Profilowanie stanowi szczególną formę przetwarzania danych osobowych. Szczególną z uwagi na zakres ingerencji w prawo do prywatności, zwłaszcza w przypadku analiz predyktywnych, tj. analiz przyszłych zachowań osób fizycznych na podstawie zebranych o nich danych.

Obecnie obowiązujące przepisy ustawy o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922, dalej „u.o.d.o.”) nie wyróżniają profilowania jako odrębnej operacji wykonywanej na danych, nie zawierają także jego definicji. Od dnia 25 maja 2018 r. znajdą zastosowanie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, Dz.Urz.UE.L Nr 119, str. 1, dalej „RODO”). Nowe przepisy nie zakazują profilowania, podkreślają jednak pewne uprawnienia podmiotów danych oraz nakładają dodatkowe obowiązki na administratorów danych.

Obecne rozwiązania prawne

Profilowanie nie stanowi zgodnie z przepisami u.o.d.o. szczególnej formy przetwarzania danych, zatem z perspektywy u.o.d.o. nie jest istotne, czy dane osobowe, jakie posiada administrator to proste, podstawowe informacje, czy złożony profil. Należy jedynie przekazać podmiotowi danych informacje na temat sposobu przetwarzania danych osobowych zgodnie z art. 32 u.o.d.o.

Obecne przepisy zabraniają natomiast podejmowania automatycznych, ostatecznych rozstrzygnięć (decyzji) wyłącznie na podstawie operacji wykonywanych na danych osobowych. Do takich operacji należy profilowanie, a do wspomnianych rozstrzygnięć zaliczyć możemy np. udzielenie kredytu przez bank lub przyznanie ubezpieczenia. Wyjątek od zakazu podejmowania zautomatyzowanych decyzji stanowią sytuacje, kiedy podjęcie decyzji na podstawie profilowania jest niezbędne do wykonania umowy z daną osobą i uwzględnia jej wniosek.

Nowe rozwiązania w RODO

Pierwszą zasadniczą zmianą, jako wprowadza RODO, jest zdefiniowanie terminu „profilowanie”. Według art. 4 ust. 4 RODO oznacza ono „dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.

Zgodnie z tą definicją do profilowania dochodzi wtedy, gdy administrator dokonuje oceny jakichkolwiek czynników osobowych jednostki. Ocena może dotyczyć zarówno obecnej sytuacji osoby, jak i prognozy wystąpienia określonego zdarzenia - zachowania czy cechy (predykcja).

Dodatkowo, preambuła RODO nakazuje administratorom wykorzystanie m.in. odpowiednich matematycznych lub statystycznych procedur profilowania, środków technicznych i organizacyjnych zapewniających zmniejszenie ryzyka błędów w profilach itd.

Na podstawie przepisów RODO, podmiot danych, podobnie jak obecnie, będzie miał prawo dostępu do danych składających się na profil zgodnie art. 15 ust. 1 lit. h RODO. Zgodnie z tym przepisem, administrator danych zobowiązany będzie ponadto do wyjaśnienia konsekwencji profilowania oraz wyjaśnienia zasad podejmowania zautomatyzowanych decyzji na podstawie profilowania.

Obok tych uprawnień, podmiot danych będzie mógł zgłosić sprzeciw wobec profilowania, na podstawie art. 21 ust. 6 RODO. Sprzeciw będzie możliwy do zastosowania m.in. wtedy, kiedy profilowanie będzie się odbywało na podstawie usprawiedliwionego celu i podmiot danych w sprzeciwie powoła się na przyczyny związane z jego szczególną sytuacją. Administrator co do zasady nie będzie mógł przetwarzać danych osobowych w celach objętych sprzeciwem, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Prawo sprzeciwu nie przysługiwałoby m. in. w przypadku, gdyby profilowanie stanowiło wykonanie obowiązku wynikającego z przepisu prawa. Z tego powodu w pracach nad nowelizacją wielu ustaw z różnych sektorów regulowanych proponuje się, aby profilowanie było wyraźnie dopuszczone, np. jako jedna z metod oceny ryzyka ubezpieczeniowego lub wiarygodności kredytowej.

Automatyczne podejmowanie decyzji

Zgodnie z art. 22 ust. 1 RODO osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Niemniej, prawo to nie przysługuje, o ile podjęcie zautomatyzowanej decyzji jest niezbędne do zawarcia umowy z podmiotem danych, opiera się na zgodzie lub jest dozwolone prawem państwa członkowskiego UE.

Możliwe jest również ograniczenie ww. uprawnienia ze względu na ważny interes gospodarczy lub finansowy państwa. Takie ograniczenie musiałoby być wyraźnie wskazane w ustawie.

Należy zatem zauważyć, iż podmiot danych ma szersze uprawnienia w zakresie sprzeciwienia się profilowaniu niż w przypadku prawa do niepodlegania zautomatyzowanej decyzji. Jest to kolejny argument przemawiający za przygotowaniem stosownych regulacji sektorowych w zakresie profilowania.

Kontrola przetwarzania danych

Profilowanie nabiera coraz większego znaczenia w gospodarce, głównie ze względu na coraz większą liczbę danych i coraz lepsze możliwości obliczeniowe. Pomimo że już dziś wykorzystanie danych osobowych w celu profilowania osób może być przedmiotem kontroli Generalnego Inspektora Ochrony Danych Osobowych, to rozwój technologiczny oraz przepisy RODO każą postawić na nowo pytania o jej zakres. Profilowanie może być oparte o różne modele i algorytmy, a ten sam cel, np. ocena wiarygodności płatniczej może być zrealizowany przez różne podmioty przy pomocy różnych kategorii danych osobowych. To z kolei może zostać zakwestionowane przez osoby profilowane. Należy więc zastanowić się nad tym, jak daleko powinna sięgać kontrola w procesy profilowania stosowane przez firmy.