Profilowanie zgodne z RODO
Jeśli prowadzisz w swojej firmie działania, których celem jest analiza posiadanych przez Ciebie danych osobowych klientów w celu, np. doboru jak najkorzystniejszej oferty, najprawdopodobniej przeprowadzasz tzw. profilowanie. W tym artykule, pomożemy Ci sprawdzić czy robisz to w zgodzie z RODO oraz odpowiemy na najważniejsze pytania.
1. Profilowanie według definicji RODO
W Rozporządzeniu o Ochronie Danych Osobowych możemy odnaleźć następującą definicję profilowania:
„Profilowanie” – polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby.
Co to oznacza? Mówiąc prościej profilowanie według definicji zawartej w RODO oznacza zbieranie informacji, np. o kliencie na podstawie jego działań w sieci. Zebrane dane są analizowane (np. za pomocą specjalnego programu komputerowego), dzięki czemu można określić tzw. „profil” klienta. Tak uzyskany profil wykorzystuje się np. w celach marketingowych do stworzenia spersonalizowanej oferty dla klienta.
2. Czego dotyczy profilowanie w RODO?
Profilowanie według RODO dotyczy wyłącznie przetwarzania danych osobowych. Jeśli dokonujemy analiz na podstawie innych informacji, np. w celach statystycznych, nie będą one podlegać przepisom RODO.
Czym są dane osobowe? Za dane osobowe uważa się takie dane, które identyfikują lub umożliwiają identyfikacje danej osoby fizycznej z pośród pozostałych. Nie będziemy mieć do czynienia z danymi osobowymi jeśli posiadamy niepełne informacje o osobie np. płeć, wiek czy wzrost, które nie wskazują na konkretną osobę. Za dane osobowe nie można również uznać tzw. danych zanonimizowanych (anonimizacja to nieodwracalny proces uniemożliwiający identyfikację danych), których nie można przypisać do konkretnej osoby.
Co to znaczy, że dana osoba jest zidentyfikowana lub możliwa do zidentyfikowania?
| Osoba zidentyfikowana | to ktoś, kogo znasz i kogo możesz wskazać spośród innych osób. |
| Osoba możliwa do zidentyfikowania | to ktoś, kogo nie znasz, ale możesz pośrednio lub bezpośrednio zidentyfikować na podstawie posiadanych informacji – na przykład po numerze PESEL. |
Dane osobowe możemy podzielić na trzy kategorie:
- zwykłe,
- dane szczególnych kategorii (tzn. dane wrażliwe),
- dane dotyczące wyroków skazujących oraz czynów zabronionych.
Zobacz poniższe przykłady danych osobowych:
| Dane zwykłe | Dane wrażliwe |
| imię, nazwisko | stan zdrowia |
| imiona rodziców | kod genetyczny |
| miejsce urodzenia | nałogi |
| adres zamieszkania | życie seksualne i orientacja seksualna |
| adres e-mail, nr telefonu | przynależność wyznaniowa, partyjna lub związkowa |
| Pesel, NIP, Regon, nr dowodu osobistego | przekonania religijne i filozoficzne |
| sytuacja finansowa | pochodzenie rasowe i etniczne |
| adres IP | dane biometryczne (odcisk palca, kształt twarzy, ciała) |
| stan cywilny | światopogląd |
Co znaczy „dowolne zautomatyzowane przetwarzanie danych osobowych”?
RODO wskazuje na fakt, iż profilowanie musi wiązać się z pewną, „dowolną formą zautomatyzowanego przetwarzania danych osobowych”. W praktyce będzie oznaczać to, że profilowanie może być:
– w pełni zautomatyzowane (bez udziału człowieka tylko za pomocą środków technicznych) lub
– częściowo zautomatyzowane z częściowym udziałem człowieka oraz za pomocą środków technicznych.
Natomiast za profilowanie w rozumieniu RODO nie możemy uznać działań prowadzonych tylko i wyłącznie przez człowieka tzw. niezautomatyzowane przetwarzanie danych.
Jaka jest różnica pomiędzy pojęciem „zautomatyzowane przetwarzanie danych” i „profilowaniem”?
Zautomatyzowanego przetwarzania, które nie prowadzi do dokonania oceny czynników osobowych, nie można utożsamiać z profilowaniem. Pojęcie zautomatyzowanego przetwarzania danych jest pojęciem szerszym, bardziej ogólnym. Natomiast profilowanie można uznać za jego podkategorię, która ściśle wiąże się z dokonywaniem oceny czynników osobowych, np. sytuacji życiowej, czy prognoz dotyczących preferencji zakupowych, osoby która jest profilowana.
Kogo dotyczy profilowanie?
Profilowanie dotyczy osób fizycznych.
OSOBA FIZYCZNA – to każdy człowiek od chwili urodzenia, posiadający zdolność prawną.
Za wyjątek można uznać profilowanie, które dotyczy przetwarzania danych dzieci o ile wywoływałoby skutki prawne względem nich lub w podobny sposób znacząco na nie wpływało.
Profilowanie nie dotyczy natomiast osób prawnych.
OSOBA PRAWNA – Osobami prawnymi są Skarb Państwa i jednostki organizacyjne, którym przepisy szczególne przyznają osobowość prawną, tj.: spółki kapitałowe, spółdzielnie, przedsiębiorstwa państwowe, fundacje, instytucje kultury, partie polityczne, związki zawodowe, stowarzyszenia rejestrowe.
Legalne profilowanie w zgodzie z RODO – obowiązki Administratora Ochrony Danych
Aby móc prowadzić profilowanie, jako Administrator musisz spełnić wszystkie obowiązki jakie zostały nałożone przez RODO. Powinieneś zatem:
- wykazać jedną z podstaw prawnych przetwarzania danych do profilowania,
- poinformować osoby, których dane mają być przetwarzane o profilowaniu (spełnić obowiązek informacyjny),
- pamiętać o zasadzie rzetelnego i przejrzystego przetwarzania danych,
- spełnieniu praw osoby, której dane dotyczą (w tym umożliwieniu wzniesienia sprzeciwu),
- mieć na uwadze obowiązek domyślnej ochrony danych oraz oceny skutków przetwarzania dla ochrony danych.
Podstawa prawna profilowania
Wybór odpowiedniej podstawy profilowania jest uzależniony od tego czy profilowanie:
– jest związane z podejmowaniem decyzji, która jest oparta wyłączenie na automatycznym przetwarzaniu danych osobowych oraz wywołuje wobec osoby pewne skutki prawne lub w istotny sposób na nią wpływa
– nie jest związane z automatycznie podejmowaną decyzją
Przykłady wyłącznie zautomatyzowanego podejmowania decyzji, które istotnie wpływają na osobę profilowaną to, np.:
– odrzucenie wniosku o kredyt przez bank,
– odrzucenie Twojej kandydatury o pracę w wyniku pełnego zautomatyzowanego procesu rekrutacji.
Należy zaznaczyć, iż gdy do procesu dodamy czynnik ludzki, wówczas nie mamy już do czynienia wyłącznie z zautomatyzowanym podejmowaniem decyzji.
Profilowanie w pierwszym przypadku będzie zgodne z prawem, jeśli:
– jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą a administratorem,
– jest dozwolone prawem Unii lub prawem państwa członkowskiego, które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą,
– jeśli opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
Zgoda wyraźna
– jeśli: decyzja wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. W przypadku gdy profilowanie oparte jest wyłącznie na zautomatyzowanym (bez udziału człowieka) przetwarzaniu danych.
Jeśli zamierzamy profilować np. w oparciu o takie wrażliwe dane osobowe jak przynależność partyjna, czy orientacja seksualna oraz takie dane będą wiązać się z konkretną osobą, którą można zidentyfikować potrzebujesz na takie działania wyraźnej zgody tej osoby.
Czym jest zgoda w RODO oraz jakie elementy musi spełniać możesz przeczytać tutaj
Jeśli chcesz profilować dane osób w oparciu o zgodę jako podstawę prawną, jako administrator musisz wykazać, że:
– osoba w momencie wyrażania zgody wie na co dokładnie się zgadza,
– zna i rozumie cel profilowania,
– zna ewentualne konsekwencje jakie mogą wyniknąć z profilowania,
– świadomie wyraża zgodę na profilowanie.
Wybór odpowiedniej podstawy prawnej powinien być poprzedzony rzetelną analizą. Pamiętaj – musisz upewnić się, że profilowanie nie narusza praw i wolności osoby, której dane dotyczą.
Spełnienie obowiązku informacyjnego
Niezależnie od podstawy prawnej profilowania, musisz zadbać o spełnienie obowiązku informacyjnego, tzn. poinformować osobę w jaki sposób będą jej dane osobowe podlegać profilowaniu. Ważne aby została ona poinformowana przed podjęciem jakichkolwiek działań profilujących z Twojej strony (jeśli dane zostały zebrane bezpośrednio od osoby, której dane dotyczą – w momencie zbierania takich danych, natomiast jeśli zostały uzyskane pośrednio ramy czasowe na spełnienie takiego obowiązku określa art.14 ust3. RODO). Spełniając obowiązek informacyjny musisz poinformować o:
– celu takiego przetwarzania,
– tożsamości administratora (minimum nazwa oraz siedziba firmy),
– potencjalne skutki profilowania mogą wystąpić w stosunku do tej osoby,
– o prawie do zgłoszenia sprzeciwu.
Pamiętaj, że przekazywane przez Ciebie informacje powinny być przedstawione w sposób: przejrzysty, zwięzły, zrozumiały i łatwo dostępny. Ponad to, przetwarzanie danych osobowych w celach profilowania musi być rzetelne i nie może prowadzić do dyskryminacji.
Jakie prawa ma osoba profilowana?
Prawa do danych osobowych, osób których dane dotyczą są następujące:
O powyższych prawach osób możesz przeczytać tutaj
Osoba profilowana posiada prawo, np. do:
– uzyskania interwencji człowieka, np. w przypadku wyłącznie zautomatyzowanego podejmowania decyzji,
– wyrażenia własnego stanowiska,
– uzyskania wyjaśnienia co do decyzji wynikłej z takiej oceny (np. dlaczego wniosek o kredyt został automatycznie odrzucony),
– zakwestionowania takiej decyzji.
Pamiętaj o tym, że jako administrator danych osobowych, osoby profilowanej masz obowiązek poinformować ją o prawach, które jej przysługują z tytułu profilowania. A minimum o prawie do sprzeciwu. Musisz spełnić żądanie osoby, której dane dotyczą jak najszybciej jest to możliwe.
Podsumowując, aby w ogóle można było mówić o profilowaniu w rozumieniu przepisów RODO muszą zostać spełnione trzy elementy:
– profilowanie musi być dowolną zautomatyzowaną formą przetwarzania,
– musi odnosić się do danych osobowych,
– oraz jego celem musi być ocena niektórych czynników osobowych osoby fizycznej.
Jeśli te trzy cechy nie występują łącznie stosowanie zasad dotyczących profilowania zawartych w RODO nie ma uzasadnienia. Dlatego, ważna jest odpowiednia interpretacja i zrozumienie tych czynników oraz upewnienie się czy działania jakie podejmujesz aby na pewno można uznać za profilowanie.
Sprawdź jak możemy Ci pomóc:
Kursy RODO online dostosowane do specyfiki Twojej branży
Szkolenia przypominające dla pracowników
Szkolenia w firmie klienta
Kompleksowa obsługa ochrony danych osobowych – audyty, szkolenia, outsourcing, dokumentacja RODO
Pełną ofertę znajdziesz tutaj: standarder.pl/oferta-ochrona-danych/
Może Ci się spodobać
Ewidencja upoważnień – czym jest i jak ją prowadzić?
