Profilowanie danych osobowych – na czym polega i z czym się wiąże?

Automatyczne przetwarzanie danych jest jednym z podstawowych narzędzi wykorzystywanych w prowadzeniu działalności gospodarczej. Księgowość, sprzedaż, obsługa kontrahentów, marketing, zarządzanie relacjami, HR – wszystkie te procesy opierają się na automatycznym przetwarzaniu danych. W zasadzie taki charakter ma niemal każde działanie polegające na wprowadzeniu danych do systemów informatycznych i pracy na tych danych w celu uzyskania oczekiwanego wyniku.

Zautomatyzowane operacje na danych w systemach IT stały się obecnie tak powszechne, że w codziennej działalności firm są niemal niezauważalne.

W ramach działań stanowiących automatyczne przetwarzanie danych – takich jak na przykład rejestracja czasu pracy przez dedykowany system kadrowy, informowanie klientów o kończących się umowach abonamentowych czy automatyczne generowanie i wysyłka faktur – mieści się również  pojęcie profilowania danych oraz zautomatyzowanego podejmowania decyzji, w tym także w oparciu o profilowanie.

Najogólniej rzecz ujmując, profilowanie są to operacje na zbiorach danych, w wyniku których powstają podzbiory zawierające rekordy uzyskane w oparciu o wskazane kryteria. Przykładowo przedsiębiorca może w ramach posiadanej bazy kontaktów wydzielić klientów działających na określonym obszarze (np. województwo pomorskie). Może także klasyfikować podmioty w oparciu o liczbę osób zatrudnionych, branże w której działają, poziom generowanego dla firmy przychodu czy nawet szacowanego w oparciu o szereg różnych kryteriów potencjału sprzedażowego.

Profilowanie może dotyczyć zarówno podmiotów prawnych jak również osób fizycznych. W tym drugim przypadku dodatkowo obejmować może cechy indywidualne, osobowościowe czy behawioralne, czyli np. wiek, płeć, zainteresowania, stan zdrowia, sytuacja rodzinna, dochody, miejsce zamieszkania, zainteresowania, działalność społeczna i polityczna, nawyki zakupowe czy status majątkowy.

Zatem na podstawie informacji o odwiedzanych stronach internetowych można np. zidentyfikować zainteresowania danej osoby i kierować do niej zindywidualizowaną ofertę marketingową zbieżną z jej potencjalnymi i prawdopodobnymi potrzebami. Na podstawie szeregu różnych danych – takich jak m.in. wykonywany zawód, zarobki, miejsce zamieszkania, wiek, wykształcenie czy historia płatnicza – można określić zdolność kredytową lub potencjał zakupowy danej osoby. Użycie danych statystycznych uzyskanych z analizy wielkich zbiorów danych (tzw. Big Data) pozwala nawet w pewnym stopniu przewidzieć zachowania osoby zaliczającej się do określonego profilu. Możliwe jest zatem określenie prawdopodobieństwa zakupu określonego rodzaju dóbr w oparciu o kryterium wieku, miejsca zamieszkania, stanu rodzinnego, pozycji zawodowej i dochodu oraz odwiedzanych stron internetowych, stosując analizę porównawczą do zachowań konsumenckich osób zaliczanych do tożsamych segmentów.

Oprócz oczywistych korzyści z takiego sposobu wykorzystania nowoczesnych narzędzi IT, równie oczywiste są potencjalne zagrożenia z tym związane.

Szczególnie ryzykowną z punktu widzenia ochrony praw i wolności jednostki jest sytuacja, kiedy decyzje takie podejmowane są w sposób w pełni zautomatyzowany – z użyciem wcześniej opracowanych algorytmów IT lub systemów sztucznej inteligencji.

Dlatego zagadnienia dotyczące zarówno dopuszczalności i zasad tworzenia profili osób fizycznych, jak i podejmowania względem takich osób całkowicie lub częściowo zautomatyzowanych decyzji w oparciu o stworzone profile, zostały uregulowane w przepisach.

W wielu przypadkach są to regulacje szczególne dotyczące konkretnych branż lub segmentów rynku – np. bankowości, ubezpieczeń czy służb mundurowych.

Można jednak przyjąć, że w odniesieniu do całości rynku, podstawowym aktem prawnym regulującym zagadnienia profilowania i zautomatyzowanego przetwarzania danych jest RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Definicja „profilowania” zawarta w rozporządzeniu jest węższa niż opisane powyżej jego potoczne rozumienie. W świetle RODO profilowanie „oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się” (art. 4 pkt 4)

Zasady wynikające z RODO będą więc dotyczyć wyłącznie czynności, które odpowiadają powyższej definicji, czyli:

• stanowią działanie o charakterze zautomatyzowanym (w tym także działanie częściowo zautomatyzowane);
• związane są z przetwarzaniem danych osobowych (czyli operacji na danych osoby fizycznej);
• ich skutkiem jest ocena niektórych czynników osobowych osoby fizycznej (czyli przetwarzanie musi mieć charakter ocenny).

W świetle powyższej definicji, ograniczenia i zasady wynikające z RODO nie będą dotyczyły m.in. profilowania bazy klientów instytucjonalnych lub osób prawnych czy też działań, gdzie nie są brane pod uwagę wskazane w przepisach zachowania osób fizycznych jak również działań, w których określone czynniki dotyczące także cech osobowych używane są do klasyfikacji używanej wyłącznie w celach statystycznych czy informacyjnych, bez elementu oceny tych danych. Potwierdza to też dotychczasowa praktyka Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

„W ocenie PUODO, użycie adresu e-mail w celu wpisania go na listę blokowanych adresów e-mail (czarna lista) nie oznacza profilowania danych osobowych w rozumieniu RODO. Tak samo nie stanowi profilowania podgląd rzeczywisty z kamery wideo umieszczonej w wideo-domofonie w celu identyfikacji i weryfikacji czy dana osoba jest uprawniona do wejścia na teren obiektu.” (z uzasadnienia Wyroku WSA w Warszawie o sygn. II SA/Wa 153/22).

Także wykorzystanie czynników osobowych do klasyfikacji zbiorów danych nie musi stanowić profilowania w rozumieniu RODO. Kluczowy jest cel, dla którego dane podlegają profilowaniu.

Użycie filtrów bazy danych w postaci np. informacji o płci, wieku czy statusie rodzinnym klientów w celu uzyskania informacji statystycznych pozwalających np. na opracowanie strategii rozwoju firmy nie będzie zatem stanowiło profilowania w rozumieniu RODO, jednak to samo działanie prowadzone w celu opracowania i wysyłki oferty marketingowej przeznaczonej dla tak zdefiniowanych potencjalnych klientów – już tak.

Czynnością, która może być związana z profilowaniem jest podejmowanie zautomatyzowanych decyzji.

Przykład. W oparciu o dane pozyskane w wyniku profilowania bank może podjąć decyzję o zdolności kredytowej klienta, a ubezpieczyciel – o wysokości składki ubezpieczeniowej. Istnieją również rozwiązania informatyczne, które w sposób zautomatyzowany analizują otrzymane przez pracodawcę aplikacje i dokonują selekcji kandydatów w oparciu o zgodność z kryteriami rekrutacyjnymi.

W świetle RODO, działania takie traktowane są jako zautomatyzowane podejmowanie decyzji oparte na profilowaniu. Nawet w sytuacji, gdy w procesie decyzyjnym przewidziane są działania podejmowane przez człowieka (np. wybór ostatecznego kandydata do pracy spośród aplikacji wstępnie wyselekcjonowanych przez algorytm lub zatwierdzenie albo korekta wysokości składki ubezpieczeniowej zaproponowanej przez program), nadal w świetle przepisów Rozporządzenia należy traktować to jako działanie o charakterze zautomatyzowanym.

Obowiązek informacyjny

Obowiązek informacyjny ma kluczowe znaczenie w przypadku zarówno profilowania danych, jak również wykorzystywania efektów profilowania w celu automatycznego lub częściowo automatycznego podejmowania decyzji.

W przypadku oceny prawidłowości przetwarzania w pierwszej kolejności weryfikacji podlegać będzie fakt, czy osoby, których to profilowanie dotyczyło, poinformowane były o celu profilowania oraz czy działania administratora mieściły się w granicach tego celu.

Należy poinformować osoby podlegające profilowaniu o kryteriach profilowania, o tym, czy w oparciu o profilowanie podejmowane będą automatyczne decyzje oraz w jakim zakresie. Niezbędne jest także przekazanie informacji o prawie do sprostowania danych, sprzeciwu zarówno wobec profilowania jak również wobec podejmowania zautomatyzowanych decyzji na tej podstawie.

Administrator nie powinien ograniczać się wyłącznie do poinformowania o samym fakcie profilowania, ale w sposób zwięzły i możliwie przejrzysty wyjaśniać, jakie dane podlegają profilowaniu, w oparciu o jakie kryteria są one przetwarzane, a także jaki jest cel oraz konsekwencje tego działania.

Kryteria i cele profilowania nie powinny prowadzić do dyskryminacji i wykluczania określonych osób z dostępu do usług, promocji czy możliwości zatrudnienia lub skorzystania z oferty.

Oprócz standardowego zakresu informacji, w odniesieniu do profilowania, RODO zawiera dodatkowe wymogi odnoszące się do obowiązku informacyjnego. Zgodnie z art. 15 ust. 1 lit h, administrator powinien poinformować, jakie potencjalnie profilowanie może mieć konsekwencje dla danej osoby. Oznacza to, że podmiot profilujący musi określić, czy wynik profilowania może np. zdecydować o dostępie do danej oferty, warunkach tej oferty, możliwości zawarcia umowy lub jej rozwiązaniu.

Całość tych informacji winna znaleźć się bądź to w polityce prywatności (czyli dokumencie, który zawiera informacje wymagane zgodnie z art. 13 lub 14 RODO), bądź zostać opisana w odrębnym dokumencie poświęconym konkretnie profilowaniu.

Określenie podstaw profilowania

Podobnie jak w przypadku pozostałych operacji przetwarzania, zarówno profilowanie jak i podejmowanie automatycznych decyzji opartych na profilowaniu wymaga wskazania odpowiednich podstaw prawnych.

Najczęściej spotykanymi będą w tym wypadku zgoda podmiotu danych (art. 6 ust. 1 lit. a RODO), konieczność wykonania umowy (art. 6 ust. 1 lit. b RODO), uzasadniony prawnie interes administratora (art. 6 ust. 1 lit. f RODO) lub realizacja obowiązku prawnego (art. 6 ust. 1 lit c. RODO). Profilowanie może służyć także ochronie żywotnych interesów osoby, której dotyczy (art. 6 ust. 1 lit. d) – co może mieć zastosowanie w szczególności w obszarze usług medycznych.

W przypadku przetwarzania w oparciu o zgodę, bardzo istotne jest prawidłowe i wyczerpujące określenie przy jej uzyskiwaniu celu przetwarzania czy też zautomatyzowanego podejmowania decyzji i przestrzeganie, aby przetwarzanie to mieściło się w tym celu.

W przypadku oparcia profilowania o uzasadniony prawnie interes administratora, koniecznym będzie wskazanie tego interesu a także wykonanie testu równowagi.

Uzupełnienie czynności związanych z profilowaniem w RCP oraz minimalizacja danych

Profilowanie, jako czynność przetwarzania powinna zostać dodana do Rejestru Czynności Przetwarzania, o ile administrator zobowiązany jest do prowadzenia takiego rejestru. Zgodnie z zasadą minimalizacji danych wynikającą z art. 5 ust. 1 lit c RODO, zakres danych podlegających profilowaniu powinien zostać ograniczony wyłącznie do tych informacji, które są niezbędne do realizacji celu, stojącego u podstawy profilowania.

Obowiązek oceny skutków dla ochrony danych (DPIA)

Profilowanie, o ile ma charakter systematyczny i kompleksowy oraz prowadzi do podejmowania decyzji wywołujących skutki prawne lub znacząco wpływających na sytuację danej osoby jest jedną z obowiązkowych przesłanek, wymagających przeprowadzenia oceny skutków dla ochrony danych (DPIA). Wynika to wprost z art. 35 ust. 3 lit a RODO.

Wyznaczenie Inspektora Ochrony Danych

Zgodnie z art. 37 ust. 1 lit b RODO, jeżeli „główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę” taki administrator powinien wyznaczyć Inspektora Ochrony Danych. Stałe profilowanie, szczególnie dużej ilości danych, jest czynnością przetwarzania, która może spełniać przesłanki wskazane w cytowanym przepisie – zarówno w zakresie regularności jak i skali. W takiej sytuacji administrator, który nie wyznaczył jeszcze IOD powinien wziąć pod uwagę, że może podlegać obowiązkowi w tym zakresie.

Retencja danych

Dane uzyskane w wyniku profilowania powinny podlegać usunięciu po wskazanym czasie. Okres przechowywania danych powinien być ściśle powiązany z celem, który uzasadnia profilowanie. Po ustaniu tego celu dane i uzyskane profile powinny zostać usunięte. Administrator powinien zawrzeć skonkretyzowaną informacje o okresie przechowywania wygenerowanych profili realizując obowiązek informacyjny.

Uprawnienia osób, których dane podlegają profilowaniu

Pierwszym z uprawnień, o których realizację zobowiązany jest zadbać administrator stosujący profilowanie, jest obowiązek dostępu do danych dotyczących podstaw profilowania.

W pierwszej kolejności jest to udzielenie informacji, czy dane określonej osoby podlegają profilowaniu, na czym to profilowanie polega, w jakim celu dane są profilowane, jak wygląda profil danej osoby (np. do jakich segmentów została zakwalifikowana).

Część tych informacji, w szczególności o bardziej ogólnym charakterze, może być ujęta w polityce prywatności. W pozostałym zakresie – np. dotyczącym efektów profilowania konkretnej osoby –  administrator zobowiązany jest do udzielenia wyczerpującej i zrozumiałej informacji z zachowaniem standardowego miesięcznego czasu na odpowiedź.

Granicą tego prawa jest ochrona tajemnicy czy know-how przedsiębiorcy – co wynika wprost z motywu 63 RODO: „Prawo to nie powinno negatywnie wpływać na prawa lub wolności innych osób, w tym tajemnice handlowe lub własność intelektualną, w szczególności na prawa autorskie chroniące oprogramowanie.”  Jeżeli bowiem ujawnienie szczegółowych informacji mogłoby wpłynąć na prawa autorskie czy bezpieczeństwo administratora danych, może on odmówić dostępu do takiej informacji. Nie zwalnia to jednak z obowiązku udzielenia informacji na bardziej ogólnym poziomie, który takich praw nie narusza.

Kolejnym prawem osoby, której dane podlegają profilowaniu jest prawo do sprostowania lub usunięcia danych. Jest ono szczególnie istotne w przypadku czynności profilowania. Nieprawidłowe dane wejściowe przyjęte na potrzeby profilowania (np. błędna informacja o stanie cywilnym, miejscu zamieszkania czy liczbie dzieci) może bowiem istotnie wpłynąć na jego wynik a w konsekwencji - na prawa i wolności podmiotu danych. Dlatego administrator musi wziąć pod uwagę informacje o zmianach w zakresie informacji, które są wykorzystywane na potrzeby tworzenia profili.

Kolejnym ważnym uprawnieniem, jest prawo do sprzeciwu wobec przetwarzania (w tym profilowania), wynikające z art. 21 ust. 1 i 2. RODO. Prawo to dotyczy przede wszystkim sytuacji, gdy profilowanie oparte jest na uzasadnionym prawnie interesie administratora lub uprzedniej zgodzie. Realizacja tego uprawnienia wiąże się z koniecznością zarówno przerwania profilowania danych, jak również usunięcia profili już stworzonych dla danej osoby.

Zgodnie z art. 21 ust. 2 RODO, w przypadku profilowania na potrzeby marketingu bezpośredniego, każdej osobie przysługuje prawo do wniesienia skutecznego sprzeciwu, zaś administrator ma obowiązek taką dyspozycję wykonać.

W przypadku profilowania w innych celach, nie jest to obowiązek bezwzględny. Kluczowa jest tu analiza użytego w art. 21 ust. 1 RODO  pojęcia „szczególna sytuacja”. Jeżeli z jakiś istotnych powodów administrator rozważałby odmowę realizacji sprzeciwu, powinien móc wykazać, iż w tym wypadku jego uzasadniony interes przeważa nad wpływem profilowania na prawa i wolności osoby, której ono dotyczy. Przy czym przepisy RODO w przypadku profilowania stawiają przy tym teście wyższe wymagania, niż odnośnie ogólnych zasad oceny przetwarzania w oparciu o uzasadniony interes. Wymagane jest bowiem, aby w tym wypadku interes administratora był dodatkowo ważny.

Szczególne wymogi w zakresie zautomatyzowanego podejmowania decyzji w oparciu o profilowanie

Zasadą wynikającą z art. 22 ust. 1 RODO jest zakaz podejmowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, jeżeli takie przetwarzanie wywołuje wobec tej osoby skutki prawne lub istotnie wpływa na jej sytuację.

Zakaz ten dotyczy przetwarzania wyłącznie automatycznego – czyli opartego na algorytmach bez jakiegokolwiek udziału człowieka, jeżeli jednocześnie wpływa ono istotnie na sytuację prawną lub faktyczną osoby, której dotyczy.

Od zakazu tego przewidziano wyjątki. Przetwarzanie w pełni zautomatyzowane jest dopuszczalne, jeżeli jest ono niezbędne do wykonania umowy między daną osobą a administratorem i znajduje oparcie w przepisach prawa danego kraju członkowskiego, któremu podlega administrator. Dopuszczalne jest także w sytuacji, gdy opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Należy tu zwrócić uwagę na użyte w RODO pojęcie „wyraźnej zgody”. Jest to kwalifikowana forma zgody. Polega na tym, że osoba, która wyraża taką „wyraźną” zgodę jest w jej treści informowana o celu przetwarzania – w tym wypadku o fakcie w pełni zautomatyzowanego podejmowania decyzji. Obowiązek uzyskania „wyraźnej zgody” wyłącza również zastosowanie zgody opartej o inną czynność o charakterze „jednoznacznie potwierdzającym” (np. wysłanie maila czy rejestracji w danym systemie).

Użyte w przepisach pojęcie „skutki prawne” lub „istotny wpływ” oznacza przykładowo możliwość zawarcia lub rozwiązanie istniejącej umowy lub prawo do skorzystania z określonej usługi (np. zawarcia umowy ubezpieczenia lub udzielenia kredytu) czy też uwzględnienie kandydatury w procesie rekrutacyjnym. Ale w zakresie tych pojęć mieści się także postrzeganie danej osoby w jej środowisku, mogące prowadzić do dyskryminacji czy wywierające długotrwały wpływ na jej życie i wybory.

Administrator, który posiada odpowiednie podstawy prawne i zdecyduje się na wdrożenie w pełni automatycznego procesu decyzyjnego opartego o profilowanie, powinien wdrożyć środki ochrony praw i wolności osób, których takie profilowanie dotyczy. Chodzi w szczególności o stworzenie możliwości weryfikacji takich automatycznych decyzji i umożliwienie ingerencji ludzkiej w proces decyzyjny. Oznacza to także możliwość uzyskania informacji o wynikach profilowania oraz czynnikach, które wpłynęły na decyzje oraz umożliwienie odwołania się od takich algorytmów przez osobę, której dotyczą konsekwencje ich działania.

Profilowanie danych jest powszechne i potrzebne. Pozwala zwiększyć efektywność działalności firm, wpływa na obniżenie kosztów prowadzenia działań marketingowych, dzięki niemu przedsiębiorcy mogą bardziej efektywnie przypisywać posiadane zasoby do określonych obszarów działalności. Pomaga też w działaniach edukacyjnych, profilaktycznych, społecznych i prozdrowotnych.

Profilowanie czy zautomatyzowane podejmowanie decyzji jest też zasadniczo zgodne z prawem i dopuszczalne.

Jak jednak łatwo zauważyć, działanie to wiąże się z szeregiem zagrożeń – szczególnie wtedy, kiedy dotyczy osób fizycznych, a jako czynniki używane do tego profilowania wykorzystuje się dane osobiste, ponieważ efekty takich działań mogą istotnie wpłynąć na biznes, karierę czy życie danej osoby.

Dlatego wskazane powyżej ograniczenia i wymogi prawne wydają się uzasadnione i adekwatne do ryzyka, związanego z wykorzystaniem tego typu narzędzi informatycznych.

Materiały źródłowe:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
• Bielak-Jomaa (red.), D.Lubasz (red.) – RODO. Ogólne rozporządzenie o ochronie danych. Komentarz.
• Wytyczne Grupy Roboczej Art. 29 w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia z 3 października 2017 (aktualizowane 6 lutego 2018 r.)

dr Tomasz Ciupka

radca prawny, Inspektor Ochrony Danych, członek Stowarzyszenia Praktyków Ochrony Danych SPOD.

Założyciel i partner zarządzający kancelarii LT LAW Ciupka, Stachurski sp.k. Ekspert w zakresie prawa pracy oraz ochrony danych osobowych.