Procesy przetwarzania danych osobowych w ostatnich latach podlegają coraz większej automatyzacji. Nowoczesne narzędzia analityczne pozwalają obecnie m.in. na profilowanie osób fizycznych na niespotykaną wcześniej skalę. Z jednej strony daje to duże możliwości przy optymalizacji różnych procesów, zwłaszcza takich, w których konieczna jest analiza ogromnej ilości danych osobowych, z drugiej strony tego typu działania mogą stanowić zagrożenie dla prywatności osób fizycznych oraz prowadzić do innych negatywnych konsekwencji (takich jak dyskryminacja osób fizycznych).
Profilowanie w RODO w praktyce
Powszechne wykorzystywanie profilowania w procesach przetwarzania danych osobowych jest szczególnie zauważalne w przypadku procesów marketingowych (vide reklama behawioralna) lub procesów, które wymagają dokonywania analizy ryzyka (np. analiza ryzyka kredytowego czy ubezpieczeniowego). W praktyce profilowanie wykorzystywane jest jednak także w wielu innych przypadkach (np. w procesach rekrutacji pracowników, przy ocenie wiarygodności biznesowej kontrahentów, obsłudze klientów, etc.). Organizacje, które wykorzystują profilowanie w ramach prowadzonej działalności, niestety nie zawsze mają świadomość związanych z tym obowiązków prawnych. Czasami zdarza się też, że nie mają one nawet świadomości, że… dokonują profilowania osób fizycznych w rozumieniu RODO.
Co to jest profilowanie w RODO?
W RODO wprowadzono definicję legalną profilowania. Zgodnie z art. 4 pkt 4 RODO profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Z powyższej definicji wynika, że dla przyjęcia, że mamy do czynienia z profilowaniem w rozumieniu RODO muszą zaistnieć następujące przesłanki.
Profilowanie w RODO — Przesłanki
- przetwarzanie musi mieć charakter zautomatyzowany (analiza dokonywana wyłącznie przez człowieka nie stanowi zatem profilowania w świetle tej definicji);
- przetwarzanie dotyczy danych osobowych (analizy dokonywane na danych anonimowych nie wchodzą zatem w zakres tej definicji);
- w ramach przetwarzania dochodzi do wykorzystania danych osobowych do oceny czynników osobowych osoby fizycznej (w związku z tym zautomatyzowane przetwarzanie informacji na temat osoby fizycznej np. przy automatycznym rejestrowaniu czasu pracy nie będzie stanowiło profilowania, dopóki nie będzie dochodziło do oceny czynników osobowych takiej osoby).
Pojęcie profilowania pojawia się także w motywach RODO, w tym m.in. w motywie 60 RODO, w którym położono nacisk na konieczność przestrzegania zasad rzetelnego i przejrzystego przetwarzania, w tym na potrzebę poinformowania osoby, której dane dotyczą o fakcie profilowania oraz o jego konsekwencjach.
Zautomatyzowane podejmowanie decyzji w oparciu o profilowanie
Od profilowania „zwykłego”, o którym mowa w art. 4 pkt 4 RODO należy odróżnić profilowanie połączone ze zautomatyzowanym podejmowaniem decyzji, o którym mowa w art. 22 ust. 1 RODO. Nie każde profilowanie kończy się bowiem podjęciem zautomatyzowanej decyzji wobec osoby fizycznej. Profilowanie, które połączone jest ze zautomatyzowanym podejmowaniem decyzji w indywidualnych przypadkach, niekiedy określane jest potocznie mianem profilowania „kwalifikowanego” (z uwagi na dodatkowe obowiązki prawne, które trzeba uwzględnić w takim przypadku).
Profilowanie w RODO a brak świadomości po stronie organizacji
Po stronie organizacji wykorzystujących profilowanie osób fizycznych w ramach prowadzonej działalności nadal zauważalne są problemy z dostosowaniem takich operacji przetwarzania danych osobowych do wymogów wynikających z przepisów o ochronie danych osobowych. W pewnym uproszczeniu można zidentyfikować trzy rodzaje sytuacji, w których przy procesach związanych z profilowaniem osób fizycznych nie uwzględniono wymogów wynikających z przepisów o ochronie danych osobowych.
Profilowanie w RODO – sytuacje nieuwzględniające przepisów RODO
- Organizacja w ogóle nie zidentyfikowała procesów przetwarzania danych osobowych, które wiążą się z profilowaniem, w związku z czym nie ma świadomości spoczywających na niej w tym zakresie obowiązków, przez co w ogóle nie dostosowała takich procesów do wymogów wynikających z przepisów o ochronie danych osobowych (całkowity brak świadomości po stronie organizacji);
- Organizacja ma świadomość występowania profilowania w poszczególnych procesach przetwarzania danych osobowych, jednak nie zidentyfikowała wszystkich związanych z tym wymogów wynikających z przepisów o ochronie danych osobowych, przez co nie dostosowała swoich procesów przetwarzania danych osobowych do niektórych wymogów (częściowy brak świadomości po stronie organizacji);
- Organizacja ma świadomość występowania profilowania w poszczególnych procesach przetwarzania danych osobowych oraz zdaje sobie sprawę ze wszystkich związanych z tym wymogów wynikających z przepisów o ochronie danych osobowych, jednak nie podjęła wszystkich koniecznych działań w celu dostosowania tych operacji do tych wymogów (występuje pełna świadomość po stronie organizacji, jednak nie ma ona przełożenia na realizację wszystkich wymogów wynikających z przepisów o ochronie danych osobowych, np. w związku z decyzją biznesową po stronie organizacji).
W każdym z opisanych wyżej przypadków organizacja musi niestety liczyć się z możliwością poniesienia odpowiedzialności prawnej za naruszenie przepisów o ochronie danych osobowych. Należy w szczególności podkreślić, że brak świadomości po stronie organizacji (zarówno dotyczący faktu występowania profilowania, jak i obowiązków z nim związanych) nie zwalnia jej z odpowiedzialności za naruszenie przepisów o ochronie danych osobowych. Umyślny lub nieumyślny charakter naruszenia przepisów może mieć jedynie pewien wpływ np. na wysokość administracyjnej kary pieniężnej. W związku z tym kluczowe znaczenie ma niewątpliwe właściwe zidentyfikowanie wszystkich procesów przetwarzania danych osobowych, w tym tych, które wiążą się z profilowaniem osób fizycznych.
Obowiązki związane z profilowaniem w rozumieniu RODO
Nawet w przypadkach, w których profilowanie nie jest powiązane ze zautomatyzowanym podejmowaniem decyzji, konieczne jest zapewnienie zgodności z wymogami RODO. Profilowanie „zwykłe” stanowi jedną z operacji realizowanych na danych osobowych, musi być zatem zgodne z wymogami wynikającymi z przepisów RODO, co jednoznacznie wynika z motywu 72 RODO. Profilowanie w RODO stanowi przy tym jedynie specyficzny sposób przetwarzania danych osobowych, który zawsze powiązany jest z konkretnym celem przetwarzania. Profilowanie, jak każda inna operacja realizowana na danych osobowych podlega zatem analogicznym wymogom jak inne operacje.
Co do zasady nie ma zatem konieczności wykazywania osobnej podstawy prawnej dla przetwarzania danych osobowych oraz dla profilowania, jeśli profilowanie w RODO odbywa się w tym samym celu co pozostałe operacje wykonywane na danych osobowych (takie jak zbieranie, utrwalanie, analizowanie, wykorzystywanie, etc.).
Należy uwzględnić jednak kontekst poszczególnych operacji przetwarzania danych osobowych, w tym ich potencjalną ingerencję w prawo do prywatności osoby fizycznej. Istotne jest zatem, aby przy projektowaniu procesów związanych z profilowaniem osób fizycznych uwzględnić zasadę domyślnej ochrony danych (privacy by default). Określając cel, dla którego będzie wykonywane profilowanie, należy przy tym ustalić, czy jest on zgodny z celem, dla którego zebrane zostały dane osobowe (w przeciwnym razie konieczne może okazać się odebranie zgody na przetwarzanie danych osobowych w nowym celu).
Ponadto każdy administrator danych, który zamierza wykorzystywać w ramach prowadzonej działalności profilowanie osób fizycznych, powinien:
- zapewnić realizację podstawowych zasad przetwarzania danych osobowych, o których mowa w art. 5 RODO (w tym legalności, celowości, adekwatności, prawidłowości oraz ograniczenia przechowywania danych). W ramach zapewnienia zgodności przetwarzania danych z prawem konieczne jest w szczególności zapewnienie odpowiedniej podstawy prawnej przetwarzania danych osobowych (w tym danych, które zostały wywiedzione w ramach profilowania);
- ustalić, czy w związku z profilowaniem nie będzie dochodzić do zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach, a w razie potwierdzenia zapewnić właściwe podstawy dla podejmowania takich decyzji (zgodnie z art. 22 ust. 1 RODO osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa poza przypadkami określonymi w art. 22 ust. 2 RODO);
- zrealizować w sposób przejrzysty obowiązek informacyjny przy okazji zbierania danych, z uwzględnieniem informacji dotyczących profilowania i zautomatyzowanego podejmowania decyzji (jeśli ma ono miejsce). Należy przy tym pamiętać zarówno o pierwotnym obowiązku informacyjnym (w przypadku zbierania danych bezpośrednio od osoby, której one dotyczą), jak i wtórnym obowiązku informacyjnym (w przypadku zbierania danych osobowych z innego źródeł niż osoba, której dane dotyczą). Właściwa realizacja tego obowiązku może być szczególnie problematyczna zwłaszcza w przypadku zamiaru wykorzystywania do profilowania danych pochodzących z różnych źródeł;
- wykonać analizę pod kątem potencjalnego obowiązku przeprowadzenia oceny skutków dla ochrony danych, a w razie potwierdzenia istnienia takiego obowiązku przeprowadzić taką ocenę (w tym kontekście należy zwrócić szczególną uwagę zarówno na art. 35 ust. 3 list. a RODO, zgodnie z którym przeprowadzenie oceny skutków dla ochrony danych jest wymagane w przypadku systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną, jak również na wykaz znajdujący się w Komunikacie Prezesa UODO z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, w którym wymieniono kilka przykładów rodzajów operacji/obszarów, w których występuje profilowanie wymagające przeprowadzenia oceny skutków dla ochrony danych)
Profilowanie w RODO – Uprawnienia
Administrator danych, który w ramach realizowanych operacji przetwarzania danych osobowych wykonuje profilowanie osób fizycznych, musi mieć, poza tym świadomość uprawnień przysługujących osobom fizycznym w związku z przetwarzaniem ich danych osobowych. W kontekście profilowania należy mieć na uwadze w szczególności:
- prawo dostępu do danych, w tym otrzymania kopii danych (co obejmuje, co do zasady, także dane pozyskane w ramach profilowania);
- prawo do zgłoszenia sprzeciwu wobec przetwarzania danych osobowych, w tym profilowania opartego na art. 6 ust. 1 lit. e RODO lub na art. 6 ust. 1 lit. f RODO z uwagi na szczególną sytuację osoby, której dane dotyczą;
- prawo do zgłoszenia sprzeciwu wobec przetwarzania danych osobowych, w tym profilowania prowadzonego na potrzeby marketingu bezpośredniego;
Ponadto w przypadku profilowania, które powiązane jest ze zautomatyzowanym podejmowaniem decyzji w indywidualnych przypadkach, należy uwzględnić uprawnienia związane z koniecznością wdrożenia właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. W tym zakresie konieczne jest co najmniej zapewnienie prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.
Profilowanie w RODO – podsumowanie zagadnienia
Profilowanie osób fizycznych powinno być realizowane w zgodzie z obowiązującymi przepisami prawa. Organizacja, która korzysta z profilowania, powinna zaprojektować procesy przetwarzania danych osobowych, które wykorzystują profilowanie z poszanowaniem podstawowych zasad przetwarzania danych osobowych oraz przy uwzględnieniu zasady domyślnej ochrony danych (privacy by default).
Jeśli jesteś zainteresowany wsparciem prawnym przy ocenie dopuszczalności przetwarzania danych osobowych w ramach profilowania osób fizycznych lub przy projektowaniu procesów przetwarzania danych związanych z profilowaniem lub podejmowaniem zautomatyzowanych decyzji wobec osób fizycznych (w tym przy przeprowadzeniu oceny skutków dla ochrony danych), zapraszamy do kontaktu. Zachęcamy także do zapoznania się z naszą ofertą bieżącego wsparcia w obszarze ochrony danych osobowych