Jak prawnie zabezpieczyć firmę, która wykorzystuje profilowanie?

• Kiedy działania marketingowe dotyczące zbierania i analizowania zachowań oraz preferencji klientów mogą być uznane za profilowanie.
• Jakie dodatkowe obowiązki mogą wiązać się z profilowaniem.
• Jak prawnie zabezpieczyć firmę, która decyduje się korzystać z nowych technologii i metod tworzenia profili klientów w działalności marketingowej.
  

Analiza danych do celów marketingowych

Nowoczesne technologie oraz techniki analizowania dużej liczby danych (Big Data) dają coraz szersze możliwości tworzenia profili i automatyzowania procesów podejmowania decyzji w oparciu o takie profile. Zbieranie i analizowanie danych o aktywności czy preferencjach klientów stanowi obecnie istotny element budowania strategii marketingowej wielu firm zajmujących się sprzedażą internetową (gdzie jest już pewnym standardem), jak i – w coraz większym zakresie – firm prowadzących sprzedaż stacjonarną. Automatyczne zestawianie danych zbieranych w procesie zakupów, korzystania z programów lojalnościowych czy monitorowania aktywności w Internecie wykorzystywane jest do tworzenia spersonalizowanej reklamy, dostosowanych produktów i usług, odpowiednio zróżnicowanych warunków oferty, czy podejmowania decyzji o zawarciu umowy.

Głównie wykorzystywane są informacje na temat:

• dotychczasowych transakcji danej osoby (np. informacje o zakupionych produktach, ich wartości, kanałach zakupów);
• aktywności w Internecie (np. informacje o wyszukiwanych produktach i hasłach, zamieszczanych komentarzach i recenzjach, aktywności w sieciach społecznościowych);
• lokalizacji danej osoby;
• wieku, płci, wykształceniu, zawodzie, sytuacji ekonomicznej czy zdrowotnej.

Zbieranie i analizowanie tego rodzaju danych nie może jednak odbywać się w oderwaniu od wymogów prawnych. Firmy prowadzące lub planujące wykorzystywanie takich technik powinny odpowiednio przygotować się do nich także od strony formalnej. Działania tego rodzaju, bez dopełnienia odpowiednich wymogów, mogą generować ryzyko prawne, w tym prowadzić do dotkliwej odpowiedzialności finansowej, jak również – co nie mniej ważne – istotnego ryzyka reputacyjnego i wizerunkowego związanego z ewentualnymi postępowaniami organów nadzorczych czy nakładanymi karami.

Dane osobowe i profilowanie

Działania marketingowe oparte na zbieraniu i analizowaniu danych klientów będą w większości przypadków wiązały się z przetwarzaniem danych osobowych osób fizycznych. Dotyczyć to będzie tych przypadków, w których wykorzystywane dane umożliwiają zidentyfikowanie konkretnej osoby. Z przetwarzaniem danych osobowych nie będziemy mieć z kolei do czynienia, jeśli dane zostały nieodwracalnie zanonimizowane tj. nie jest już możliwe powiązanie ich z konkretną osobą.

W takim przypadku trzeba mieć na względzie wymogi dotyczące tzw. profilowania nakładane przez Rozporządzenie ogólne o ochronie danych osobowych (RODO/GDPR)¹, które będzie stosowane od dnia 25 maja 2018 r. we wszystkich państwach UE. Przez pojęcie profilowania rozumieć należy takie operacje na danych osobowych, które odbywają się automatycznie i służą ocenie czynników osobowych osoby fizycznej, w szczególności do analizy jej osobistych preferencji, zachowań, wiarygodności, sytuacji ekonomicznej, zachowania, lokalizacji.

Wymogi prawne dotyczące profilowania

W większości przypadków stosowanie profilowania (tzw. profilowania zwykłego) na potrzeby marketingu będzie wiązało się z takimi samymi wymogami jakie RODO nakłada w odniesieniu do innych sposobów przetwarzania danych osobowych.

Przede wszystkim więc firma stosująca profilowanie będzie musiała wykazać się legalną podstawą dla takich działań. W zależności od sytuacji, podstawą taką może być niezbędność dla wykonania umowy, tzw. prawnie uzasadniony interes firmy czy też uprzednia zgoda osoby, której dane będą w ten sposób przetwarzane². Warto zwrócić uwagę, że aby zgoda była skuteczna musi być zrozumiała, dobrowolna, świadoma, konkretna i jednoznaczna. Nie będzie więc można powoływać się na zgodę wyrażoną zbiorczo na różne operacje na danych osobowych i dla różnych celów, bądź zamieszczoną wraz z innymi oświadczeniami, które nie pozwalają jej wyraźnie odróżnić (np. w regulaminie).
RODO nakłada na firmy przetwarzające dane osobowe szeroko zakrojone obowiązki informacyjne wobec osób, których dane dotyczą. Osoba taka powinna – już na etapie zbierania danych - uzyskać informacje m.in. o sposobie w jaki jej dane będą przetwarzane, w tym zwłaszcza o celach tworzenia i wykorzystania profili, podmiotach, którym mogą być przekazywane takie profile, przysługujących jej uprawnieniach (np. prawie dostępu do danych, ich poprawiania czy usuwania).

Osoba, której dane wykorzystywane są na potrzeby profilowania w celach marketingu bezpośredniego ma również prawo, aby w każdym czasie sprzeciwić się takiemu przetwarzaniu jej danych. Skutkuje to niemożnością dalszego wykorzystywania jej danych.

Firmy korzystające z profilowania powinny mieć także na względzie, że przeprowadzane operacje powinny być zgodne z zasadami ochrony danych takimi jak:

• zasada rzetelności i przejrzystości przetwarzania (naruszeniem tej zasady może być np. brak transparentnego wyjaśnienia dotyczącego profilowania),
• zasada ograniczonego celu (naruszeniem tej zasady może być np. tworzenie profili na potrzeby marketingu w oparciu o dane zebrane w celu realizacji sprzedaży produktu),
• zasada minimalizacji danych (naruszeniem tej zasady może być np. zbieranie danych w większym zakresie niż jest to uzasadnione z perspektywy celu),
• zasada prawidłowości danych (naruszeniem tej zasady może być np. przetwarzanie danych błędnych, niedokładnych),
• zasada ograniczonego czasu przetwarzania (naruszeniem tej zasady może być np. przetwarzanie danych przez nieproporcjonalnie długi okres czasu bądź brak procedur usuwania danych po pewnym czasie),
• zasada integralności i poufności (naruszeniem tej zasady będzie np. brak zapewnienia odpowiedniego bezpieczeństwa danych przed ich przypadkową utratą czy uszkodzeniem).

Działania problematyczne z perspektywy prawnej

Jeszcze bardziej rygorystyczne wymogi prawne dotyczą korzystania przy profilowaniu ze szczególnych kategorii danych osobowych, takich jak informacje o zdrowiu, światopoglądzie, wyznaniu czy seksualności. Dotyczy to także sytuacji, gdy takie dane są wynikiem analizy danych zwykłych np. gdy z danymi o rodzaju kupowanych produktów spożywczych i preferencjach dotyczących diety powiązane zostaną dane dotyczące sytuacji zdrowotnej danej osoby.

W takim przypadku, konieczne będzie najczęściej uzyskanie uprzedniej wyraźnej zgody osoby, której takie dane dotyczą. Osoba ta musi także zostać poinformowana o przetwarzaniu tych kategorii jej danych (co do zasady już na etapie ich zbierania). Stosowane zabezpieczenia powinny uwzględniać, iż profilowanie obejmuje tego rodzaju dane.

Zaostrzone wymogi prawne dotyczą nadto stosowania procesów automatycznego podejmowania decyzji (w tym opartego o profilowanie) wywołujących skutki prawne dla osoby, której dane dotyczą lub w inny podobny sposób istotnie na nią wpływają. Dotyczyć to może przykładowo sytuacji, gdy profilowanie przekładać się będzie na automatyczne podejmowanie decyzji skutkujących odmową zawarcia umowy, anulowaniem zamówienia, dyskryminacją, w tym różnicowaniem cen w oparciu o profile klientów.

Tego typu profilowanie wymagać będzie co do zasady, wyraźnej uprzedniej zgody osoby, której to dotyczy. Firma wykorzystująca takie procesy będzie musiała – już na etapie zbierania danych - poinformować te osoby o takim przetwarzaniu ich danych, w tym wyjaśnić w sposób zrozumiały zasady działania takiego procesu podejmowania decyzji, jak również zapewnić im możliwość zakwestionowania automatycznej decyzji i uzyskania interwencji ludzkiej przy ponownym jej podejmowaniu. Z uwagi na zwiększone ryzyka związane z takim rodzajem przetwarzania, firma, przed jego rozpoczęciem, zobowiązana będzie przeprowadzić procedurę tzw. oceny skutków dla ochrony danych. Ocena taka wymaga m.in. oceny niezbędności i proporcjonalności takich operacji, oceny ryzyk, zabezpieczeń, mechanizmów bezpieczeństwa oraz ich udokumentowania, jak również przeglądów tych ustaleń.

Jak prawnie zabezpieczyć firmę planującą korzystać z technik profilowania?

Firmy, które obecnie stosują profilowanie na potrzeby marketingu lub rozważają skorzystanie z takich technik, powinny więc zadbać o to, aby od dnia 25 maja 2018 r. proces ten spełniał wymogi RODO. Istotne jest przyjrzenie się zakresowi i rodzajowi wykorzystywanych w ten sposób danych, sposobom ich wykorzystywania, posiadanym zgodom oraz stosowanym zabezpieczeniom.

Nowa regulacja nakłada obowiązek wdrożenia stosownych procedur, które umożliwią w szczególności:

• zbieranie i przetwarzanie danych tylko w zakresie i przez czas, w jakim jest to uzasadnione;
• zbieranie koniecznych zgód i wypełnianie obowiązków informacyjnych wobec osób, których dane dotyczą;
• faktyczną realizację praw osób, których dane dotyczą (np. w razie zgłoszenia żądania wglądu do danych / tworzonych profili, usunięcia danych);
• monitorowanie i zgłaszanie naruszeń zasad ochrony danych;
• uwzględnianie zasad ochrony danych (zasady privacy by design i privacy by default) przy tworzeniu lub nabywaniu produktów, usług czy procesów (np. systemów informatycznych, aplikacji komputerowych).

Firmy nastawione na korzystanie z nowych technologii umożliwiających profilowanie, chcące skorzystać z zalet tych procesów we własnym marketingu, powinny więc rozważyć także formalno-prawne aspekty takich praktyk. Istotne jest, aby oczywiste i pożądane korzyści biznesowe związane z takimi technikami nie przesłoniły ryzyk, jakie wynikać mogą z niedostosowania takiej działalności do przepisów prawa.

¹ Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchyleniu dyrektywy 95/46/WE.

² Jeśli chodzi o profilowanie w oparciu o dane dotyczące korzystania z usług świadczonych drogą elektroniczną (np. numery IP, informacje o rozpoczęciu, zakończeniu lub zakresie usługi), to utworzenie profilu z wykorzystaniem takich danych identyfikujących daną osobę wymaga obecnie – zgodnie z polskim prawem – zgody tej osoby. Nadal obowiązuje bowiem przepis art. 19 ust. 4 ustawy o świadczeniu usług drogą elektroniczną wprowadzający taki wymóg w każdym takim przypadku, który jednak, w najbliższym czasie, w związku z rozpoczęciem stosowania RODO, może zostać uchylony (procedowany jest projekt ustawy uchylającej ten przepis).

Digital Marketing Newsletter 5/2018. Spis treści:

• Branża detaliczna okiem klienta w podejściu Omnichannel.
• Czy user experience można wykorzystać w retailu? Trzeba!
• Trendy technologiczne zmieniają retail.
• Jak prawnie zabezpieczyć firmę, która wykorzystuje profilowanie?