Jak zapewne część z Was wie, Rozporządzenie UE o ochronie danych osobowych (RODO) wprowadziło regulacje dotyczące profilowania. Mimo, że od 25 maja 2018 r. minęło już trochę czasu, wiele osób wciąż nie wie jak „ugryźć” to całe profilowanie. Oczywiście w praktyce było stosowane ono już dużo wcześniej i nie jest zjawiskiem nowym, jednak to dopiero RODO zakończyło niewiadomy status prawny tego procederu.
Co to jest profilowanie?
RODO definiuje profilowanie jako „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.
W branży e-commerce oznacza to w uproszczeniu zbieranie informacji o konsumencie na podstawie jego działań w sieci. Przedsiębiorcy po przeanalizowaniu podstawowych informacji dotyczących konsumenta mogą z łatwością określić „profil” klienta i skierować do niego spersonalizowaną ofertę, co automatycznie zwiększa prawdopodobieństwo zainteresowania konsumenta danym asortymentem lub usługą.
Zanim przejdziemy do bardziej zaawansowanych prawnie analiz dotyczących profilowania, ustalmy jedną istotną kwestię – profilowanie według RODO to przetwarzanie danych osobowych. Profilowaniem nie będą więc operacje na informacjach, które nie są danymi osobowymi, np. do celów statystycznych lub analitycznych. Nie mamy do czynienia z przetwarzaniem danych osobowych, w przypadku danych zanonimizowanych, czyli takich których nie można połączyć z konkretną osobą. Przykładem mogą być dane dotyczące wieku, płci czy miasta zamieszkania (pod warunkiem, że nie jest to dokładny adres). Skoro nie można ich powiązać z osobą fizyczną, to w rzeczywistości nie mogą być uznane za dane osobowe.
Przejdźmy zatem do meritum. Chociaż w RODO nigdzie nie znajdziecie dosłownie takiego podziału, to profilowanie dzieli się na profilowanie „zwykłe” i profilowanie „szczególne”(zwane też profilowaniem „kwalifikowanym”). Różnica między tymi rodzajami profilowania polega na tym, że w wyniku profilowania szczególnego, wobec danej osoby (której dane osobowe są przetwarzane) zapada jakaś decyzja, która wywołuje wobec tej osoby skutki prawne (czyli doprowadza do zawarcia, zmiany lub rozwiązania umowy) lub w podobny sposób istotnie na nią wpływa, natomiast w przypadku profilowania zwykłego takiej decyzji i takiego skutku nie mamy.
O jakich decyzjach i o jakich skutkach konkretnie mówimy?
Główną wytyczną jest, iż decyzja musi być zautomatyzowana, czyli z RODOwskimi obostrzeniami nie będziemy mieli do czynienia, gdy decyzję podejmuje człowiek. RODO podaje w tym zakresie jedynie dwa przykłady: automatyczne odrzucenie elektronicznego wniosku kredytowego oraz elektroniczne metody rekrutacji bez interwencji ludzkiej. Niektórzy jako przykład z kolei podają również sytuację, gdy od analizy zachowań konsumenta w sieci uzależniona jest wysokość ceny naszego produktu czy kierowanego do niego rabatu. Wprawdzie nie wszyscy prawnicy są zgodni co do tego, że wysokość udzielonego rabatu może podlegać pod profilowanie szczególne, to jednak w ocenie Grupy Roboczej Art. 29 (jest to grupa powołana jeszcze za czasów „starej” dyrektywy dotyczącej danych osobowych, składająca się m.in. z przedstawicieli organów nadzorczych w zakresie ochrony danych osobowych powołanych przez państwaczłonkowskie UE) już samo prezentowanie reklamy internetowej w oparciu o profilowanie może zostać zakwalifikowane jako istotne wpływanie na ten podmiot, w podobny do skutków prawnych sposób.
Z drugiej strony mówi się, że jeżeli zautomatyzowane przetwarzanie ma jedynie pomagać konsumentowi w podjęciu decyzji, ale jednak zachowuje on jej swobodę, wówczas nie jest to profilowanie kwalifikowane. Wówczas jednak wyświetlenie odpowiedniej reklamy powinno być traktowane jako swoiste „wsparcie” w podjęciu decyzji. Cóż, póki co czekamy na jednolitą interpretację odpowiednich organów w tym zakresie.
Czy przedsiębiorca ma obowiązek poinformować o profilowaniu?
Tak. Powinien o tym poinformować już na etapie zbierania danych osobowych. Obowiązek informacyjny obejmuje nie tylko konieczność poinformowania konsumenta, że jego dane są gromadzone w celu profilowania oraz określenie sposobu tego działania (w przypadku profilowania szczególnego, przepisy nakazują podanie istotnych informacji o zasadach podejmowania decyzji wobec profilowanej osoby, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla tej osoby), ale również informacje o możliwości rezygnacji z profilowania oraz sprzeciwu wobec podlegania zautomatyzowanej decyzji.
Czy wymagana jest nasza zgoda na profilowanie?
To zależy. Konieczna jest zgoda, gdy dana osoba ma podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu) i która wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Czyli zgoda jest konieczna na profilowanie szczególne.
Czasami administrator może się również dopuścić takiego profilowania bez zgody podmiotu danych, jednak wówczas musi być spełniona jedna z dwóch przesłanek:
- jeżeli ta decyzja jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
- jeżeli decyzja jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma na przykład formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia.Może to być np. zaznaczenie checkboxu, kliknięcie przycisku opisanego jako zgoda lub też napisanie zgody w e-mailu.
Słowem zakończenia
Często słyszymy od naszych klientów z branży e-commerce, że RODO wprowadziło zbyt wiele obostrzeń, a działanie marketingowe jest teraz niezwykle utrudnione. Z drugiej zaś strony, wiele klientów z pewnością godzi się na profilowanie, gdyż umożliwia to otrzymywanie atrakcyjnych ofert utworzonych na podstawie ich zainteresowań i preferencji. Pamiętajmy też o ryzyku wycieku danych, którymi niekoniecznie chcielibyśmy się dzielić, a także dyskryminacja, która ma miejsce podczas wykluczania niektórych grup klientów z ofert lub możliwości skorzystania z danej usługi oraz uzależniania wysokości cen od wyników profilowania. Koniec końców, RODOwskie przepisy po prostu wymagają wyważenia interesów, częściowo sprzecznych, podmiotów przetwarzających dane osobowe oraz podmiotów tych danych.
Ps. Wiemy, że powyższy artykuł nie wyczerpuje wszystkich kwestii związanych z profilowaniem jak np. dotyczących obowiązku przeprowadzenia DPIA (ang. Data Protection Impact Assessment, Ocena skutków dla ochrony danych). Jeżeli masz w związku z tym jakieś pytania, napisz do nas: biuro@lawmore.pl
Autorami artykułu są Aleksandra Maciejewicz oraz Karolina Ściechulska