Automatyczne przetwarzanie danych oparte na profilowaniu

Przetwarzanie danych osobowych przy użyciu zautomatyzowanych narzędzi podejmowania decyzji

Przetwarzanie danych osobowych przy użyciu zautomatyzowanych narzędzi podejmowania decyzji – w tym profilowania, tzn. oceny czynników osobowych osoby fizycznej – jest coraz powszechniejszym zjawiskiem. Marketing i branża reklamowa, bankowość, ubezpieczenia, ochrona zdrowia – to tylko niektóre z sektorów, gdzie korzysta się już z operacji profilowania.

Ma to, oczywiście, związek z dynamicznym rozwojem technologicznym oraz praktycznie nieograniczonymi możliwościami gromadzenia i analizowania danych.

Profilowanie skutecznie pomaga w analizie i wyciąganiu wniosków z zebranych danych. Problem jednak w tym, że osoby, których dane dotyczą, często nie są nawet świadome, że tego typu operacje są dokonywane na ich danych osobowych – trudno im zatem korzystać z przysługujących im praw związanych z przetwarzaniem ich danych i kwestionować np. trafność takich operacji.

A jeśli konkretnej osobie zostaną przypisane nieprawidłowe atrybuty, to może to w konsekwencji doprowadzić do sytuacji, w której przetwarzane dane są po prostu niepoprawne.

Dlatego ogólne rozporządzenie o ochronie danych (RODO) szczególny nacisk kładzie na operacje przetwarzania przy użyciu technik profilowania w sytuacji, gdy to przetwarzanie:

• jest zautomatyzowane, 
• dokonywane jest na danych osobowych,
• ma na celu analizę lub prognozę aspektów dotyczących efektów pracy osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji bądź przemieszczania się. 

Co do zasady, każda osoba, której dane dotyczą, ma prawo, aby nie podlegać decyzji opierających się na przetwarzaniu zautomatyzowanym – w tym profilowaniu – i wywołującej dla niej określone skutki prawne (np. brak możliwości udzielenia kredytu).

Kiedy profilowanie będzie możliwe?

Rozporządzenie wyraźnie wskazuje więc sytuacje, w których profilowanie będzie możliwe, tj.:

• kiedy jest to niezbędne do zawarcia lub wykonania umowy,
• przepis prawa na to zezwala, 
• osoba, której dane dotyczą, udzieliła na to wyraźnej zgody. 

Zasady automatycznego przetwarzania danych

W każdym z powyższych przypadków od administratora danych oczekuje się wdrożenia środków technicznych i organizacyjnych mających na celu właściwe i bezpieczne przetwarzanie danych przy użyciu technik profilowania - szczególnie jeżeli do profilowania używa się szczególnych kategorii danych osobowych (danych wrażliwych) lub danych osobowych dzieci.

Wszystkie zasady przetwarzania danych (jak zasada adekwatności czy ograniczonego celu) również będą miały tu zastosowanie.

Przede wszystkim należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania – w szczególności o zasadach podejmowania decyzji, znaczeniu i konsekwencjach profilowania.

Pamiętać należy także o możliwości złożenia – w dowolnym momencie i bezpłatnie – sprzeciwu wobec przetwarzania danych, szczególnie jeśli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego.

Innym obowiązkiem będzie również dokonanie oceny skutków regulacji dla operacji przetwarzania wykorzystujących profilowanie.

Jeżeli administrator wykorzystuje zautomatyzowane systemy do podejmowania decyzji wobec osób, których dane dotyczą (w tym do ich profilowania), musi zwróć szczególną uwagę na obowiązki, z których wywiązywania będzie się musiał wykazać już 25 maja 2018 r. Szczególną uwagę poświęć analizie tego, jak spełni obowiązki informacyjne wobec osób, które profiluje.

Dowiedz się więcej o nowych unijnych przepisach w zakresie danych osobowych.

Podstawa prawna:

• rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dziennik Urzędowy Unii Europejskiej L z 2016 r. nr 119, str. 1).

A.J.
Zespół e-prawnik.pl