Profilowanie - zmiany wprowadzane przez RODO i ich wpływ na branżę e-commerce

 

Profilowanie, czyli bardzo powszechne zjawisko polegające na zbieraniu informacji o konsumencie na podstawie jego zachowań w sieci dotychczas nie było szczegółowo unormowane w polskim prawie. Ma się to zmienić wraz z wejściem w życie nowego, europejskiego rozporządzenia o ochronie danych osobowych (RODO). Jak brzmi definicja profilowania oraz jakie obowiązki nakłada unijne rozporządzenie na podmioty profilujące i jakie prawa zyskają osoby, które są temu procesowi poddawane?

 

Nowa definicja profilowania według RODO

 

Unijne przepisy dotyczące ochrony danych osobowych, które zaczną być stosowane od 25 maja 2018 roku bezpośrednio we wszystkich państwach członkowskich, wprowadzają legalną definicję profilowania. 

 

Zgodnie z art. 4 pkt 4  RODO, profilowanie to:

 

 “dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”. 

 

 

RODO wskazuje dwie kategorie profilowania: polegające na ocenie prawdziwych informacji pozyskanych na temat danej osoby albo na wytworzeniu nowej informacji o osobie, na podstawie wiedzy pozyskanej na jej temat. W drugim przypadku nowa informacja będzie jedynie statystycznie prawdziwa, a co za tym idzie pojawia się ryzyko przypisania podmiotowi danych cech, których w istocie on nie posiada, co z kolei doprowadzić może do nieusprawiedliwionego pozbawienia go dostępu do pewnych dóbr i usług. RODO przewiduje również dwie formy profilowania – profilowanie zwykłe (z udziałem czynnika ludzkiego) oraz zautomatyzowane, gdzie cały proces oceny oraz podjęcie decyzji dokonują programy komputerowe (procesy kończące się podjęciem zautomatyzowanej decyzji). Należy zauważyć, że wskazane kategorie profilowania mogą przybierać zarówno formę profilowania zwykłego, jak i zautomatyzowanego.

RODO różnicuje wymogi prawne dotyczące obu tych form.

 

 

Rozporządzenie unijne wprowadza kilka wymogów, jakie administratorzy danych osobowych zobowiązani są spełnić wobec osób, których dane planują „profilować”.

Pierwszym wymogiem jest spełnienie obowiązku informacyjnego, a więc wskazania podmiotowi danych, że proces ten ma miejsce, jakie są jego konsekwencje i czy dzieje się to w sposób zautomatyzowany.


 

Informacja o tym, że osoba, której dane dotyczą jest poddawana profilowaniu musi zostać przekazana jej w jasny i precyzyjny sposób. Obowiązek informacyjny funkcjonuje bez względu na podstawę prawną przetwarzania danych osobowych. W przypadku danych zwykłych (reguluje go art. 13 ust. 2 f RODO) i danych szczególnych kategorii (reguluje go art. 14 ust. 2 g RODO) został ujęty tak samo i brzmi następująco:

(…) Administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:  (…) — informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Art. 22 ust. 1 i 4 dotyczy przypadków, gdy profilowanie nie jest niezbędne do wykonania umowy, nie ma swojej podstawy w przepisach prawa i nie jest dokonywane na podstawie zgody, oraz gdy decyzje podjęte w takim procesie opierają się na szczególnej kategorii danych (danych wrażliwych). W takiej sytuacji należy dodatkowo przekazać:

 

- informacje o zasadach podejmowania takich decyzji (czyli w jaki sposób ta ocena następuje oraz przy pomocy jakich narzędzi będzie dochodzić do takiej oceny)

- informacje o znaczeniu i przewidywanych konsekwencjach dla osoby, której dane te dotyczą (tu chodzi o wyjaśnienie, jakie skutki prawne może nieść za sobą taka decyzja lub w jaki sposób prawnie będzie ta decyzja na daną osobę wpływać – np. zwiększona składka ubezpieczeniowa, zmiana zakresu ubezpieczenia, odrzucenie lub odroczenie wniosku o zawarcie umowy

 

Kolejnym obowiązkiem administratora danych jest umożliwienie podmiotowi danych wniesienia sprzeciwu wobec profilowania (art. 21 ust. 1 i 2 RODO). Obowiązek ten odnosi się do każdej kategorii profilowania (zarówno z udziałem czynnika ludzkiego, jak i zautomatyzowanego).

 

Najczęściej profilowanie będzie nieodłącznym elementem przetwarzania danych w celu marketingu własnych produktów i usług administratora z zamiarem przygotowania zindywidualizowanej oferty handlowej. W takiej sytuacji podmiot danych będzie miał prawo wniesienia sprzeciwu zarówno wobec przetwarzania danych w celu marketingowym, jak i profilowania w celach marketingowych (jeżeli dane te są dodatkowo profilowane w celach marketingowych). Klauzula informacyjna powinna zawierać stosowną informację, precyzującą cel przetwarzania, zgodnie z art. 13 ust. 1 c RODO w przypadku zbierania danych od osoby, której te dane dotyczą:

1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania

danych osobowych podaje jej wszystkie następujące informacje:

c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

 

oraz analogicznie art. 14 ust. 1 c RODO w przypadku zbierania danych w sposób inny niż od osoby, której dane dotyczą. 

 

W przypadku profilowania zautomatyzowanego, podmiot danych będzie miał z kolei prawo do niepodlegania decyzji, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Z wyjątkiem od powyższej zasady mamy do czynienia:

a) w przypadku, gdy chodzi o dane zwykłe:

• gdy profilowanie jest konieczne do zawarcia i wykonania umowy, o ile zostały zapewnione przez administratora środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. Przykładem takiego profilowania, które nie generuje prawa do niepodlegania decyzji jest profilowanie na potrzeby oceny ryzyka ubezpieczeniowego.

        • gdy profilowanie jest dozwolone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą;

• gdy osoba, której dane dotyczą wyraziła zgodę na takie profilowanie. Należy pamiętać, że również w takim przypadku powinny zostać zapewnione przez administratora danych środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

b) w przypadku gdy chodzi o dane szczególnych kategorii (m.in. informacje o stanie zdrowia):

• gdy przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym na podstawie  prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;

• gdy osoba, której dane dotyczą wyraziła zgodę na takie profilowanie i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

 

Ostatnim obowiązkiem administratora danych związanym z profilowaniem jest realizacja prawa podmiotu danych do dostępu do przetwarzanych danych, o którym mowa w art. 15 RODO. Ust.1 h tego artykułu jest tak samo skonstruowany jak przy powyżej opisanym obowiązku informacyjnym. 

Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: (…) h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Po otrzymaniu od podmiotu danych wniosku o dostęp do danych, będzie można więc udzielić tych samych informacji co w klauzuli informacyjnej.

 

 

Wiele sklepów działających w branży e-commerce stosuje profilowanie, które jest skutecznym sposobem na bardziej efektywną sprzedaż produktów, przy jednoczesnym zmniejszeniu nakładów finansowych na działania promocyjne. Jak profilowanie w sklepach internetowych wygląda w praktyce? Przykładem może być gromadzenie oraz analizowanie danych klienta takich jak jego wiek, płeć, data urodzenia, miejsce zamieszkania, zainteresowania, zachowanie na stronie czy ostatnio dokonane zakupy. Dzięki tym informacjom właściciel sklepu internetowego może przesyłać klientowi bardziej zindywidualizowaną ofertę, która z większym prawdopodobieństwem go zainteresuje.

 

Bez względu jednak na to, jak bardzo zaawansowane metody profilowania wykorzystywane są w handlu internetowym, za każdym razem jego klient musi być tego świadom (a więc na właścicielu sklepu internetowego ciąży pełny obowiązek informacyjny o profilowaniu) oraz musi mieć możliwość wyrażenia dobrowolnej zgody na ten proces. 

 

Profilowanie w handlu elektronicznym może wiązać się także z przetwarzaniem tak zwanych danych szczególnych kategorii, czyli w kontekście e-commerce, mogą to być informacje zbierane przez aptekę internetową na temat stanu zdrowia klienta. Dane tego typu są uznane przez RODO za dane szczególnie chronione i istnieje całkowity zakaz ich wykorzystywania w celu tworzenia profilu klienta — chyba, że wyrazi on na to zgodę.

 

Zmiany wprowadzone wraz z RODO — z profilowaniem na czele — wpłyną więc w pewnym stopniu na rozwój e-commerce. Klienci sklepów internetowych, którzy będą świadomi tego, że ich dane są wykorzystywane do profilowania, mogą mniej chętnie wyrażać na te działania zgodę. A to doprowadzi do sytuacji, w której właściciele e-sklepów,będą mogli wysyłać oferty spersonalizowane do mniejszej ilości klientów, co może w znacznym stopniu wpłynąć na sprzedaż.

 

Czy taki scenariusz się sprawdzi? Przekonamy się po 25 maja 2018 roku, od kiedy przepis