Temat profilowania zagościł w dyskusji publicznej i w ostatnich latach niezmiennie budzi emocje. Przedsiębiorcy działający w sieci chcieliby wykorzystać jak najwięcej danych osobowych w celu zapewnienia efektywności biznesowej, zwłaszcza w odniesieniu do marketingu bezpośredniego. Inni obawiają się potencjalnych zagrożeń, jakie może nieść np.: przewidywanie zachowań i preferencji użytkowników, które stanowi istotę praktycznego wykorzystania technik profilowania w Internecie. Jakie zmiany czekają nas więc w 2018 r.?

Trendy i analizy

Profilowanie od lat wykorzystywane jest zarówno przez podmioty prywatne, jak i instytucje państwowe do przewidywania trendów i analizy zachowań użytkowników sieci. Przykładowo sektor finansowy profiluje swoich klientów na podstawie transakcji kartami płatniczymi, w celach związanych z marketingiem bezpośrednim, a pożyczkodawcy profilują potencjalnych klientów w celu oceny ryzyka kredytowego. Podobnie profilowanie wykorzystywane jest przez instytucje publiczne, czego przykładem jest kontrowersyjna praktyka profilowania bezrobotnych przez urzędy pracy, w celu zapewnienia pomocy lepiej dostosowanej do ich sytuacji osobistej.

Jest wreszcie legalna definicja

Pomimo powszechności profilowania, dotychczas ani w Dyrektywie PE i Rady nr 95/46/WE, ani w polskiej ustawie o ochronie danych osobowych nie było definicji prawnej profilowania. Obowiązujące od 25 maja 2018 r. rozporządzenie PE i Rady nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) po raz pierwszy wprowadza definicję legalną profilowania. Zgodnie z wprowadzoną definicją, „profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się."

Tym samym, nie jest profilowaniem:

- tworzenie profili osób fizycznych, które nie jest oparte na zautomatyzowanym przetwarzaniu danych,

- analiza zachowań szerszej grupy osób w sposób uniemożliwiający ustalenie ich tożsamości, a nie odnosząca się do konkretnego użytkownika.

Jakie zasady

Organizacje zamierzające profilować osoby, których dane dotyczą (swoich klientów, użytkowników czy pracowników) powinny pamiętać w szczególności o:

- zapewnieniu, że profilowanie prowadzone jest w oparciu o jedną z podstaw przetwarzania danych (np. zgodę).

- zasadzie rzetelnego i przejrzystego przetwarzania danych osobowych i właściwego poinformowania o takim przetwarzaniu,

- zapewnieniu osobom, których dane dotyczą prawa do łatwego dostępu do dotyczących jej danych osobowych,

- umożliwieniu sprzeciwu wobec profilowania w określonych przypadkach – w tym, gdy profilowanie jest związane z marketingiem bezpośrednim.

Te wymogi są zgodne z duchem RODO, którego podstawowym celem jest zapewnienie, że organizacje myślą o ochronie danych na każdym etapie – począwszy od projektowania procesów zakładających profilowanie po realizację praw osób, których dane dotyczą.

W oparciu o jaką podstawę prawną organizacje mogą profilować osoby, których dane dotyczą?

Automatyczne decydowanie

Można pokusić się o stwierdzenie, że wybór podstaw prawnych profilowania będzie uzależniony od tego czy profilowanie:

- wiąże się z podejmowaniem decyzji opartej wyłącznie na automatycznym przetwarzaniu danych osobowych i wywołującej wobec osoby skutki prawne lub w podobny sposób na nią istotnie wpływające,

- nie wiąże się z taką automatycznie podejmowaną decyzją.

Przykładem automatycznie podejmowanych decyzji, które mogą istotnie wpływać na daną osobę jest automatyczne odrzucenie wniosku kredytowego lub w pełni zautomatyzowany proces rekrutacji. Gdy jednak do procesu dodamy czynnik ludzki (przykładowo zatwierdzenie odrzucenia wniosku kredytowego, bądź CV przez pracownika administratora), wówczas nie będziemy mieli do czynienia z automatycznym podejmowaniem decyzji.

RODO określa wprost, że w przypadku, gdy profilowanie wiąże się z podejmowaniem decyzji opartej wyłącznie na automatycznym przetwarzaniu danych osobowych i wywołuje wobec osoby skutki prawne lub w podobny sposób na nią istotnie wpływa, organizacje mogą profilować osoby, gdy decyzja:

- jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą a administratorem,

- jest dozwolona prawem Unii lub prawem państwa członkowskiego, które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą,

- opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Oparcie takiego profilowania na prawnie uzasadnionym interesie będzie co najmniej dyskusyjne.

Dodatkowo w pierwszym i trzecim przypadku organizacja wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony organizacji, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

Konieczność uzyskania zgody

W dotychczasowych opiniach Grupy Roboczej Art. 29, zgoda odgrywała kluczową rolę w przypadku tworzenia indywidualnych profili konkretnych osób fizycznych.

Zdaniem Grupy Roboczej Art. 29, profilowanie indywidualnych osób, które może ujawniać ich osobiste preferencje, powinno zasadniczo zostać poprzedzone uzyskaniem zgody osoby, której dane są zbierane (choć opinie Grupy Roboczej Art. 29 nie mówią o tym wprost, ale zasadniczy wymóg zgody odwoływał się do profilowania skutkującego automatycznym i nieautomatycznym podejmowaniem decyzji). Tego rodzaju profilowanie wywiera bowiem bezpośredni wpływ na osobę, której dane są przetwarzane. Na podstawie jej preferencji i dotychczasowych zachowań będą przygotowywane spersonalizowane dla niej oferty, zniżki i adresowane będą do niej konkretne reklamy.

Kluczowym pytaniem, na które niebawem będzie musiała udzielić odpowiedzi Europejska Rada Ochrony Danych (następca Grupy Roboczej Art. 29) jest kwestia zakresu, w jakim zgoda na profilowanie powinna być odrębna od innych zgód (na przykład od zgody na przetwarzanie danych w celach marketingowych).

Uzasadniony interes

W pozostałych wypadkach (np., gdy podejmowanie decyzji wiąże się z przykładowo z czynnikiem ludzkim) wydaje się, że istnieje furtka otwierająca możliwość oparcia niektórych rodzajów profilowania o przesłankę prawnie uzasadnionego interesu (nie wykluczając możliwości skorzystania z innych podstaw, takich jak zgoda czy zawarcie i realizacja umowy, której stroną jest osoba, której dane dotyczą). Ta furtka będzie jeszcze szerzej otwarta, jeśli organizacja będzie przestrzegać podstawowych praw i wolności osoby, której dane dotyczą (w tym zapewni efektywną możliwość zgłoszenia sprzeciwu wobec przetwarzania danych oraz spełni obowiązki informacyjne).

Jako prawnie uzasadniony interes RODO wskazuje m.in. zapobieganie oszustwom oraz bezpieczeństwo IT, ale także marketing bezpośredni własnych produktów. Czy zatem pod rządami RODO prawnie uzasadniony interes będzie mógł częściej niż dotychczas stanowić podstawę prawną profilowania?

Dotychczas w opinii Grupy Roboczej Art. 29 w sprawie pojęcia uzasadnionych interesów administratora danych pojawiał się pogląd, że uzasadniony interes może być odpowiednią podstawą prawną przetwarzania danych osobowych w kontekście niektórych rodzajów działań marketingowych, z tym zastrzeżeniem, że muszą zostać zapewnione odpowiednie gwarancje – w szczególności możliwość wyrażenia sprzeciwu przez osobę, której dane są przetwarzane. Pogląd ten nie został szczegółowo rozwinięty przez Grupę Roboczą Art. 29, ale być może w przyszłości na temat profilowania w celach marketingu bezpośredniego wypowie się Europejska Rada Ochrony Danych.

Nowością względem dotychczasowego stanu prawnego jest wyraźne wyodrębnienie m.in. zapobiegania oszustwom, jako przykładu uzasadnionego interesu prawnego. Może to mieć szczególne znacznie przykładowo dla pożyczkodawców, którzy właśnie w tym celu będą mogli opierać profilowanie na podstawie uzasadnionego interesu.

Co z pracownikami

Definicja profilowania obejmuje m.in. ocenę czynników osobowych osoby fizycznej w celu analizy lub prognozy aspektów dotyczących jej efektów pracy.

Co to oznacza dla pracodawców? Powinni oni przeanalizować, czy narzędzia, które pozornie służą „tylko" monitorowaniu efektywności pracy pracowników stanowią przypadek profilowania. Za przykład służyć mogą systemy rejestracji czasu pracy pracowników i automatyczne sporządzanie raportów z ich efektywności.

W związku z tym, konieczna będzie ocena, czy narzędzia rodzą dodatkowe obowiązki po stronie pracodawcy (jak na przykład obowiązek oceny skutków przetwarzania). Należy również zastanowić się nad podstawą prawną takiego profilowania – być może w omawianym kontekście będzie to uzasadniony interes pracodawcy. W przeciwnym razie, założenie, że w celu zastosowania oprogramowania mierzącego efektywność pracy pracowników konieczne byłoby zbieranie zgód, co doprowadziłoby do paraliżu w wielu międzynarodowych organizacjach.

Zdaniem autorek

Izabela Kowalczuk-Pakuła, radca prawny, kieruje praktyką ochrony prywatności i danych osobowych w kancelarii Bird & Bird;

Maria Guzewska, prawnik w zespole ochrony prywatności i danych osobowych w kancelarii Bird & Bird

Jak się przygotować

Podmioty dokonujące profilowania (lub planujące jego rozpoczęcie po wejściu w życie RODO) powinny dokonać szczegółowej analizy legalności prowadzonych procesów profilowania.

Konieczne jest sprawdzenie, czy profilowanie stanowi wyłączną podstawę decyzji, która wywołuje wobec osób fizycznych skutki prawne lub czy w podobny sposób istotnie na nie wpływa. Dlaczego jest to tak ważne? Ponieważ może się to przekładać na zakres obowiązków organizacji. W niektórych przypadkach można przeanalizować, czy nie włączyć efektywnie czynnika ludzkiego, aby zredukować zakres obowiązków.

Konieczne jest ustalenie czy planowane (bądź prowadzone) profilowanie jest dokonywane w oparciu o ważną podstawę prawną, np. przepis prawa, który umożliwia profilowanie, bądź też zgodę osoby, której dane są przetwarzane. Jednocześnie należy ostrożnie podchodzić do zgody – jej dobrowolność może być bowiem kwestionowana m.in. w relacji pracownik-pracodawca oraz w przypadkach, gdy istnieje „wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem".

Następnie, organizacje powinny w jasny sposób określić cele, dla których profilują albo planują profilować i ustalić jaki zakres danych poddawany jest analizie i ustalić kryteria, zgodnie z którymi osoby będą profilowane. Jest to niezbędne, aby zgodnie z wymogami RODO udzielić osobom, których dane dotyczą jasnych i rzetelnych informacji odnośnie do ich profilowania (i uczynić zadość królującej w RODO zasadzie transparentności przetwarzania danych). Ponadto, jasne określenie celów profilowania i zakresu danych jest konieczne do stwierdzenia, czy spełniona jest zasada minimalizacji danych osobowych (tj. czy nie są przetwarzane nadmierne ilości danych, lecz tylko te, które są niezbędne do celów, dla których zostały zebrane) i czy przetwarzanie jest zgodne z zasadą „związania celem przetwarzania".

Podmioty planujące profilowanie powinny również wziąć pod uwagę, że procesy przetwarzania danych zakładające profilowanie mogą podlegać nowym obowiązkom wprowadzonym przez RODO, takim, jak obowiązek domyślnej ochrony danych (data protection by default) oraz oceny skutków przetwarzania dla ochrony danych (data protection impact assessment). W związku z powyższym, podmioty planujące profilowanie powinny rozważyć wprowadzenie odpowiednich procedur umożliwiających spełnienie tych obowiązków.

Podobnie należy wziąć pod uwagę określone w RODO prawa osób, których dane dotyczą – takie jak:

- prawo sprzeciwu wobec przetwarzania danych (w tym sprzeciwu wobec profilowania dla celów marketingu bezpośredniego),

- prawo do poprawy lub uaktualnienia danych,

- prawo do bycia zapomnianym lub do ograniczenia przetwarzania danych, a także

- prawo do przenoszenia danych do innego administratora.

Należy zatem dokonać analizy, które z wymienionych obowiązków mogą mieć zastosowanie do konkretnej organizacji i w jakim zakresie, a jeśli okaże się to celowe, wprowadzić również procedury postępowania w przypadku wykonywania przez osobę, której dane dotyczą przysługującego jej prawa - np. prawa do przenoszenia danych (co może mieć szczególne znaczenie przykładowo w kontekście przenoszenia danych konsumentów pomiędzy bankami detalicznymi).