RODO: Podejmowanie zautomatyzowanych decyzji wpływających na sytuację jednostki wymaga nadzoru

Od 25 maja 2018 r. legalność profilowania osób fizycznych będzie uzależniona od spełnienia szeregu obowiązków. Naruszenie większości z nich jest zagrożone karą administracyjną w wysokości do 20 mln euro lub 4 proc. rocznego światowego obrotu z poprzedniego roku obrotowego.

Nowe Rozporządzenie o ochronie danych osobowych (RODO) („Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych”, Dz.Urz UE z 2016 r. L 119 s.1), które stanie się skuteczne 25 maja 2018 r., po raz pierwszy definiuje profilowanie i wielokrotnie się do niego odwołuje.

Czym jest profilowanie wg RODO?

Profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych polegającego na ocenie niektórych czynników osobowych osoby fizycznej, np. jej osobistych preferencji, sytuacji ekonomicznej, zdrowia, zainteresowań, wiarygodności, zachowania, etc. 

Profilowanie jest powszechne w branży reklamy internetowej, gdzie polega na zbieraniu informacji o zachowaniu poszczególnych użytkowników (tzw. tracking) oraz ich automatycznej analizie, zmierzających do wyświetlenia użytkownikom reklam dostosowanych do ich prawdopodobnych potrzeb i preferencji. Profilowanie odgrywa jednak coraz większą rolę także w innych sektorach, służąc np. do automatycznej oceny zdolności kredytowej, analizy ryzyka ubezpieczeniowego, czy też oceny przydatności kandydatów do pracy. Profilowanie może być także wykorzystywane do realizacji polityki dyskryminacji cenowej, polegającej np. na wyświetlaniu wyższych cen produktów osobom, które zostały sprofilowane jako zamożne (choć, jak wynika z opublikowanego niedawno raportu Komisji Europejskiej, praktyki te nie są jeszcze zbyt rozpowszechnione).

Zarówno na gruncie RODO, jak i zgodnie z aktualnie obowiązującymi przepisami, profilowanie podlega ogólnym regułom prawa ochrony danych osobowych. W szczególności oznacza to, że jego legalność zależy od istnienia odpowiedniej podstawy prawnej (w sektorze prywatnym z reguły będzie to uzasadniony interes administratora), a administrator musi stosować właściwe zabezpieczenia techniczne i organizacyjne. 

Szczególna sytuacja i cele marketingowe

W pewnych sytuacjach podmiot danych będzie mógł sprzeciwić się profilowaniu. Zgodnie z art. 21 ust. 1 RODO osoba, której szczególna sytuacja to uzasadnia, może wnieść sprzeciw wobec przetwarzania, „w tym profilowania”, prowadzonego w oparciu o uzasadniony interes publiczny, interes administratora lub interes osoby trzeciej (ale nie np. na podstawie wyraźnego upoważnienia ustawowego).  Z kolei zgodnie z art. 21 ust. 2 RODO osoba fizyczna może w każdej chwili i bez podania przyczyn sprzeciwić się przetwarzaniu jej danych na potrzeby marketingu bezpośredniego.

Ewentualna konieczność zaprzestania profilowania pojedynczej osoby zwykle nie będzie dla administratora szczególnie kłopotliwa. Kłopotliwe może okazać się natomiast skonstruowanie i wdrożenie mechanizmu pozwalającego na wyrażenie i uwzględnienie takiego sprzeciwu. Może to wymagać rozważenia już na etapie projektowania procesów i aplikacji wykorzystywanych do profilowania – zwłaszcza, że podmiot danych powinien mieć możliwość wyrażenia sprzeciwu za pomocą zautomatyzowanych środków  Z wdrożeniem odpowiednich mechanizmów nie warto zatem czekać do maja 2018 r.

Decyzje zautomatyzowane

Przedmiotem szczególnego zainteresowania prawodawcy unijnego jest profilowanie prowadzące do automatycznego podejmowania wobec jednostki decyzji, które „istotnie” na tę jednostkę wpływają. Można zakładać, że nie chodzi tu o decyzje, co do tego, jaką reklamę wyświetlić, lecz o decyzje o większym ciężarze gatunkowym, takie jak decyzja kredytowa, decyzja o zawarciu umowy ubezpieczenia czy decyzja o przyjęciu do pracy. Osoba, której dane dotyczą, „ma prawo do tego, by nie podlegać” takim decyzjom. Nie jest jasne, czy chodzi tu o prawo wyrażenia sprzeciwu, czy też o całkowity zakaz przetwarzania (podobna wątpliwość występuje na gruncie obecnie obowiązującej dyrektywy). Nieco światła na tę kwestię mogą rzucić wskazówki Europejskiej Rady Ochrony Danych, których wydanie antycypuje motyw 72 RODO.

Wspomniane uprawnienie nie przysługuje, jeśli taka automatyczna decyzja: a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem; b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator; lub c) opiera się na wyraźnej zgodzie (tj. zgodzie opt-in) osoby, której dane dotyczą. Pierwszy ze wskazanych wyjątków, choć potencjalnie najistotniejszy, również może rodzić wątpliwości interpretacyjne. Sytuacja, w której zautomatyzowane podjęcie decyzji jest obiektywnie niezbędne do zawarcia lub wykonania umowy zdarza się bowiem relatywnie rzadko (obecnie obowiązująca dyrektywa nie mówi o decyzji „niezbędnej”, lecz o decyzji „podjętej w trakcie” zawierania lub realizacji umowy). Polski ustawodawca jest jednak upoważniony do wprowadzenia do polskiego prawa wyraźnych upoważnień do podejmowania automatycznych decyzji opartych na profilowaniu (np. w sektorze bankowym i ubezpieczeniowym). W Ministerstwie Cyfryzacji trwają obecnie prace nad wdrożeniem RODO do porządku krajowego.

Natomiast podejmowanie zautomatyzowanych decyzji istotnie wpływających na sytuację jednostki w oparciu o dane wrażliwe (m.in. dane genetyczne, biometryczne i dane dotyczące zdrowia lub orientacji seksualnej) będzie dopuszczalne tylko za wyraźną zgodą podmiotu danych lub na podstawie wyraźnego upoważnienia ustawowego ze względu na ważny interes publiczny.

Informowanie - obowiązki wg RODO

Administrator będzie jednocześnie zobowiązany do poinformowania podmiotu danych – z własnej inicjatywy (niezależnie od źródła danych) oraz na żądanie tego podmiotu – o możliwości skorzystania z prawa do wyrażenia sprzeciwu wobec przetwarzania w związku ze szczególną sytuacją podmiotu danych i w celach marketingowych.

Administrator musi także przekazać podmiotowi danych informację o zautomatyzowanym podejmowaniu istotnych decyzji opartych na profilowaniu. Co więcej, administrator powinien wyjaśnić podmiotowi danych zasady podejmowania takich decyzji (co może niekiedy utrudnić utrzymanie poufności tajemnic przedsiębiorstwa), a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Aby realizacja tych obowiązków była możliwa od 25 maja 2018 r., odpowiednie klauzule informacyjne uwzględniające specyfikę działalności danego administratora powinny  być przygotowane odpowiednio wcześniej. 

Ocena skutków przetwarzania

Istotną nowością będzie obowiązek przeprowadzania przez administratora oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Taka ocena będzie obowiązkowa m.in. w przypadku „systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji […] znacząco wpływających na osobę fizyczną;”. Będzie zatem dotyczyła profilowania prowadzącego do podejmowania decyzji istotnych dla jednostki.

Celem oceny skutków przetwarzania jest ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą (np. ryzyka nieuprawnionego ujawnienia danych, ryzyka podjęcia błędnych decyzji), a także ustalenie środków ograniczenia tego ryzyka. Ocena skutków przetwarzania musi obejmować systematyczny opis planowanych operacji przetwarzania i celów przetwarzania oraz ustalenie, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów.

Ocena skutków przetwarzania musi być przeprowadzona przed rozpoczęciem operacji przetwarzania. Oznacza to, że legalne kontynuowanie po 25 maja 2018 r. profilowania prowadzącego do podejmowania decyzji istotnych dla jednostki będzie wymagało przeprowadzenia oceny skutków przetwarzania ze stosownym wyprzedzeniem.
 

Artykuł ukazał się w Dzienniku Gazecie Prawnej w ramach cyklu: Europejska Reforma Ochrony Danych osobowych (RODO) - Jak się do niej przygotować?

Autorzy: Jakub Łabuz, Maciej Marek