Tło strzałki Strzałka
0 0
dni
0 0
godz
0 0
min
0 0
sek

Profilowanie i podejmowanie zautomatyzowanych decyzji a ochrona danych

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Profilowanie i podejmowanie zautomatyzowanych decyzji to szczególny rodzaj przetwarzania danych – wiążący się ze szczególnym ryzykiem dla ochrony danych. Przeczytaj poniższy artykuł i sprawdź, co należy wiedzieć o profilowaniu i podejmowaniu decyzji w sposób zautomatyzowany!

Czym jest profilowanie?

Zgodnie z RODO profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Zgodnie z motywami RODO, aby zapewnić rzetelność i przejrzystość przetwarzania wobec osoby, której dane dotyczą, mając na uwadze konkretne okoliczności i kontekst przetwarzania danych osobowych, administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę czynników powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiec m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny lub orientację seksualną, lub przetwarzaniu skutkującemu środkami mającymi taki efekt.

Obowiązek poinformowania o profilowaniu

Zgodnie z motywami RODO zasady rzetelnego i przejrzystego przetwarzania wymagają, by poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o jego konsekwencjach. Informacje te można przekazać w połączeniu ze standardowymi znakami graficznymi, które w widoczny, zrozumiały i czytelny sposób przedstawią sens zamierzonego przetwarzania. Jeżeli znaki te są przedstawione elektronicznie, powinny nadawać się do odczytu maszynowego.

Administrator zobowiązany jest podać osobie, której dane dotyczą, w szczególności informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Prawo do sprzeciwu przeciwko profilowaniu

Zgodnie z motywami RODO, jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, powinna mieć prawo wnieść w dowolnym momencie bezpłatnie sprzeciw wobec tego przetwarzania, pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.

Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, w tym profilowania, w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, a także przetwarzania w oparciu na uzasadnionym interesie administratora. 

Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów, bez względu na inne okoliczności.

Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie do wniesienia sprzeciwu, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.

Osoba, której dane dotyczą, może wykonać prawo do sprzeciwu za pośrednictwem zautomatyzowanych środków wykorzystujących specyfikacje techniczne.

Jeżeli dane osobowe są przetwarzane do celów badań naukowych lub historycznych lub do celów statystycznych, osoba, której dane dotyczą, ma prawo wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym.

Prawo do niepodlegania decyzji opartej na profilowaniu 

Zgodnie z motywami RODO osoba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji – mogącej obejmować określone środki – która ocenia jej czynniki osobowe, opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób znacząco na nią wpływa, jak na przykład automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. 

Zgodnie z motywami RODO do takiego przetwarzania zalicza się profilowanie – które polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa. 

Zgodnie z motywami RODO przetwarzanie takie powinno zawsze podlegać odpowiednim zabezpieczeniom obejmującym przekazanie wymaganych przez RODO informacji osobie, której dane dotyczą, prawo do uzyskania interwencji człowieka, prawo do wyrażenia własnego stanowiska, prawo do uzyskania wyjaśnienia co do decyzji wynikłej z takiej oceny oraz prawo do zakwestionowania takiej decyzji.

Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.

Powyższe prawo nie przysługuje, jeżeli ta decyzja:

  • jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
  • jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, lub
  • opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

W dwóch ostatnich przypadkach administrator zobowiązany jest wdrożyć właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.

Decyzje nie mogą opierać się na szczególnych kategoriach danych osobowych, chyba że osoba, której dane dotyczą, wyraziła zgodę lub przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie oraz konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą – pod warunkiem że istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. 

Przykład 1.

Profilowanie jest często stosowane w sieci, w tym w serwisach internetowych, do których dostęp mają także dzieci. Zgodnie ze stanowiskiem Grupy roboczej art. 29: „W środowisku internetowym dzieci mogą być szczególnie podatne oraz łatwiej ulegać wpływom reklamy behawioralnej. Na przykład w przypadku gier internetowych profilowanie można wykorzystać, by kierować oferty do graczy, którzy według algorytmu chętniej wydadzą pieniądze na grę, a także by wyświetlać bardziej spersonalizowane reklamy. Wiek i dojrzałość dziecka mogą wpływać na jego zdolność do zrozumienia powodów uzasadniających stosowanie tego rodzaju marketingu lub konsekwencje”. Czy profilowanie w oparciu na danych osobowych dzieci jest dopuszczalne, czy zakazane? 

Zgodnie z motywami RODO podejmowanie decyzji wyłącznie w sposób zautomatyzowany, w tym profilowanie, które wywołuje skutki prawne wobec danej osoby lub w podobny sposób istotnie na nią wpływa, nie powinno być stosowane względem dzieci. Taki zakaz nie został jednak powielony w normatywnej części RODO. Grupa robocza art. 29 wskazuje, że RODO nie przewiduje całkowitego zakazu profilowania dzieci. Rekomenduje natomiast, aby nie powoływać się na wyjątki od prawa do niepodlegania zautomatyzowanym decyzjom, choć i to może być uzasadnione w zależności od okoliczności – np. w przypadku, gdy przetwarzanie jest niezbędne dla dobra dziecka. 

Ocena skutków przetwarzania danych w przypadku gdy zajdzie profilowanie i podejmowanie zautomatyzowanych decyzji

Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów