W tym miesiącu „edukacyjny” newsletter również jest poświęcony jednemu z podstawowych pojęć, które zostały przez prawodawcę unijnego zdefiniowane w art. 4 RODO, a mianowicie definicji „profilowania”. Pojawienia się jej w przepisach RODO było nowością, ponieważ nie miała swojego odpowiednika w przepisach dyrektywy 95/46/WE ani też w Ustawie o ochronie danych osobowych z 1997 r. Wydaje się, że w latach 90-tych ubiegłego wieku nie było takiej konieczności, lecz wraz z rozwojem technologii potrzeba istnienia uregulowania w tym zakresie będzie tylko wzrastać.
DEFINICJA „PROFILOWANIA”
Zgodnie z art. 4 pkt. 4 RODO „profilowanie” oznacza „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.
Na potrzebę tej definicji prawodawca unijny posłużył się pojęciem „zautomatyzowanego przetwarzania danych osobowych”, które zostało przybliżone w Komunikacie IOD-y 2024 II W związku z tym profilowanie nie obejmuje działań dokonywanych w tradycyjny sposób (przez człowieka). Są to jedynie operacje realizowane z wykorzystaniem urządzeń służących automatyzacji przetwarzania (najczęściej komputerów i algorytmów).
ISTOTA „PROFILOWANIA”
Z powyższej definicji (co podkreśliła również Grupa Robocza Art. 29. w Wytycznych WP 251) wynikają trzy elementy składające się na profilowanie, a mianowicie:
- profilowaniu muszą podlegać dane osobowe (dotyczące zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych);
- profilowanie musi stanowić zautomatyzowaną formę przetwarzania; oraz
- celem profilowania musi być ocena czynników osobowych podmiotów danych.
Na profilowanie składają się dwie czynności. W pierwszej kolejności dochodzi do zbierania danych osobowych na temat danej osoby z różnych źródeł, a następnie na ich postawie dokonywane jest wnioskowanie o nieznanych cechach tej osoby. Istotą profilowania jest więc tworzenie profilu danej osoby na podstawie informacji na jej temat. Następnie sporządzony w ten sposób profil pozwala na dokonywanie ocen, analiz i prognoz odnoszących się do niej.
TYPY PROFILOWANIA
W Opinii 2/2010 Grupa Robocza Art. 29 wyróżniła dwa typy profili – predykcyjne i jawne. Pierwsze z nich tworzone są na podstawie obserwacji indywidualnego i zbiorowego zachowania użytkowników. Mogą być sporządzane w szczególności poprzez monitorowanie odwiedzonych stron oraz sposobu odbierania poszczególnych reklam (np. czasu ich wyświetlania). Przykładowo reklamodawcy poprzez stosowanie technik śledzenia opartych na plikach cookie tworzą profil predykcyjny osoby, do którego dostosowują kierowane do niej treści.
Natomiast profile jawne tworzone są na podstawie danych osobowych przekazywanych przez osobę, której dane dotyczą. Przykładowo podczas rejestracji konta w serwisie streamingowym użytkownik proszony jest o wybór swoich ulubionych filmów i seriali. Następnie na podstawie tych informacji są mu proponowane materiały dopasowane do jego preferencji.
PROFILOWANIE TO NIE TO SAMO CO ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI
Często zautomatyzowane podejmowanie decyzji i profilowanie traktowane są jako pojęcia tożsame – niesłusznie. Rozróżnienie tych pojęć jest ważne, ponieważ zautomatyzowane podejmowanie decyzji nie zawsze musi być związane z oceną czynników osobowych, dlatego jest pojęciem znacznie szerszym. Z drugiej strony trudno uznać zrealizowanie spersonalizowanego marketingu bezpośredniego opartego na profilowaniu (o którym mowa w art. 21 ust. 2 RODO) za decyzję o istotnym znaczeniu dla podmiotu danych.
W związku z tym nie każdy przypadek zautomatyzowanego podejmowania decyzji będzie profilowaniem, podobnie nie każde profilowanie musi prowadzić do zautomatyzowanego podejmowania decyzji. Przykładowo automatyczne rejestrowanie czasu pracy będzie profilowaniem wyłącznie, jeżeli ADO przy pomocy tego działania będzie dokonywał oceny pracowników (np. przyznając premie).
NARZĘDZIA SŁUŻĄCE OCHRONIE PRZED PROFILOWANIEM
Profilowanie może prowadzić do daleko idącej ingerencji w sferę prywatności. Dlatego w motywie (72) preambuły RODO wskazano, że podlega ono przepisom dotyczącym podstaw dopuszczalności i zasad przetwarzania danych. Prawodawca unijny wśród praw osób, których dane dotyczą wyróżnił dwa uprawnienia dotyczące profilowania. Pierwszym z nich jest sprzeciw wobec przetwarzania danych, w tym profilowania (art. 21 RODO). Drugie uprawnienie to możliwość niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22).