Poradnik Przedsiębiorcy

Profilowanie według RODO a sprzedaż przez internet

Profilowanie to automatyczne przetwarzanie danych osobowych. Stosowane jest przez przedsiębiorców w celach marketingowych. Umożliwia dopasowanie oferty do klienta na podstawie analizy jego działań w internecie, które odnotowywane są  przez tzw. ciasteczka. Profilowanie polega więc na tworzeniu profilu konsumenta. Zebrane dane i ich analiza, przetwarzanie mogą doprowadzić do wniosków na temat osoby, często zbyt pochopnych. Nie jest to nowe zjawisko. Po wejściu na stronę internetową zauważamy pojawiający się komunikat, że korzysta ona z plików cookies, czyli ciasteczek, które zbierają informacje o osobie trafiającej na stronę.

RODO wśród wielu wskazówek odnośnie do ochrony danych osobowych zawiera również te dotyczące powstrzymania “szpiegowania” osób w sieci. Unijne rozporządzenie nie zakazuje tego typu praktyk, ale wymaga od osób przetwarzających dane dbania o najwyższą jakość tego zabiegu. Dodatkowo wprowadza możliwość ingerencji osoby w zgromadzone w ten sposób dane i możliwość zanegowania powstałych na bazie tych danych wniosków. Do tej pory w prawie polskim nie funkcjonowała definicja legalna profilowania, RODO stosowane bezpośrednio już taką definicję wprowadza.

Wpływ profilowania na sprzedaż przez internet a RODO

Profilowanie, jak już zostało wskazane,  to powszechne zjawisko. Przedsiębiorcy w internecie starają się maksymalnie wykorzystać wszystkie możliwości sprzedażowe, a dane o potencjalnym kliencie mają nakierować ich do przygotowania idealnej dla niego oferty. Tworzenie profilu klienta opierające się na obserwowaniu jego zachowań w sieci to praktyka, której prawo nie zakazuje. Ma ona ogromne znaczenie dla marketingu bezpośredniego. Wspomniane dopasowanie oferty do klienta realnie zwiększa efektywność sprzedażową, co wpływa na pozyskiwanie coraz większej ich liczby. Na podstawie profilowania przewiduje się też przyszłe wybory konsumenta.

Różnice między obowiązującym stanem prawnym a RODO

Ustawa o ochronie danych osobowych w art. 26a wskazywała, że niedopuszczalne jest stawianie tez na temat osoby, której dotyczą przetwarzane dane. Takie wnioski były niedopuszczalne, chyba że dotyczyły kwestii zawarcia umowy. Było to wówczas tzw. usprawiedliwione działanie. Obowiązująca ustawa przewiduje, że względem własnych klientów nie jest co do zasady wymagane uzyskanie dodatkowej zgody na marketing bezpośredni własnych produktów.

Jeśli więc klient zawarł z przedsiębiorcą umowę (dokonał kupna), prawo zezwala administratorowi danych na marketing bezpośredni własnych usług. Jest to tzw. usprawiedliwiony prawnie cel administratora danych.

Zgodnie z przepisami RODO, właściwym rozwiązaniem na działanie sprzedawcy, który chce w dalszym ciągu pozyskiwać klientów w tej sposób, będzie przeprowadzanie regularnych audytów.  Docieranie do klientów przez profilowanie nie jest zakazane przez rozporządzenie. Będzie jednak należało dopełnić kwestię zgodności tego przetwarzania z prawem. Na samym początku konieczne będzie ustalenie celów i kryteriów profilowania, a także pozyskanie odpowiednich zgód klientów. Bez wątpienia należy zadbać o prawidłową formę informowania o ich prawach w związku z profilowaniem zgodnym z przepisami rozporządzenia. RODO natomiast wprowadza zakaz opierania decyzji na podstawie szczegółowych danych osobowych, dzisiaj nazywanych przez obowiązującą ustawę danymi wrażliwymi (np. danych biometrycznych). Przedsiębiorcy dokonujący profilowania będą musieli wskazać zakres danych poddawany analizie i jej kryteria. Obowiązek informacyjny należy do głównych postulatów poprawy jakości funkcjonowania powszechnie stosowanego profilowania przez przedsiębiorców.

Zbieranie danych o osobie fizycznej na podstawie RODO

RODO wprowadza definicję profilowania, której brakuje w aktualnym stanie prawnym. Elementy definicji to: zgodne z prawem, zautomatyzowane działanie polegające na zbieraniu danych, które nie są udostępniane publiczne. Ogólnodostępne dane w sieci często wystarczają do sformułowania wniosków na temat danej osoby fizycznej. Jest to temat budzący duże kontrowersje. Profilowanie wydaje się być tworzeniem obrazu osoby na podstawie analizy jej preferencji, sytuacji ekonomicznej, zdrowia, a nawet lokalizacji.

Definicja profilowania według rozporządzenia RODO brzmi:

profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Profilowanie a wola osoby

Osoba, która podlega profilowaniu, może zakwestionować decyzję opartą na podstawie profilowania - zautomatyzowanego przetwarzania.

Przykład 1.

Jeśli jakaś osoba wyszukuje w internecie danych na temat objawów choroby, nie oznacza to, że sama na nią cierpi, a możliwe, że poszukuje informacji na prośbę swojego bliskiego.

RODO chroni zatem osoby fizyczne przed stawianiem o nich śmiałych tez i wysnuwaniem pochopnych wniosków na podstawie śledzenia zachowań tych osób w sieci. Jeśli natomiast przetwarzanie danych nie wpływa znacząco na sytuację osoby fizycznej, nie będzie przeciwwskazań do tego typu działań, jak w aktualnym stanie prawnym. Należy jednak ocenić, czy taki wpływ w ogóle występuje i czy jest istotny.

Należy zwrócić uwagę na fakt, że jeśli podejmie się decyzje na podstawie profilowania, osoba, co do której stawia się wnioski, ma możliwość uchylenia się od decyzji wydanej na podstawie takiego wnioskowania. Osoba profilowana będzie mogła złożyć oświadczenie, że nie zgadza się z decyzją i wnioskami.

Osoba, co do której wydano decyzję na podstawie profilowania, nie będzie mogła uchylić się od niej, jeśli:

  • profilowanie jest konieczne do  zawarcia lub wykonania umowy między osobami,

  • prawo UE na to zezwala lub istnieje prawnie uzasadniony interes,

  • sama wyraziła na nie zgodę.

Decyzja wydana w oparciu o dane wrażliwe, kiedy osoba nie wyraziła zgody na ich przetwarzanie, będzie również nieistotna. Podobne zastrzeżenie dotyczy przetwarzania danych dotyczących dzieci. Za profilowanie natomiast nie będzie uznane tworzenie profili szerszej grupy osób z brakiem możliwości ustalenia konkretnych tożsamości.

Jakość decyzji wydanej na podstawie profilowania

Administrator danych może opierać się na profilowaniu, jeśli:

  • jest to niezbędne do zawarcia lub wykonania umowy między osobami,

  • osoba wyraziła wyraźną na to zgodę.

Jeśli chce przetwarzać dane w ten sposób, jest zobowiązany wdrożyć właściwe środki ochrony. Należą do nich:

  • umożliwienie interwencji osoby,

  • umożliwienie wyrażenia stanowiska osoby,

  • umożliwienie zakwestionowania decyzji.

Rola administratora danych w profilowaniu

Rola administratora danych na mocy zarówno obowiązujących obecnie przepisów, jak i nowych RODO jest tak samo ważna. Przy profilowaniu administrator danych musi pamiętać o pewnych zasadach. Przetwarzanie danych powinno odbywać się:

  • w określonych okolicznościach i kontekście,

  • z zachowaniem wdrażania środków technicznych zabezpieczających utratę lub nieautoryzowaną modyfikację,

  • z uwzględnieniem korygowania nieprawidłowości,

  • z minimalizowaniem ryzyka błędów,

  • z zapobieganiem negatywnym skutkom przetwarzania (np. dyskryminacją).