Jak słusznie zauważono w toku prac nad ogólnym rozporządzeniem o ochronie danych osobowych osobom korzystającym z Internetu mogą zostać przypisane indywidualne identyfikatory tj. adresy IP, identyfikatory plików Cookies – generowane przez ich urządzenia, aplikacje, narzędzia i protokoły, czy też inne identyfikatory, generowane na przykład przez etykiety RFID. Istnienie takich korelacji może skutkować zostawianiem śladów, które w szczególności w połączeniu z unikatowymi identyfikatorami i innymi informacjami uzyskiwanymi przez serwery mogą być wykorzystywane do tworzenia profili oraz do bezpośredniej identyfikacji konkretnych osób.
Istota znaczenia mechanizmu automatycznego przetwarzania
Co więcej narzędzia automatycznego przetwarzania są w stanie ocenić osobowe czynniki dotyczące konkretnego użytkownika, a w szczególności analizować lub prognozować aspekty dotyczące m.in. efektów jego pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji czy przemieszczania się. Nie ma co do tego wątpliwości, że określone powyżej mechanizmy realnie uskuteczniają procesy pozyskania klienta. Wobec tego automatyczne przetwarzanie danych stało się dla podmiotów prowadzących działalność handlową lub marketingową z wykorzystaniem Internetu podstawowym narzędziem do modelowania oferty i niekiedy nawet do opracowywania metody dystrybucji towarów lub usług.
Obowiązujące przepisy a profilowanie
W treści obecnie obowiązujących przepisów w Polsce (podobnie jak w innych krajach członkowskich UE), w zakresie ochrony danych osobowych nie ma pojęcia przetwarzania automatycznego – profilowania, dlatego też przetwarzanie z użyciem automatycznych mechanizmów podlega standardowym procedurom i przesłankom przetwarzania – zgodzie osoby, której dane dotyczą lub gdy przetwarzanie jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów (czyli de facto w zakresie marketingu bezpośredniego).
Skala zmian regulacji
W związku z powyższym nie lada wyzwaniem dla twórców Rozporządzenia było zmierzenie się z problematyką przetwarzania danych w aspekcie monitorowania zachowania oraz profilowania – działań prowadzonych w celu podjęcia decyzji w stosunku do osoby, której dane dotyczą lub też analizowania czy prognozowania osobistych preferencji, zachowań lub postaw.
Problematyka ta nie jest łatwa szczególnie w kontekście ujęcia jej w zrozumiałe i konkretne ramy prawne. Z jednej strony profilowanie stało się bardzo ważne dla gospodarek krajowych państw członkowskich UE, szczególnie w aspekcie wpływu profilowanie na osiągane wyniki finansowe przez podmioty prowadzące działalność z wykorzystaniem sieci m.in. z sektora e-commerce oraz marketingu, ale także ubezpieczeń czy sektora bankowego. Z drugiej zaś strony profilowanie w negatywnym ujęciu stwarza pewne ryzyko i co się z tym wiąże obawy nadmiernego ingerowania przez podmiot gromadzący i przetwarzający dane w wolę osoby przy podjęciu określonej decyzji np. zakupu czy skorzystania z usługi.
Definicja „profilowania”
Mając na uwadze znaczenie mechanizmów profilowania oraz to, że przepisy obowiązującego prawa powinny być dostosowane do panującej rzeczywistości (a nawet uwzględniać zaistnienie pewnych zależności w przyszłości) w treści Rozporządzeniu po raz pierwszy sformułowano legalną definicję profilowania.
Zgodnie z Rozporządzeniem profilowanie oznacza:
„dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”
Zakaz profilowania z włączeniami
Uwzględniając wszystkie za i przeciw profilowania ustawodawca europejski sformułował co do zasady zakaz profilowania, jednak uwzględnił przy tym stosowne wyłączenia – których omówieniem zajmę się w osobnym wpisie. Zgodnie z art. 22 Rozporządzenia „osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”. Powyższa regulacja nie ma jednak zastosowania w przypadku, gdy wskazana w treści przepisu decyzja:
- jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a podmiotem stosującym mechanizm profilowania;
- jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega podmiot stosujący profilowanie i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą;
- opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
W każdym przypadku podjęcie czynności profilowania na podstawie powyższych przesłanek powinno podlegać odpowiednim zabezpieczeniom, obejmującym w szczególności informowanie w sposób zrozumiały i czytelny o fakcie profilowania i jego konsekwencjach oraz umożliwienie osobie, której dane dotyczą skorzystania z prawa do wyrażenia sprzeciwu wobec przetwarzania.
Obowiązki administratora
Należy podkreślić, że w uzasadnieniu Rozporządzenia wskazano, że administrator danych, aby zapewnić rzetelność i przejrzystość przetwarzania przed podjęciem jakichkolwiek czynności gromadzenia i przetwarzania danych w tym poprzez mechanizm profilowania powinien uwzględnić w szczególności konkretne okoliczności i kontekst przetwarzania danych oraz:
- stosować odpowiednie matematyczne lub statystyczne procedury profilowania;
- wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów;
- zabezpieczyć gromadzone dane osobowe w sposób uwzgledniający potencjalne ryzyko dla interesów i praw osoby, której dane gromadzi.
Co nas czeka?
Przepisy Rozporządzenia istotnie rozszerzają obowiązki nałożone na administratorów i komplikują formę ich realizacji – szczególnie na gruncie obowiązku informacyjnego – o czym można przeczytać we wpisie „Nowe obowiązki informacyjne w zakresie pozyskiwania danych”. Nie jest też jasne jak Rozporządzenie realnie wpłynie na prowadzenie działalności przez podmioty z branży e-commerce, marketingu, ale również ubezpieczycieli czy banki. Na pewno z oceną skutków zastosowania nowych przepisów przyjdzie się zmierzyć w momencie ich faktycznego obowiązywania w 2018 r. Niemniej do tego czasu administratorzy mają czas na dostosowanie swoich działań do przepisów, a władze państw członkowski UE do doprecyzowania na gruncie prawa krajowego ewentualnych ograniczeń w zakresie profilowania. W Polsce temat profilowania na pewno będzie poruszany, szczególnie, że do końca 2016 r. ma zostać opracowany do konsultacji projekt całkiem nowej ustawy o ochronie danych osobowych.
Follow
