Profilowanie – źródła prawa (Rada Europy, RODO) oraz opinia Grupy Roboczej
Profilowanie służące jako narzędzie marketingowe nie jest nowym zjawiskiem. Jednakże, przed wejściem w życie RODO, nie było ono zdefiniowane w polskiej ustawie o ochronie danych osobowych z 1997 r. ani w Dyrektywie 95/46 WE. Nie znaczy to jednak, że nie było prób podjęcia uregulowania tego zjawiska w innych aktach prawnych. Definicja oraz skierowane do państw członkowskich Rady Europy rekomendacje dotyczące profilowania pojawiły się bowiem w Rekomendacji RE z 2010 r.26
W tym dokumencie „tworzenie profili” oznaczało „automatyczną technikę przetwarzania danych polegającą na przypisaniu danej osobie <<profilu>> (czyli zestawu danych charakteryzujących kategorię osób, który ma zostać zastosowany w odniesieniu do danej osoby) w celu podejmowania dotyczących jej decyzji bądź analizy lub przewidywania jej preferencji, zachowań i postaw”. RODO, nawiązując i inspirując się Rekomendacją Rady Europy, w art. 4 pkt 4 podjęło potrzebę sprecyzowania ram prawnych profilowania i zdefiniowało je jako „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”. O profilowaniu wypowiedziała się również Grupa Robocza Art. 29 (obecnie funkcjonująca jako Europejska Rada Ochrony Danych Osobowych)27. Dokument nie ma co prawda charakteru aktu prawnego, ale może być pomocny w zrozumieniu, jak organy nadzorcze w Unii Europejskiej rozumieją profilowanie i związane z nim obowiązki.
Profilowanie w RODO – elementy definicji
Z brzmienia przepisu RODO wynika, że „profilowanie” wyznaczane jest przez trzy elementy. Po pierwsze, dochodzi do przetwarzania danych osobowych. Po drugie, przetwarzanie to przyjmuje formę zautomatyzowaną, czyli taką, w której wykorzystywane są programy komputerowe oparte na algorytmach. Warto zaznaczyć, że fakt, iż w przetwarzaniu bierze udział również człowiek, nie będzie wyłączało możliwości zakwalifikowania danej czynności jako profilowania, okoliczność ta ma natomiast znaczenie dla kwalifikowanego profilowania na potrzeby wydawania automatycznych decyzji (art. 22 RODO). Po trzecie, celem profilowania jest ocena czynników osobowych danej osoby.
Zgodnie z wytycznymi Grupy Roboczej Art. 29 zwrot „ocena” oznacza, że profilowanie powinno obejmować jakąś formę oceny lub osądu osoby. Zatem prosta klasyfikacja osób na podstawie znanych cech, takich jak: ich wiek, płeć i wzrost, niekoniecznie będzie prowadzić do profilowania w rozumieniu RODO.
Podsumowując, profilowanie to zbieranie lub analizowanie informacji o osobie, aby przydzielić ją do pewnej kategorii po to, by prognozować jej zainteresowania lub prawdopodobne zachowanie.
Profilowanie marketingowe (art. 21 ust. 3 RODO) a profilowanie na potrzebyzautomatyzowanych decyzji (art. 22 RODO)
Wokół profilowania narosło wiele „mitów”. Tymczasem należy podkreślić, że profilowanie jest formą przetwarzania danych osobowych i jako takie nie jest zakazane, choć podlega zasadom dotyczącym przetwarzania danych osobowych, określonym w RODO. Zatem, profilowanie jako takie wymaga podstawy prawnej (np. zgody osoby, której dane dotyczą, lub wykazania prawnie uzasadnionego interesu) i musi być zgodne również z innymi zasadami ochrony danych (np. w zakresie adekwatności przetwarzanych danych).
W przypadku działań marketingowych przykładami profilowania może być m.in. analizowanie historii klienta oraz dopasowywanie na tej podstawie ofert lub reklam, które będą się wyświetlały tej osobie w różnych kanałach informacyjnych. Tak działają na przykład serwisy VOD (Video-on-Demand). Po obejrzeniu serialu wyświetlają one listę tytułów „które mogą Ci się spodobać”, w oparciu o to, jakie inne programy oglądali fani zakończonego serialu.
Z kolei portal odzieżowy może dopasowywać wyświetlane swoim użytkownikom reklamy w zależności od tego, jakie typy ubrań interesowały klienta w przeszłości. Sklepy chcą trafiać reklamą w gusta poszczególnych klientów, a istnieje małe prawdopodobieństwo, że kobieta przeglądająca głównie wyjściowe sukienki będzie zainteresowana nowościami w dziale odzieży myśliwskiej. Należy w tym miejscu zwrócić uwagę, że pomimo dość wnikliwej analizy historii czy wcześniejszych „kliknięć” użytkownika, propozycje wyświetlane przez przedsiębiorców nadal pozostają wyłącznie propozycjami. Oznacza to, że ostateczna decyzja – czy użytkownik obejrzy sugerowany serial lub czy zakupi sukienkę – w dalszym ciągu należy do niego.
Dlatego od profilowania „zwykłego”, o którym mowa powyżej, należy odróżnić profilowanie kwalifikowane. To drugie związane jest z automatycznym podejmowaniem decyzji, które dodatkowo rodzi dla osoby dużo poważniejsze skutki, w tym decyzje prawne. Mowa tutaj o sytuacji, w której przedsiębiorca wdraża rozwiązanie ułatwiające selekcję kandydatów do pracy, w rezultacie czego CV kandy- data zostaje automatycznie odrzucone poprzez zastosowany algorytm. Takie profilowanie prowadzi do tego, iż osoba nie nawiąże stosunku pracy z pracodawcą. Podobny „automatyzm” może mieć miejsce w szeroko rozumianej działalności bankowej. Na podstawie wniosku i wcześniej dokonanych przez użytkownika transakcji, bank (a raczej program komputerowy stworzony dla banku) odmawia udzielenia kredytu, co może mieć poważne skutki dla sytuacji życiowej dotkniętej tą decyzją osoby. Podkreślić należy, że w obu podanych przypadkach „profilowania kwalifikowanego” mamy do czynienia z jednej strony z automatyzmem decyzji, co należy rozumieć jako brak udziału – na etapie jej podejmowania – „czynnika ludzkiego”, a z drugiej strony – z istotnymi skutkami prawnymi dla pod- miotów danych wyrażających się brakiem zawarcia z nimi umów. Podobny skutek miałoby również np. naliczenie przez algorytm, na podstawie sprofilowanych danych, wysokości marży kredytu.
W przypadku powyższego profilowania na potrzeby automatycznych decyzji, które rodzą dla osoby konsekwencje prawne (lub podobne), RODO wprowadza szereg dodatkowych zabezpieczeń. Naj- ważniejszym z nich jest wprowadzenie katalogu określonych sytuacji, kiedy podejmowanie takich decyzji jest dozwolone (art. 22 ust. 1 i 2 RODO) oraz prawo podmiotu danych do zakwestionowania podjętej w ten sposób decyzji (art. 22 ust. 3 RODO). Zakazane co do zasady jest również automatyczne podejmowanie decyzji wywołujących poważne skutki w oparciu o szczególne kategorie danych np. danych o zdrowiu.
Podstawy prawne profilowania marketingowego
W działalności marketingowej obejmującej przygotowywanie spersonalizowanych ofert najczęściej spotykane jest jednak „zwykłe” profilowanie, czyli takie, które nie prowadzi do podejmowania automatycznych decyzji o istotnych dla danej osoby skutkach prawnych w powyżej przedstawionym znaczeniu. Tak też widzi tę kwestię Grupa Robocza Art. 29.28
W takim wypadku przedsiębiorca musi przeanalizować, jaka jest możliwa podstawa prawna dla podejmowania opisanych działań. W niektórych przypadkach podmioty z branży marketingu internetowego opierają się na tzw. prawnie uzasadnionym interesie (art. 6 ust. 1 pkt f RODO). W przypadku oparcia profilowania marketingowego na przesłance prawnie uzasadnionego interesu szczególnego znaczenia nabiera odpowiednie wykonanie tzw. testu równowagi. Wymaga on z jednej strony weryfikacji przyjęcia, że administrator danych ma rzeczywiście uzasadniony i zgodny z prawem interes w przetwarzaniu danych osobowych (np. na cele marketingowe), a drugiej strony wpływu tego przetwarzania na podmiot danych osobowych.
Warunkiem dopuszczalności przetwarzania danych osobowych na podstawie prawnie uzasadnionego interesu jest uznanie, w wyniku przeprowadzenia testu równowagi, że interes administratora danych w przetwarzaniu danych osobowych jest co najmniej równoważny wobec praw, wolności i interesów podmiotów danych osobowych.29
Dodatkowo należy pamiętać o tym, że w przypadku profilowania w oparciu o uzasadniony interes przedsiębiorcy osobie przysługuje prawo do sprzeciwu wobec profilowania, jeśli wykaże, że ma w tym nadrzędny interes. W przypadku profilowania na potrzeby marketingu bezpośredniego, prawo sprzeciwu jest bezwzględne (art. 21 ust. 3 RODO). Powyższe prawa, razem z wymogiem transparentnego informowania o zamierzonym przetwarzaniu danych osobowych, w tym profilowaniu, stanowią istotne gwarancje praw użytkowników do dysponowania swoimi danymi osobowymi.
W innych przypadkach, tj. między innymi wówczas gdy test równowagi da wynik negatywny, konieczne jest uzyskanie zgody od podmiotów danych na przetwarzanie, w tym profilowanie, ich danych osobowych na cele marketingowe (art. 6 ust. 1 pkt aRODO).
26 Rekomendacja CM/Rec (2010) 13. Komitetu Ministrów państw członkowskich w sprawie ochrony osób w związku z automatycznym przetwarzaniem danych osobowych podczas tworzenia profili.
27 Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, przyjęte w dniu 3 października 2017 r., ostatnio zmienione i przyjęte w dniu 6 lutego 2018 r.
28 W opinii 2016/679, Grupa Robocza wskazuje: „W wielu typowych przypadkach decyzja o skierowaniu do danej osoby spersonalizowanej oferty reklamowej sporządzonej na podstawie rezultatów profilowania nie będzie wywierała podobnie istotnego wpływu na osoby fizyczne (…)”. Z drugiej strony, Grupa Robocza dostrzega sytuacje, w których działanie marketingowe w oparciu o profil może być poważne w skutkach, np. jeśli dotyczy różnicowania cen w oparciu o prognozowane cechy charakteru lub dotyczy osób szczególnej troski.
29 Więcej o tej przesłance przetwarzania w opinii 06/2014 Grupy Roboczej Art. 29 w sprawie pojęcia uzasadnionych interesów administratora danych zawartego w art. 7 dyrektywy 95/46/WE.