W dzisiejszych czasach profilowanie ma szerokie zastosowanie w biznesie, a w szczególności w marketingu. Z punktu widzenia zwykłej osoby profilowanie jest niemal wszechobecne – sklepy „podpowiadają” nam odpowiednie produkty, serwisy informacyjne i media społecznościowe dostosowują treści i reklamy do naszych wyborów, a zaawansowane programy finansowe wyliczają naszą zdolność kredytową. Pozornie jest to zjawisko pozytywne – dostajemy więcej treści, informacji lub rekomendacji, które nas dotyczą. Przedsiębiorcy rozwijają się i zarabiają, ponieważ przesyłając nam interesujące dla nas rekomendacje zwiększają sprzedaż produktów, a z drugiej strony dzięki „pomocy” profilowania mogą ograniczyć koszty związane z pracą pracowników. Profilowanie niesie ze sobą jednak także szereg zagrożeń, o których istnieniu nie można zapominać. Z uwagi na te zagrożenia w RODO wprowadzono legalną definicję profilowania oraz szereg ograniczeń w tym zakresie.
Zgodnie z art. 4 pkt 4 profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Definicja zamknięta w kilkudziesięciu słowach opisuje temat o wiele bardziej skomplikowany niż mogłoby się początkowo wydawać. Mnogość zastosowań i różnorodne pomysły przedsiębiorców powodują, że profilowanie budzi dużo wątpliwości. W tym artykule spróbuję przeanalizować na czym dokładnie polega profilowanie, a także ocenić, w jakich przypadkach będzie ono ryzykowne oraz jakie działania administrator danych osobowych powinien podjąć, aby działać zgodnie z prawem.
Tłumacząc powyższą definicję możemy wskazać, że profilowanie polega na takim przetwarzaniu danych osobowych, które ma w sobie czynnik automatyczny i odbywa się w stosunku do danych osób fizycznych, a na podstawie takich danych wyciągane są wnioski na temat danych tej osoby, jej zachowań, czy jej sytuacji, które podlegają ocenie.
Jak zauważa Grupa Robocza Art. 29, w wytycznych dotyczących profilowania, mowa jest tutaj o dowolnej formie zautomatyzowanego przetwarzania[1]. Zakres automatyzacji może mieć różny stopień – automatyzacja może być jedynie elementem procesu, w którym jakąś rolę będzie pełnił człowiek, a może być tak, że dany proces będzie w pełni zautomatyzowany. Z uwagi na powyższy stopień ingerencji człowieka czy też patrząc odwrotnie – na skalę zautomatyzowania – można spróbować wyróżnić dwa rodzaje profilowania. Pierwszym będzie profilowanie kwalifikowane, czyli oparte na zautomatyzowanym podejmowaniu decyzji, która wywołuje na wobec danej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Ta procedura będzie podlegać pod art. 22 RODO, co zaraz szerzej omówimy. Drugim rodzajem będzie podejmowanie decyzji opartej na profilowaniu z kluczowym udziałem człowieka. Dla uproszczenia nazwijmy je profilowaniem zwykłym, z zastrzeżeniem, że oczywiście w codzienności takie zwykłe profilowanie pozbawione w pełni zautomatyzowanego przetwarzania również występuje, ale w świetle RODO nie będzie nas ono interesować.
Przykład profilowania zwykłego: System bankowy tworzy profil klienta na potrzeby ustalenia zdolności kredytowej. Wszystkie informacje podlegają ocenie przez pracownika, który podejmuje decyzję w sprawie przyznania kredytu.
Przykład profilowania kwalifikowanego: System bankowy tworzy i ocenia profil klienta, a następnie automatycznie przyznaje bądź odmawia udzielenia pożyczki.
Wskazana wyżej otwarta definicja mieści w sobie różne formy operacji. W praktyce zdarza się, że trudno jest wskazać stopień zautomatyzowania przetwarzania i podejmowania decyzji, a zatem określić, jaki de facto był udział człowieka, a jest to istotne z punktu widzenia określenia, czy mamy do czynienia z profilowaniem wskazanym w art. 22 RODO, czy raczej z profilowaniem zwykłym.
Drugą bardzo ważną częścią definicji są dane osobowe, gdyż to one są przetwarzane, a nie np. dane statystyczne. Co istotne – dane osobowe dotyczą osób fizycznych. Jeśli podlegały zanonimizowaniu, to przeprowadzana procedura przestałaby już być profilowaniem, a stałaby się właśnie statystyką czy też tzw. segmentacją klientów, gdyż wyniki nie dotyczyłyby wprost konkretnych osób.
Przykład: Przedsiębiorca analizuje, gdzie mieszkają klienci, którzy robią u niego zakupy i na tej podstawie sprawdza, gdzie powinien zwiększyć swoją aktywność marketingową. Przedsiębiorca nie gromadzi jednak przy tym danych dotyczących konkretnych klientów i nie tworzy zbiorów, które umożliwiałyby ich identyfikację.
W tym kontekście terminy analizy i oceny niektórych danych osoby fizycznej są kluczowe dla pojęcia profilowania. Profilowanie ma umożliwiać przeprowadzenie właśnie takiej oceny lub analizy danych osobowych osoby fizycznej. Taka analiza lub ocena mają służyć celom: statystycznym, marketingowym, podejmowaniu decyzji względem konkretnych osób oraz realizacji umowy. W procesie profilowania można wyróżnić trzy etapy: zbierania danych, analizowania danych oraz tworzenia profilu osoby fizycznej lub podejmowania decyzji mającej wpływ na osobę fizyczną w oparciu o profil[2].
Przedsiębiorca, który planuje określone działania mogące nosić znamiona profilowania powinien dokładnie przeanalizować opisane wyżej czynniki i zastanowić się, czy to co planuje rzeczywiście będzie stanowiło profilowanie w rozumieniu RODO, jakich danych będzie dotyczyło i w jaki sposób będzie wpływało na osoby fizyczne, w tym czy na podstawie zgromadzonych danych będzie dochodziło do dokonywania prognoz, ocen, wniosków dotyczących tych osób. Dodatkowo, administrator powinien dokonać oceny, czy stosowane rozwiązanie będzie miało charakter profilowania kwalifikowanego, czy zwykłego. W tym celu administrator powinien zastanowić się, jaki będzie udział człowieka w danym procesie i czy faktycznie będzie on miał wpływ na podejmowane decyzje. Zgodnie z powołanymi wyżej Wytycznymi Grupy Roboczej art. 29 udział człowieka musi być rzeczywisty – powinien on mieć realny wpływ na podjętą decyzję.
Jeżeli przedsiębiorca dojdzie do wniosku, że będzie stosował profilowanie zwykłe to zgodnie z RODO może to robić, posiadając oczywiście ogólną podstawę prawną do przetwarzania danych osobowych, a w niektórych przypadkach wypełniając dodatkowe obowiązki wynikające z przepisów[3]. Jeżeli natomiast zamierza wdrożyć proces, który będzie miał charakter profilowania kwalifikowanego to wówczas musi spełnić dodatkowe wymogi.
W przypadku profilowania zwykłego podstawa przetwarzania danych osobowych może być każda z podstaw wskazana w art. 6 RODO.
W pierwszej kolejności podstawą przetwarzania danych osobowych może być zgoda. Jednym z najistotniejszych warunków jest jasność i przejrzystość informacji, jaką otrzymuje klient. Musi on dobrze rozumieć na co się zgadza, a zatem administrator powinien dokładnie przedstawić na czym polega proces przetwarzania, jak przebiega oraz jakie są jego konsekwencje (jak zostaną wykorzystane dane osobowe). Informacje takie będą zawarte w klauzuli na podstawie art. 13 RODO.
Kolejną podstawą przetwarzania danych osobowych może być niezbędność przetwarzania danych do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy.
Należy w tym zakresie zawsze przeanalizować czego dotyczy dana umowa i czy konkretny efekt da się osiągnąć za pomocą innych sposobów, a nie poprzez zastosowanie profilowania. Może być także sytuacja, w której umowa dotyczy odrębnych kwestii, a profilowanie jest prowadzone jako działanie poboczne, np. marketingowe. W takim wypadku nie możemy twierdzić, że profilowanie jest niezbędne do wykonania umowy, a na jego zastosowanie potrzebna będzie odrębna zgoda.
Przykład: Administrator prowadzi sieć sklepów z biżuterią. W przypadku sprzedaży biżuterii przetwarza dane niezbędne do zawarcia umowy, w tym wystawienia faktury i wysyłki towaru, takie jak imię, nazwisko, dane karty kredytowej, adres. Administrator prowadzi też działania marketingowe, w ramach których system wysyła klientom spersonalizowane newslettery, oparte o ich wcześniejsze zakupy. W tym drugim przypadku administrator działa w oparciu o zgodę klientów.
Podstawą przetwarzania może być także obowiązek prawny administratora. Profilowanie będzie wówczas niezbędne do wypełnienia obowiązku prawnego (art. 6 ust. 1 lit. c), czyli np. do zapobiegania praniu brudnych pieniędzy lub nadużyciom finansowym. Sytuacja taka może występować, gdy podmioty zobowiązane z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu wdrażają rozwiązania, mające na celu ułatwienie im wypełnienie obowiązków wynikających z ustawy.
Podstawą przetwarzania, z której w praktyce również może skorzystać administrator, będzie prawnie uzasadniony interes realizowany przez administratora lub przez stronę trzecią. W takim przypadku musi jednak pamiętać o przeprowadzeniu tzw. testu równowagi interesów, w którym oceni, czy rzeczywiście jego interes jest nadrzędny wobec interesów osoby, której dane są w ten sposób przetwarzane. W przypadku działań marketingowych prowadzonych online przetwarzanie danych osobowych na tej podstawie ma charakter ograniczony, albowiem w Polsce na otrzymywanie treści o takim charakterze wymagana jest zgoda[4].
Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa (art. 22 ust. 1). Oznacza to, że w sytuacji, kiedy zautomatyzowane przetwarzanie (bez istotnego udziału człowieka) dotyczy wszystkich etapów, także podjęcia decyzji, profilowanie będzie co do zasady niedopuszczalne. Źródło takiej decyzji leży w zabezpieczeniu jednostek w kontekście rozwoju technologii i wpływu informatyki na ich prawa. Innymi słowy wynika to właśnie z chęci z ograniczenia niebezpieczeństwa płynącego z podejmowania decyzji tylko na podstawie zautomatyzowanego przetwarzania danych osobowych.
Przykład: Jakiś czas temu w firmie Amazon funkcjonował specyficzny sposób rekrutacji. Wprowadzone do systemu dane osobowe zostały zapisane w kategorie informacji, z których algorytm nauczył się „wnioskować”, że kobiety są gorszym rodzajem pracownika, jako np. słabsze fizycznie. Doprowadziło to do sytuacji, że system automatycznie odrzucał on wnioski o zatrudnienie kobiet albo oceniał je po prostu niżej od CV mężczyzn[5].
Kluczowe znaczenie w podleganiu regulacji art. 22 ust. 1 RODO ma skutek profilowania, a więc czy w procesie podejmowania decyzji istotną rolę odgrywa człowiek, czy też sprowadza się ono do działania maszyny. Zatem decyzji, w których udział ma człowiek, nie dotyka zakaz. Jednak, co konieczne jest podkreślenia, „zaangażowanie człowieka powinno obejmować etap podejmowania decyzji, a nie może być ograniczone wyłącznie do wprowadzenia danych osobowych do systemu czy do nadzoru nad tym systemem[6]. Dodatkowo, w przypadku profilowania kwalifikowanego, taka decyzja ma wywołać skutki prawne wobec osoby, której dane dotyczą lub wpłynąć na nią istotnie, w podobny sposób do skutków prawnych.
Grupa Robocza art. 29 wskazuje, że te wyjątki mogą polegać na:
– decyzji wywierającej wpływ na sytuację finansową danej osoby, np. jej zdolność kredytową;
– decyzji wywierającej wpływ na możliwość korzystania ze świadczeń zdrowotnych przez daną osobę;
– decyzji skutkującej utratą szansy na zatrudnienie przez daną osobę lub stawiającej tę osobę w znacznie gorszej sytuacji;
– decyzji wywierającej wpływ na dostęp danej osoby do kształcenia, na przykład na możliwość dostania się na studia.
Grupa Robocza Art. 29 wskazuje przy tym pewien tok postępowania w przypadku podjęcia zautomatyzowanej decyzji wobec jednostki, która ma prawo, by jej nie podlegać. Poniżej omówione zostaną wyjątki (ust. 2), wskazane w RODO, jakich występowanie skutkuje brakiem zastosowania wyłączenia możliwości stosowania profilowania kwalifikowanego (ust. 1). Wystarczy spełnienie jednej z tych przesłanek, aby profilowanie kwalifikowane było dopuszczalne.
Pierwszy przypadek występuje, gdy profilowanie jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem (art. 22, ust.2 lit. a). Innymi słowy zawarcie lub wykonanie umowy byłoby niemożliwe bez automatycznego podejmowania decyzji. Termin „niezbędności” wskazuje, że takie użycie profilowania musi być wyraźnie uargumentowane i może być zbyt szeroko interpretowane.
Przykład: Firma tworzy program lojalnościowy dla klientów. Z uwagi na to, że firma jest bardzo duża i ma wielu klientów nie jest w stanie przedstawiać im każdorazowo przygotowanych przez pracowników zindywidualizowanych ofert w związku z przynależnością do programu. Firma zamiast tego wdraża program, który profiluje klientów i przedstawia im interesujące dla nich oferty zniżek, rabatów, kuponów.
Profilowanie kwalifikowane będzie także dozwolone, jeżeli pozwala na to przepis prawa (art. 22 ust. 2 lit. b RODO), co musi wiązać się także z zapewnieniem przez państwa odpowiednich zabezpieczeń dla praw jednostek. W przypadku przedsiębiorców przepis ten ma jednak charakter marginalny, dlatego nie będę w niniejszym artykule bardziej szczegółowo go omawiała.
Ostatnią z przesłanek dopuszczających podejmowanie decyzji na podstawie zautomatyzowanego przetwarzania danych jest wyraźna zgoda osoby, której dane dotyczą. Taka zgoda powinna nosić cechy oświadczenia woli, a nie przyjęcia do wiadomości (taka osoba musi wyrazić zgodę na przetwarzanie danych w takiej a nie innej formie oraz z określonym skutkiem). Musi zostać zebrana „w sposób niebudzący wątpliwości co faktu jej udzielenia przez osobę, której dane dotyczą”[7]. Taka zgoda może być udzielona ustnie przez telefon, w internecie zaznaczając w formularzu odpowiednie opcje (podparte przejrzystym wyjaśnienie sytuacji profilowania, a także jego skutku) czy w formie pisemnej.
Należy zwrócić uwagę, że w przypadkach gdy podstawą przetwarzania będzie zgoda albo niezbędność do wykonania umowy przepis art. 22 ust. 3 obliguje administratora do wdrożenia właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji. Osoba, której dane są przetwarzane ma zatem prawo żądać od administratora, aby decyzja była zweryfikowana przez człowieka oraz ma prawo ją kwestionować.
W sytuacji spełnienia jednego z wyjątków z art. 22 ust. 2 może jednak dojść do sytuacji, że przetwarzanie tych danych nie będzie dopuszczalne, jeśli są dane należące do szczególnych kategorii danych osobowych (np. dane dotyczące stanu zdrowia, orientacji seksualnej, religii, przekonań politycznych osób fizycznych). Aby możliwe było wykorzystanie takich danych muszą zostać spełnione warunki podane w art. 9 ust. 2 lit. a (wyraźna zgoda osoby, której dane dotyczą) lub w tym samym artykule i ustawie lit. g (ważny interes publiczny na podstawie prawa UE lub państwa członkowskiego). Interesujący przypadek przywołuje Grupa Robocza Art. 29, w którym dane nienależące do szczególnej kategorii mogą taką się stać w korelacji z innymi wykorzystanymi danymi:
W pewnym badaniu połączono „polubienia” na Facebooku z ograniczonymi informacjami ankietowymi i stwierdzono, że badacze prawidłowo prognozowali orientację seksualną mężczyzn w 88% przypadków, pochodzenie etniczne użytkownika w 95% przypadków, a to, czy użytkownik był chrześcijaninem czy muzułmaninem w 82% przypadków[8].
Konieczność wypełnienia przez administratora obowiązku informacyjnego nie budzi wątpliwości. W przypadku jednak profilowania kwalifikowanego administrator musi spełnić dodatkowe przesłanki w tym zakresie, o których mowa w art. 13 ust. 2 lit. f RODO. Administrator powinien zatem uwzględnić informację o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – zawrzeć istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Jak widać zatem, zakres dodatkowej informacji jest dość szeroki i szczegółowy.
Profilowanie niesie ze sobą szereg zagrożeń, co do których świadomość społeczna rośnie. Profilowanie może wiązać się z wykluczaniem pewnych grup osób albo z dyskryminacją, może również przyczynić się do ograniczenia dostępu do informacji[9]. Z tego powodu profilowanie powinno być stosowane z pewną dozą ostrożności oraz uważnością. Każdy tego typu proces powinien wiązać się z przeprowadzeniem analizy ryzyka, a w niektórych przypadkach oceną skutków dla ochrony danych. Przedsiębiorca powinien ustalić, czy proces decyzyjny będzie odbywał się z udziałem człowieka, czy też będzie w pełni zautomatyzowany. Jeżeli profilowanie będzie miało charakter kwalifikowany to musi zadbać o wdrożenie tych środków, które zostały opisane powyżej. Wówczas ryzyka dla osób fizycznych, które są nieodłącznym elementem profilowania zostaną częściowo zmitygowane.
Artykuł ukazał się w publikacji „Poradnik prenumeratora. 5 lat z RODO – przewodnik” wydanej przez „Rzeczpospolitą” w dniu 21.06.2023 r.
Interesujesz się zagadnieniami związanymi z RODO? Przeczytaj koniecznie o sztucznej inteligencji jako narzędziu marketingowym tutaj oraz o prowadzeniu działań marketingowych z perspektywy przepisów ochrony danych osobowych tutaj.
[1] Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, dostęp: https://www.uodo.gov.pl/data/filemanager_pl/908.pdf.
[2] Tamże.
[3] Np. niedawna nowelizacja ustawy o cenach w związku z implementacją tzw. Dyrektywy Omnibus nałożyła na sprzedawców dodatkowe obowiązki w zakresie informowania o profilowaniu w zakresie cen.
[4] Zob. art. 10 ustawy o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r.
[5] „Amazon zrezygnował z algorytmów rekrutacji. Dyskryminowały kobiety” z dnia 10 października 2018 r., Business Insider, dostęp: https://businessinsider.com.pl/firmy/strategie/amazon-zrezygnowal-z-algorytmow-w-rekrutacji-dyskryminowaly-kobiety/pp233ev
[6] Porównaj – Ogólne rozporządzenie o ochronie danych osobowych. Ustawa o ochronie danych osobowych. Wybrane przepisy sektorowe. Komentarz, red. dr Paweł Litwiński, Legalis.pl
[7] Porównaj:Tamże, Komentarz do art. 9 RODO.
[8] Porównaj: Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, dostęp: https://www.uodo.gov.pl/data/filemanager_pl/908.pdf
[9] Por. Wytyczne 8/2020 dotyczące targetowania użytkownikówmediów społecznościowych, dostęp: https://edpb.europa.eu/system/files/2021-11/edpb_guidelines_082020_on_the_targeting_of_social_media_users_pl_0.pdf