Czym jest profilowanie?
RODO określa profilowanie jako proces zautomatyzowanego wykorzystywania danych osobowych w celu sklasyfikowania osoby fizycznej według określonych kryteriów lub też przewidzenia jej zachowania. Istotą profilowania jest zatem analizowanie czynników osobowych, zachowania, zainteresowań i zwyczajów osób fizycznych, w celu dokonywania prognoz lub podejmowania wobec nich decyzji.
Profilowanie służy przy tym różnym celom. Przykładowo serwis internetowy może korzystać z analityki opartej na profilowaniu, dzięki której można ustalić, że 20% odwiedzających serwis to kobiety w wieku 20-30 lat, interesujące się sportem. Również banki mogą budować profile osób wnioskujących o kredyt, aby ustalić jakie jest prawdopodobieństwo niewywiązania się wnioskodawcy z umowy. W kontekście służby zdrowia automatyczna analiza danych może służyć z kolei tworzeniu profilu pacjenta w celu prognoz dotyczących zdrowia lub skuteczności stosowanej terapii.
Profilowanie rzadko kiedy jest procesem samoistnym. Najczęściej jest to etap wstępny dostarczający wartościowych informacji, które mogą być następnie wykorzystywane np. do podejmowania decyzji wobec profilowanej osoby. Tym samym proces profilowania należy odróżnić od procesu podejmowania decyzji na podstawie profili. Samo zakwalifikowanie osoby np. jako mężczyzny interesującego się gotowaniem nie stanowi podejmowania decyzji. Taką decyzją może być natomiast wyświetlenie takiej osobie na podstawie stworzonego profilu reklamy książki kulinarnej. Będzie to jednocześnie przykład w pełni zautomatyzowanego podejmowania decyzji, a więc procesu pozbawionego ludzkiej ingerencji. Z drugiej strony decyzje mogą mieć także charakter niezautomatyzowany (np. odmowa przyznania kredytu przez pracownika banku na podstawie profilu wnioskodawcy), lub też w ogóle nie opierać się na wykorzystaniu profilowania.
Na jakiej podstawie możliwe jest profilowanie?
Powyższe wyjaśnienia są kluczowe dla zrozumienia jakie są warunki prowadzenia zgodnego z prawem procesu profilowania. Samo profilowanie, a nawet profilowanie połączone z podejmowaniem decyzji, nie zawsze będzie wymagać zgody. Profilowanie to forma przetwarzania danych osobowych, a więc podlega ogólnym wymogom RODO oraz może być oparte na jednej z podstaw przetwarzania wymienionych w Rozporządzeniu. Zgoda jest tylko jedną z takich podstaw, obok np. konieczności realizacji umowy czy też prawnie uzasadnionego interesu administratora. Właściwa podstawa prawna musi być dostosowana indywidualnie do każdego procesu przetwarzania, uwzględniając jego charakter, kontekst oraz rodzaj przetwarzanych danych.
Pewne wątpliwości mogą powstać w związku z treścią art. 22 RODO, który zakazuje podejmowania wobec osoby decyzji opartej „wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu”, o ile wywołuje wobec niej prawne lub inne podobnie istotne skutki. Jednym z wyjątków od tego zakazu jest wyraźna zgoda osoby na takie działanie, co może sugerować, że taka zgoda jest bezwzględnie wymagana w każdym przypadku profilowania.
Pomimo dwuznacznego brzmienia tego przepisu, należy go jednak rozumieć w ten sposób, że zgoda jest bezwzględnie wymagana nie na samo profilowanie, ale na proces w pełni zautomatyzowanego podejmowania decyzji, który wykorzystuje wcześniej stworzone profile osób fizycznych oraz dodatkowo wywołuje opisane poważne skutki dla profilowanych osób. Tym samym, poza zakresem tego przepisu pozostaje sam proces profilowania oraz profilowania połączonego z podejmowaniem decyzji (automatycznym lub nie), które nie wywołują prawnych lub innych istotnych skutków dla osób fizycznych. W zależności od kontekstu, procesy takie mogą być więc oparte na innych niż zgoda podstawach prawnych.
Profilowanie a marketing internetowy
Prawidłowe rozumienie wymogów RODO dotyczących profilowania ma duże znaczenie dla branż, które opierają się na procesach profilowania. Przykładem może być marketing internetowy, w którym bardzo często wykorzystywane są profile użytkowników stron internetowych w celu dostarczania im spersonalizowanych reklam. W oparciu o przewidywane zainteresowania użytkowników, algorytmy wyświetlają im reklamy najbardziej do nich dostosowane. Jest to więc proces w pełni zautomatyzowanego podejmowania decyzji na podstawie profilowania. Czy więc wymaga on zgody?
Zgodnie ze stanowiskiem Europejskiej Rady Ochrony Danych taki proces nie będzie co do zasady wymagał zgody, gdyż nie wywołuje on skutków prawnych oraz nie wpływa istotnie na sytuację osób profilowanych. Wyjątkiem jednak mogą być sytuacje, w których profilowanie będzie obejmować dane szczególnej kategorii (np. informacje o zdrowiu) lub też jego skutkiem będzie wykorzystywanie wykrytych problemów osoby (np. wyświetlanie reklam chwilówek osobom, które mają problemy z zadłużeniem).
Podsumowanie
Sam proces profilowania nie będzie zawsze wymagał zgody osób, których dane są przetwarzane. W zależności od kontekstu takie działania mogą być także oparte np. na konieczności realizacji obowiązków prawnych lub prawnie uzasadnionym interesie administratora. Zgodnie z RODO taka zgoda będzie natomiast niezbędna w tych przypadkach, w których podejmowane są w pełni zautomatyzowane decyzje, oparte na profilowaniu oraz wywołujące prawne lub podobnie istotne skutki wobec osób profilowanych. Tym samym, decyzję o tym, czy proces profilowania oprzeć na zgodzie zawsze należy poprzedzić jego analizą, która powinna dać odpowiedź na pytanie, czy zgoda taka jest w ogóle wymagana.