z serwisu.

Profilowanie a ochrona danych osobowych

W kontekście ochrony danych osobowych profilowanie jest zjawiskiem, na które Generalny Inspektor Ochrony Danych Osobowych (GIODO), podmioty z sektora publicznego i prywatnego, eksperci od prawa i IT zwracają szczególną uwagę. Profilowanie bowiem to nic innego jak zbieranie — wszelkich informacji, które pozwalają bezpośrednio lub pośrednio zidentyfikować osobę, która jest poddawana profilowaniu. W dobie nowych technologii profilowanie odbywa się przy użyciu systemów informatycznych, w sposób zautomatyzowany, za pomocą specjalnych algorytmów uwzględniających określone wcześniej kryteria. Wyniki uzyskane z analizy danych są podstawą do oceny określonej osoby pod kątem np. jej zdolności kredytowej, sytuacji finansowej, stopnia zainteresowania danymi produktami lub usługami, problemów zdrowotnych itp. Właśnie podejmowanie decyzji w stosunku do osoby, na podstawie zautomatyzowanego procesu analizy, budzi spore kontrowersje i może spowodować w wielu przypadkach niesprawiedliwe oceny, może wykluczyć nawet z dostępu do określonych usług. Systemy informatyczne uwzględniają bowiem wyłącznie twarde kryteria (dochody, posiadany majątek, posiadane długi), nie są natomiast brane pod uwagę miękkie kryteria (zmienność czynników determinujących ocenę osoby m.in. stan zdrowia, miejsce zatrudnienia, czas spłacania długu, czynniki psychologiczne).

Co o profilowaniu mówią polskie przepisy?

W polskim porządku prawnym do tej pory nie uregulowano wprost czym jest profilowanie, na jakich zasadach ma się odbywać, jakie metody należy stosować. Profilowanie zostało pośrednio wskazane m.in. w ustawie Prawo bankowe, ustawie Prawo telekomunikacyjne, ustawie o działalności ubezpieczeniowej oraz ustawie o ochronie danych osobowych. W szczególności należy odnieść się do ustawy o ochronie danych osobowych (dalej Ustawa), która w art. 26a ust. 1 wprost zakazuje podejmowania decyzji wyłącznie w oparciu o wyniki pozyskane w rezultacie czynności podjętych przez zautomatyzowane systemy informatyczne, z wyjątkiem sytuacji, kiedy czynności te są wykonywane ze względu na realizację umowy lub są niezbędne do realizacji czynności przed zawarciem umowy (art. 26a ust. 2). Konieczna jest zatem weryfikacja osoby, która analizuje i ocenia posiadane informacje i zestawia je z wynikami uzyskanymi przy automatycznym przetwarzaniu danych osobowych w ramach prowadzonego profilowania. Do dziś jednak nie udało się wypracować standardów korzystania z takiej metody oceny osoby. Brakuje bowiem przepisów odnoszących się wprost do profilowania, a to z kolei przekłada się na brak doktryny i trudności w zachowaniu spójności interpretacji przepisów.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Sprawdź szczegóły

Co na to Unia Europejska?

Wobec rosnącej skali profilowania, rozwoju technologii, sprzyjających uzyskiwaniu coraz bardziej wiarygodnych wyników, oraz jednoczesnemu braku uregulowań prawnych, w 2012 roku Komisja Europejska podjęła prace nad nowym rozporządzeniem dotyczącym ochrony danych osobowych, które miało uregulować m.in. kwestię profilowania, sprecyzować czym ono jest i jakie prawa i obowiązki wiążą się z jego stosowaniem. Po czterech latach prac, 27 kwietnia br. Parlament Europejski uchwalił Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej Rozporządzenie. Rozporządzenie jako pierwszy akt prawny wprowadza prawną definicję profilowania oraz reguluje warunki jego stosowania.

Profilowanie wg nowego Rozporządzenia UE

Rozporządzenie w art. 4 ust. 4 wskazuje, że profilowanie oznacza „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”. Rozporządzenie wprost mówi o profilowaniu jako zautomatyzowanym przetwarzaniu danych osobowych, co poszerza zakres czynności na danych osobowych ( art. 4 ust. 2 Rozporządzenia). Profilowanie wg definicji z Rozporządzenia oznacza „operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie”.

Prawa i obowiązki administratora danych

Profilowanie jako jedna z form przetwarzania danych osobowych może być stosowana przez administratora danych, jeżeli wykaże, podobnie jak obecnie w Ustawie, jedną z przesłanek legalności profilowania, tj. zgoda osoby, realizacja umowy lub podjęcie działań przed zawarciem umowy, realizacja obowiązku wynikającego z przepisu prawa, ochrona żywotnych interesów osoby, wykonywanie zadań dla realizacji interesu publicznego, przetwarzanie jest niezbędne dla realizacji uzasadnionych interesów administratora danych. Jednocześnie administrator danych musi przestrzegać zasad przetwarzania danych osobowych, czyli dane muszą być zgodne z prawem, rzetelne i przejrzyste, zbierane w ściśle określonych i uzasadnionych celach, zakres danych osobowych musi być odpowiedni do celu przetwarzania, przetwarzane dane osobowe muszą być prawidłowe i aktualne, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed nieuprawnionym dostępem, modyfikacją, utratą lub uszkodzeniem. Co więcej, administrator danych jest zobowiązany przestrzegać powyższych zasad i wykazać ich przestrzeganie (art. 5 ust. 2 Rozporządzenia). Przy profilowaniu administrator danych informuje osobę o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu – zasadach ich podejmowania oraz znaczeniu i przewidywanych konsekwencjach dla praw i wolności osoby.

Prawo do wyrażenia sprzeciwu przez osobę, której dane dotyczą

Z obowiązkami informacyjnymi korelują prawa osoby do wyrażenia sprzeciwu na profilowanie przez administratora danych przetwarzającego dane osobowe w celu realizacji interesu publicznego lub własnego, uzasadnionego interesu, jeżeli osoba uzna, że profilowanie narusza prawa i wolności, chyba że administrator danych wykaże nadrzędność własnego interesu wobec praw i wolności osoby. Prawo do wyrażenia sprzeciwu dotyczy również profilowania na potrzeby marketingu bezpośredniego produktów i usług administratora danych. Sprzeciw na marketing bezpośredni jest równoznaczny z zakazem przetwarzania danych osobowych na potrzeby powyższego celu. Należy w tym miejscu zaznaczyć, że sprzeciw osoby ma charakter następczy, czyli administrator danych, jeżeli posiada podstawę do profilowania, może je rozpocząć, jednakże przedtem musi poinformować osobę o tym fakcie oraz o jego prawach do wyrażenia sprzeciwu. Z prawem do sprzeciwu, co wprost określa Rozporządzenie, wiąże się prawo osoby do niepodlegania decyzji, która opiera się wyłącznie na profilowaniu przy wykorzystaniu systemów informatycznych i wywołuje skutki prawne lub wywiera istotny wpływ na jej funkcjonowanie. Przewidziano jednak wyłączenie prawa do sprzeciwu w sytuacji, gdy: profilowanie jest niezbędne do zawarcia umowy lub podjęcia działań przed zawarciem umowy, jest dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego, któremu administrator danych podlega i przewiduje wdrożenie środków ochrony praw i wolności, sama osoba wyraziła zgodę. Administrator danych jest jednocześnie zobowiązany wdrożyć zabezpieczenia danych osobowych. Co ważne, powyższe wyłączenia nie dotyczą przetwarzania danych osobowych wrażliwych (szczególnie chronionych), m.in. stan zdrowia, przynależność wyznaniowa lub przynależność do związku zawodowego. Profilowanie nie może być prowadzone na podstawie danych osobowych wrażliwych, chyba że osoba wyraziła jednoznaczną zgodę oraz jeśli profilowanie jest realizowane w interesie publicznym.

Profilowanie a ryzyko ochrony danych osobowych

Profilowanie jest szczególnym rodzajem przetwarzania danych osobowych, z którym mogą wiązać się zagrożenia dla praw i wolności osób, które są poddawane profilowaniu. Dlatego do Rozporządzenia dodany został art. 35, który określa wymóg przeprowadzenia oceny skutków dla ochrony danych osobowych (inaczej, ocena ryzyka przetwarzania danych osobowych). Ocena ryzyka powinna być przeprowadzona, jeżeli cel, zakres, charakter i kontekst profilowania stwarza wysokie ryzyko naruszenia praw i wolności osoby. Oceny należy dokonać przed rozpoczęciem profilowania, w szczególności, gdy dokonywana jest ocena osoby przy użyciu automatycznych systemów, stanowiąca podstawę decyzji rodzącej skutki prawne lub inny wpływ na prawa i wolności osoby, gdy przetwarzane są dane osobowe wrażliwe na dużą skalę, gdy miejsca publicznie dostępne są monitorowane na dużą skalę. Ocena ryzyka zawiera co najmniej systematyczny opis planowanych operacji przetwarzania, w tym profilowania danych osobowych, ocenę proporcjonalności operacji w stosunku do celów przetwarzania, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, środki zapobiegające powstaniu ryzyka, w tym zabezpieczenia i mechanizmy bezpieczeństwa mające na celu zapewnienie ochrony danych osobowych.

Dwa lata na dostosowanie się do nowych przepisów

Rozporządzenie będzie stosowane w całej Unii Europejskiej dopiero od 25 maja 2018 roku, ale już teraz warto przygotowywać się na spełnienie wymogów dotyczących zgodności profilowania z przepisami. Już dziś warto zastanowić się, jak zorganizować cały proces, jakie metody zabezpieczenia danych osobowych należy wdrożyć. Potencjalne zaniedbania w procesie ochrony danych osobowych (brak podstawy prawnej, niespełnienie obowiązku informacyjnego) mogą skutkować wysokimi karami finansowymi.

Dla efektywnego i spełniającego standardy ochrony danych osobowych profilowania, niezbędna jest współpraca podmiotów sektora prywatnego i publicznego, zajmujących się lub zamierzających zająć się profilowaniem, z GIODO i Europejską Radą Ochrony Danych Osobowych. Przede wszystkim istotne jest zachowanie zgodności z przepisami Rozporządzenia, zapewnienie stosowania najbardziej sprawdzonych zabezpieczeń informatycznych i organizacyjnych, a przede wszystkim wypracowanie standardów profilowania, które zagwarantują ochronę prywatności, ochronę praw i wolności każdej osoby, szczególnie przed decyzjami wykluczającymi dostęp do usług, opierającymi się wyłącznie na profilowaniu w systemach informatycznych.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

O autorze

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Zapraszamy do kontaktu
Tagi: naruszenia przechowywanie operacje jakość
Powiązane posty
Popularne Tagi

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!