Profilowanie
Art. 4 pkt 4 RODO
„Profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Profilowanie według RODO, czyli co?
To szczególny rodzaj czynności, który mieści się w ogólnej definicji przetwarzania.
Czynność ta musi łącznie spełniać 3 elementy.
- Po pierwsze, musi to być zautomatyzowana (w sposób dowolny) czynność przetwarzania. Nie może być w pełni wykonywana przez człowieka
- Po drugie, musi odbywać się na DANYCH OSOBOWYCH
- Po trzecie, celem profilowania musi być ocena czynników osobowych osób fizycznych na podstawie już uzyskanych danych osobowych. Inaczej rzecz ujmując, profilowanie polega na wyciągnięciu na podstawie zebranych danych osobowych dodatkowych danych (informacji) o konkretnej osobie. Dokonywana ocena polega na dokonywaniu analizy i wyciąganiu wniosków na przyszłość.
Jakie branże wykorzystują profilowanie?
Sektor prywatny | Sektor publiczny |
Marketing | Opieka zdrowotna |
Finanse | Polityka społeczna |
Bankowość | Podatki |
Ubezpieczenia | Zwalczanie i zapobieganie przestępczości |
Motyw 71 (fragment) RODO
Osoba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji – mogącej obejmować określone środki – która ocenia jej czynniki osobowe, opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób znacząco na nią wpływa, jak na przykład automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. Do takiego przetwarzania zalicza się „profilowanie” – które polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa […].
Trzy sposoby zastosowania profilowania (wg tzw. Grupy Roboczej Art. 29)
- profilowanie dla celów ogólnych
tzw. profilowanie zwykłe, z którym mamy do czynienia kiedy w całym procesie przetwarzania bierze udział istotny czynnik ludzki
- decyzje podejmowane na podstawie profilowania
czyli, sytuacje, w których system dokonuje obliczeń, ale ostateczną decyzję podejmuje człowiek
- profilowanie kwalifikowane, o którym mowa w art. 22 ust. 1 RODO
podejmowanie decyzji wyłącznie[1] w sposób zautomatyzowany, w tym profilowanie wywołujące wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób istotnie na nią wpływające. Dotyczy sytuacji, gdy decyzję podejmuje system. Inaczej rzecz ujmując, w procesie nie bierze udział człowiek lub jego udział ma charakter marginalny (cząstkowy).
Jakie czynności nie są profilowaniem?
Operacje dokonywane na danych, które nie są danymi osobowymi, np. dla celów statystycznych lub analitycznych
Profilowanie a zautomatyzowane podejmowanie decyzji
Zdarza się, że profilowanie jest utożsamiane (mylone) z zautomatyzowanym podejmowaniem decyzji. Jednak nie każda czynność zautomatyzowanego przetwarzania będzie profilowaniem. Zautomatyzowane podejmowanie decyzji może, ale nie musi, obejmować profilowania. Z kolei do profilowania może dochodzić bez podejmowania zautomatyzowanych decyzji. Profilowanie i zautomatyzowane podejmowanie decyzji mogą stanowić połączone działania (traktowane jako jedną całość). Może się również zdarzyć, że czynność przetwarzania początkowo będzie miała wyłącznie charakter zautomatyzowanego podejmowania decyzji, jednak w trakcie dojdzie do przekształcenia w czynność opartą na profilowaniu.
Kiedy zautomatyzowane podejmowanie decyzji indywidualnych, w tym profilowanie jest dozwolone?
RODO przyznaje osobom, które dane osobowe dotyczą prawo do tego, by nie podlegać decyzjom, które opierają się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołują wobec nich skutki prawne lub w podobny sposób istotnie na te osoby wpływają.
WYJĄTKI
Decyzja jest:
- niezbędna do wykonania lub zawarcia UMOWY; lub
- dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
- opiera się na wyraźnej ZGODZIE osoby, której dane dotyczą.
Motyw 71 (fragment) RODO
„[…] powinno być dozwolone, w przypadku gdy jest to wyraźnie dopuszczone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, w tym do celów monitorowania i zapobiegania – zgodnie z uregulowaniami, standardami i zaleceniami instytucji Unii lub krajowych podmiotów nadzorujących – oszustwom i uchylaniu się od podatków oraz do zapewniania bezpieczeństwa i niezawodności usług świadczonych przez administratora […]”
Pamiętaj!
Jako administrator jesteś zobowiązany do podania osobie, której dane osobowe dotyczą informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO oraz – przynajmniej w tych przypadkach – do podania istotnych informacjach o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Gdzie RODO wspomina o profilowaniu?
- 4 pkt 4 – definicja
- 13 ust. 2 pkt f – obowiązek informacyjny
- 14 ust. 2 pkt f – obowiązek informacyjny
- 15 ust. 1 lit h – prawo dostępu do informacji
- 21 – prawo do sprzeciwu
- 22 – prawa do żądania niepodlegania decyzji opartych na profilowaniu
- 35 – Ocena skutków dla ochrony danych
- 47 ust. 2 lit. e – Wiążące reguły korporacyjne
- 70 ust. 1 lit. f – Zadania Europejskiej Rady Ochrony Danych
Niniejszy artykuł nie wyczerpuje wszystkich kwestii odnoszących się do zagadnienia profilowania.
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. Urz. UE. L 2016 Nr 119 ze zm.)
- Profilowanie dłużników w kancelarii komorniczej w świetle RODO – czy komornik sądowy profiluje dłużników? RODOInformator z 2 września 2019 r., (online:) https://old.currenda.pl/2019/09/profilowanie-dluznikow-w-kancelarii-komorniczej-w-swietle-rodo-czy-komornik-sadowy-profiluje-dluznikow/ [dostęp: 30.08.2020 r.].
- Czerniawski, komentarz do art. 4 pkt 4 [w:] RODO. Ogólne Rozporządzenie o ochronie danych osobowych. Komentarz. red. E. Bielak – Jomaa, D. Lubasz, Wolters Kluwer 2018, s. 200.
- Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, s. 7, https://uodo.gov.pl/pl/10/11 [dostęp: 30.08.2020 r.].
- Kibil [w:] RODO Przewodnik ze wzorami, pod red. M. Gawroński, Wydawnictwo C.H. Beck 2018, s. 248-249.
- Niklas, Profilowanie w kontekście ochrony danych osobowych i zakazu dyskryminacji, s. 4-6; Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, s. 5, https://uodo.gov.pl/pl/10/11 [dostęp: 30.08.2020 r.]
[1] W art. 4 pkt 4 RODO mowa jest o „dowolnej formie zautomatyzowanego przetwarzania”, a nie o „wyłącznie” zautomatyzowanym przetwarzaniu (o którym mowa w art. 22 RODO). Profilowanie musi obejmować pewną formę zautomatyzowanego przetwarzania – interwencja ludzka nie musi jednak powodować, że dane działanie wykracza poza definicję profilowania (Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, s. 7, https://uodo.gov.pl/pl/10/11, 30.08.2020 r.)