Od 25 maja 2018 r. legalność profilowania osób fizycznych, np. w branży reklamy internetowej, będzie uzależniona od spełnienia wielu obowiązków. Nie warto ich lekceważyć, bo za naruszenia będą grozić wielomilionowe kary
Nowe rozporządzenie o ochronie danych osobowych (RODO; rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. [UE] 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych; Dz.Urz. UE z 2016 r. L 119, s. 1) stanie się skuteczne 25 maja 2018 r. Po raz pierwszy definiuje profilowanie i wielokrotnie się do niego odwołuje.
Czym jest profilowanie
Profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych polegająca na ocenie niektórych czynników osobowych osoby fizycznej, np. jej osobistych preferencji, sytuacji ekonomicznej, zdrowia, zainteresowań, wiarygodności, zachowania etc. Profilowanie jest powszechne w branży reklamy internetowej, gdzie polega na zbieraniu informacji o zachowaniu poszczególnych użytkowników (tzw. tracking) oraz ich automatycznej analizie, zmierzających do wyświetlenia użytkownikom reklam dostosowanych do ich prawdopodobnych potrzeb i preferencji. Odgrywa jednak coraz większą rolę także w innych sektorach, służąc np. do automatycznej oceny zdolności kredytowej, analizy ryzyka ubezpieczeniowego lub oceny przydatności kandydatów do pracy. Może być także wykorzystywane do realizacji polityki dyskryminacji cenowej polegającej np. na wyświetlaniu wyższych cen produktów osobom, które zostały sprofilowane jako zamożne (choć jak wynika z opublikowanego niedawno raportu Komisji Europejskiej, praktyki te nie są jeszcze zbyt rozpowszechnione). Zarówno na gruncie RODO, jak i zgodnie z obecnie obowiązującymi przepisami profilowanie podlega ogólnym regułom prawa ochrony danych osobowych. Oznacza to zwłaszcza, że jego legalność zależy od istnienia odpowiedniej podstawy prawnej (w sektorze prywatnym z reguły będzie to uzasadniony interes administratora), a administrator musi stosować właściwe zabezpieczenia techniczne i organizacyjne.
Szczególna sytuacja i cele marketingowe
W pewnych okolicznościach podmiot danych będzie się mógł sprzeciwić profilowaniu. Zgodnie z art. 21 ust. 1 RODO, osoba, której szczególna sytuacja to uzasadnia, może wnieść sprzeciw wobec przetwarzania, w tym profilowania prowadzonego w oparciu o uzasadniony interes publiczny, interes administratora lub interes osoby trzeciej (ale nie np. na podstawie wyraźnego upoważnienia ustawowego). Natomiast zgodnie z art. 21 ust. 2 RODO ma prawo w każdej chwili i bez podania przyczyn sprzeciwić się przetwarzaniu jej danych na potrzeby marketingu bezpośredniego.
Ewentualna konieczność zaprzestania profilowania pojedynczej osoby zwykle nie będzie dla administratora szczególnie trudna. Kłopotliwe może się okazać natomiast skonstruowanie i wdrożenie mechanizmu pozwalającego na wyrażenie i uwzględnienie takiego sprzeciwu. Może to wymagać rozważenia już na etapie projektowania procesów i aplikacji wykorzystywanych do profilowania, zwłaszcza że podmiot danych powinien mieć możliwość wyrażenia sprzeciwu za pomocą zautomatyzowanych środków. Z wdrożeniem odpowiednich mechanizmów nie warto zatem czekać do maja 2018 r.
Istotne konsekwencje
Przedmiotem szczególnego zainteresowania prawodawcy unijnego jest profilowanie prowadzące do automatycznego podejmowania wobec jednostki decyzji, które istotnie na nią wpływają. Można zakładać, że nie chodzi o decyzje co do tego, jaką reklamę wyświetlić, lecz o większym ciężarze gatunkowym, takie jak decyzja kredytowa, decyzja o zawarciu umowy ubezpieczenia lub o przyjęciu do pracy. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać takim decyzjom. Nie jest jasne, czy chodzi o prawo wyrażenia sprzeciwu, czy też o całkowity zakaz przetwarzania (podobna wątpliwość występuje na gruncie obecnie obowiązującej dyrektywy). Nieco światła na tę kwestię mogą rzucić wskazówki Europejskiej Rady Ochrony Danych, których wydanie przewiduje motyw 72 w preambule RODO.
Wspomniane uprawnienie nie przysługuje, jeśli taka automatyczna decyzja: a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem; b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator; lub c) opiera się na wyraźnej zgodzie (tj. zgodzie opt-in) osoby, której dane dotyczą.
Pierwszy z wyjątków, choć potencjalnie najistotniejszy, może również rodzić wątpliwości interpretacyjne. Sytuacja, w której zautomatyzowane podjęcie decyzji jest obiektywnie niezbędne do zawarcia lub wykonania umowy, zdarza się bowiem relatywnie rzadko (obecnie obowiązująca dyrektywa nie mówi o decyzji niezbędnej, lecz o decyzji podjętej w trakcie zawierania lub realizacji umowy). Polski ustawodawca jest jednak upoważniony do wprowadzenia do polskiego prawa wyraźnych upoważnień do podejmowania automatycznych decyzji opartych na profilowaniu (np. w sektorze bankowym i ubezpieczeniowym). W Ministerstwie Cyfryzacji trwają obecnie prace nad wdrożeniem RODO do porządku krajowego.
Natomiast podejmowanie zautomatyzowanych decyzji istotnie wpływających na sytuację jednostki w oparciu o dane wrażliwe (m.in. dane genetyczne, biometryczne i dotyczące zdrowia lub orientacji seksualnej) będzie dopuszczalne tylko za wyraźną zgodą podmiotu danych lub na podstawie wyraźnego upoważnienia ustawowego ze względu na ważny interes publiczny.
Informowanie
Administrator będzie jednocześnie zobowiązany do powiadomienia – z własnej inicjatywy (niezależnie od źródła danych) oraz na żądanie podmiotu danych – o możliwości skorzystania z prawa do wyrażenia sprzeciwu wobec przetwarzania w związku ze szczególną sytuacją tego podmiotu i w celach marketingowych.
Musi mu także przekazać informację o zautomatyzowanym podejmowaniu istotnych decyzji opartych na profilowaniu. Co więcej, powinien wyjaśnić zasady podejmowania takich decyzji (co może niekiedy utrudnić utrzymanie poufności tajemnic przedsiębiorstwa), a także znaczenie i przewidywane konsekwencje takiego przetwarzania dla osoby, której dane dotyczą.
Aby wywiązanie się z tych obowiązków było możliwe od 25 maja 2018 r., powinny być odpowiednio wcześniej przygotowane odpowiednie klauzule informacyjne uwzględniające specyfikę działalności danego administratora.
Ocena skutków przetwarzania
Istotną nowością stanie się obowiązek przeprowadzania przez administratora oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Będzie to konieczne m.in. w przypadku „systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji [...] znacząco wpływających na osobę fizyczną”. Ocena będzie zatem dotyczyła profilowania prowadzącego do podejmowania decyzji istotnych dla jednostki.
Celem oceny skutków przetwarzania jest oszacowanie ryzyka naruszenia praw lub wolności osób, których dane dotyczą (np. ryzyka nieuprawnionego ujawnienia danych lub podjęcia błędnych decyzji), a także ustalenie środków jego ograniczenia. Ocena skutków przetwarzania powinna obejmować systematyczny opis planowanych operacji przetwarzania i jego celów oraz ustalenie, czy są one niezbędne oraz proporcjonalne w stosunku do tych celów. Musi być przeprowadzona przed rozpoczęciem operacji przetwarzania, co oznacza, że legalne kontynuowanie po 25 maja 2018 r. profilowania prowadzącego do podejmowania decyzji istotnych dla jednostki będzie wymagało dokonania oceny skutków przetwarzania ze stosownym wyprzedzeniem.
PODSUMOWANIE
RODO szczegółowo reguluje kwestię dopuszczalności profilowania i związane z nim obowiązki. Część z tych regulacji stanowi nowość, część obowiązuje już obecnie. Administratorzy będą jednak z pewnością znacznie aktywniejsi w ich wdrażaniu, ponieważ większość naruszeń jest zagrożona karą administracyjną w wysokości do 20 mln euro lub 4 proc. rocznego światowego obrotu z poprzedniego roku obrotowego.
CYKL: EUROPEJSKA REFORMA OCHRONY DANYCH OSOBOWYCH – JAK SIĘ DO NIEJ PRZYGOTOWAĆ (CZ. 2)
Nowe unijne rozporządzenie o ochronie danych osobowych (RODO) zastąpi dotychczasową polską ustawę o ochronie danych osobowych 25 maja 2018 r. Ze względu na znaczną liczbę zmian i ich znaczenie, a także olbrzymie kary w przypadku niedostosowania – wielu przedsiębiorców już rozpoczęło proces przygotowywania się do nowych regulacji. Kontynuujemy dziś cykl tekstów, w którym przybliżamy najważniejsze zmiany i wynikające z nich obowiązki, oraz zamieszczamy praktyczne wskazówki ekspertów.
W poprzednim odcinku pisaliśmy:
● „Bezpieczeństwo przetwarzania i zgłaszanie naruszeń dotyczących personaliów na nowych zasadach”, Firma i Prawo z 10 stycznia 2017 r. (DGP nr 6/4405)