RODO – profilowanie po liftingu.


PROFILOWANIE PO LIFTINGU

 Jednym z szeroko omawianych i komentowanych tematów związanych z wejściem w życie RODO, czyli nowego rozporządzenia unijnego o ochronie danych osobowych, jest niewątpliwie profilowanie. Jako zagadnienie balansujące na krawędzi prawa do ochrony prywatności z jednej strony a potrzebami rynku e-commerce z drugiej, stanowi szczególnie ważne zagadnie i jako takie zostało uwzględnione w nowej regulacji.


Pamiętaj, że unijne rozporządzenie zacznie obowiązywać od 25 maja bieżącego roku, dlatego już teraz warto rozpocząć wdrażanie narzędzi i rozwiązań, które bezpiecznie i bez zbędnego stresu dostosują Twoje działania w sieci do nowych przepisów.

CO TO JEST PROFILOWANIE?

Zacznijmy może od tego, czym nie jest. Na pewno nie jest nowością – profilowanie towarzyszy nam już od jakiegoś czasu i myślę, że można pokusić się o stwierdzenie, że wielu z nas intuicyjnie rozumie, co to pojęcie oznacza. Z punktu widzenia prawa, takie dorozumiane znaczenie musiało nam do tej pory wystarczyć, ponieważ w obecnie obowiązującej ustawie o ochronie danych osobowych nie ma definicji legalnej profilowania. RODO wychodzi temu naprzeciw i w artykule poświęconym definicjom znajdziemy również znaczenie pojęcia „profilowanie”.

Zgodnie z rozporządzeniem profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Profilowanie, czyli zbieranie informacji o danej osobie na podstawie jej działań w sieci, możemy podzielić na podzielić na dwie kategorie – pierwszą polegającą na ocenie posiadanych i legalnie pozyskanych informacji o danej osobie oraz drugą, opierającą się na wnioskowaniu, czyli na wytworzeniu innej, nowej informacji na podstawie posiadanych danych. Przetwarzanie danych osobowych do celów marketingu bezpośredniego, w tym profilowanie jest obecnie bardzo często wykorzystywane np. w usługach finansowych i ubezpieczeniach.



ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI

Jak zapewne się domyślasz, profilowanie nie jest narzędziem idealnym i łatwo można sobie wyobrazić sytuację, w której uzyskana w ten sposób informacja nie będzie pasowała do danej osoby. Na gruncie RODO nie ma to znaczenia, dopóki z takich błędnie wyciągniętych wniosków na temat danej osoby nie wynikają żadne skutki prawne ani decyzja ta w podobny sposób istotnie na daną osobę nie wpływa.

W wypadku jednak, gdy mamy do czynienia z decyzją wygenerowaną wyłącznie poprzez zautomatyzowane podejmowanie decyzji na podstawie zgromadzonych danych a decyzja ta wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa, przepisy rozporządzenia przewidują możliwość nie podlegania takiej decyzji.

Pamiętaj, że prawo do niepodlegania decyzji podjętej w sposób zautomatyzowany nie jest absolutne i nie ma zastosowania w wypadkach wskazanych w RODO, czyli: jeżeli przedmiotowa decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem, jeżeli jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą lub jeśli opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

W dwóch z trzech wymienionych powyżej sytuacji, czyli w wypadku przesłanki niezbędności oraz w przypadku wyraźnej zgody, rozporządzenie nakłada na administratora obowiązek wdrożenia właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. RODO co prawda nie wskazuje wprost, jakie środki uznaje za właściwe, ale określa minimum, jakie administrator ma obowiązek wypełnić, tj. zapewnienie prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania przedmiotowej decyzji.

Ponadto, zgodnie z rozporządzeniem, zautomatyzowane decyzje nie mogą opierać się na kategoriach szczególnych danych osobowych wskazanych w rozporządzeniu tj. danych wrażliwych, genetycznych i biometrycznych, czyli np. danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Od tej zasady występują wyjątki wskazane w rozporządzeniu.



KOMPLEKSOWOŚĆ ROZWIĄZAŃ

Rozpatrując zagadnienie profilowania należy mieć na uwadze również całokształt zasad wskazanych w RODO. Należy pamiętać, że przy zagadnieniu profilowania znajdują zastosowanie obowiązki informacyjne nakładane przez rozporządzenie na administratora danych osobowych, prawo dostępu do danych dotyczących danej osoby oraz prawo sprzeciwu. Co istotne, to ostanie jedynie w przypadku przetwarzania danych osobowych do celów marketingu bezpośredniego, w tym profilowania, jest bezwzględnie skuteczne (a co do zasady nie zawsze takie jest ).


Na koniec warto jeszcze zaznaczyć, że nie każda czynność zautomatyzowanego przetwarzania danych będzie profilowaniem – warto wiedzieć, na czym polega różnica, ale to już materiał na kolejny wpis. Nowych artykułów o RODO i ochronie danych osobowych po liftingu wypatruj na www.lawstories.pl i razem ze mną #rozszyfrujRODO. Zapraszam!


 

 

 AUTORKA: Anna Kolęda-Klinkosz 

adwokat, przedsiębiorca i autor. Zawodowo skupia swoje zainteresowania wokół prawa handlowego, cywilnego, prawa autorskiego i własności intelektualnej oraz ochrony danych osobowych. Interesuje się prawem nowych technologii oraz szeroko pojętą branżą kreatywną i związanymi z nią zagadnieniami. Na co dzień pracuje z przedsiębiorcami i twórcami. Pisze o prawie i o tym, jak się w nim nie pogubić. Codziennie stara się przybliżyć zagadnienia, z którymi najczęściej borykają się osoby, które chcą budować swój biznes świadomie i zgodnie z prawem oraz odczarowuje skomplikowane przepisy i regulacje. W poprzednim wcieleniu dziennikarz i copywriter. Jako autor na lawstories.pl chętnie łączy zamiłowanie do pióra i tworzenia treści z zainteresowaniami zawodowymi. Testuje wody jako szkoleniowiec.