Analizy

Profilowanie i zautomatyzowne przetwarzanie danych według RODO

Nowe obowiązki dla administratorów danych osobowych

Biuletyn prawny: Finanse i bankowość | Grudzień 2017

Obecnie obowiązujące przepisy o ochronie danych osobowych nie zawierają legalnej definicji profilowania ani nie wyróżniają profilowania jako oddzielnej operacji związanej z przetwarzaniem danych osobowych. Już od 25 maja 2018 r. znajdą zastosowanie przepisy RODO, które zawierają zarówno legalną definicję profilowania, jak również określają zasady odnoszące się do tego rodzaju operacji przeprowadzanych na danych osobowych.

Profilowaniem można określić proces, który polega na opracowywaniu statystycznych predykcji odnoszących się do osób fizycznych (metoda kategoryzowania osób i przetwarzania informacji). Jest to proces często używany do tworzenia prognoz w odniesieniu do ludzi, na podstawie danych pozyskiwanych z różnych źródeł, czy do wnioskowania o tych osobach na podstawie danych dotyczących innych osób, które można uznać za statystycznie podobne.

Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej „RODO”), profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy:

  • aspektów dotyczących efektów pracy tej osoby fizycznej;
  • jej sytuacji ekonomicznej;
  • zdrowia;
  • osobistych preferencji;
  • zainteresowań;
  • wiarygodności;
  • zachowania;
  • lokalizacji; lub
  • przemieszczania się.

Zgodnie z tą definicją do profilowania dochodzi wtedy, gdy administrator dokonuje oceny jakichkolwiek czynników osobowych jednostki. Ocena może dotyczyć zarówno obecnej sytuacji osoby, jak i prognozy wystąpienia określonego zdarzenia - zachowania czy cechy (predykcja).

Różnica pomiędzy pojęciem „profilowania” i „zautomatyzowanym przetwarzaniem danych”.

Za pomocą zautomatyzowanego przetwarzania danych osobowych w przeciwieństwie do profilowania nie dokonuje się oceny czynników osobowych podmiotu danych, przez co zautomatyzowane przetwarzane danych osobowych jest pojęciem znacznie szerszym niż „samo” profilowanie (zob. M. Ciechomska, Prawne aspekty profilowania..., s.38). Można powiedzieć, że w praktyce profilowanie stanowi swoistą podkategorię zautomatyzowanego przetwarzania danych.
Profilowanie ma miejsce, kiedy administrator dokonuje oceny czynników osobowych jednostki zarówno w obecnej sytuacji, jak i prognoz określonego zachowania na podstawie zautomatyzowanego mechanizmu profilowania.

Czy każde profilowanie będzie podlegało pod RODO?

Wydaje się, że nie każde profilowanie danych osobowych będzie objęte zakresem RODO, ale wyłącznie takie, które spełnia łącznie przesłanki dotyczące sposobu przetwarzania danych („dowolna forma automatycznego przetwarzania danych osobowych”) oraz celu wykonywania tych operacji („ocena niektórych czynników osoby fizycznej”).

Tym samym wydaje się, że profilowaniem niepodlegającym pod RODO będą operacje polegające np. na tworzeniu profili osób fizycznych, które nie są oparte na zautomatyzowanym przetwarzaniu danych.

Komentarz Deloitte Legal:

Obecnie obowiązujące przepisy o ochronie danych osobowych nie zawierają legalnej definicji profilowania ani nie wyróżniają profilowania jako oddzielnej operacji związanej z przetwarzaniem danych osobowych. Już od 25 maja 2018 r. znajdą zastosowanie przepisy RODO, które zawierają zarówno legalną definicję profilowania, jak również określają zasady odnoszące się do tego rodzaju operacji przeprowadzanych na danych osobowych. Należy podkreślić, że RODO nie wprowadza zakazu profilowania, jednakże wprowadza prawa podmiotów danych, których dotyczy profilowanie oraz nakłada obowiązki związane z profilowaniem na administratorów danych. Wykorzystywanie profilowania odgrywa coraz większą rolę w rozwoju polskiej gospodarki, ze względu na fakt operowania przez przedsiębiorstwa na coraz większej liczbie danych i informacji o osobach.

Podsumowując, proces profilowania osób np. w celu oceny wiarygodności płatniczej (sektor bankowy), czy tworzenia baz klientów do sprzedaży konkretnych ofert (sektor telekomunikacyjny), w obliczu RODO, powinien zostać wnikliwie przeanalizowany, zarówno pod kątem wspomnianych praw osób, których profilowanie dotyczy jak również obowiązków administratorów, którzy wykorzystują profilowanie.

Podstawa prawna:
1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) ((Dz. Urz. UE L 119 z 4.05.2016, z późn. zm.).

Autor:
Karol Warzecki, Aplikant adwokacki, Senior Associate, Deloitte Legal

Subskrybuj "Biuletyn prawny: Finanse i bankowość"

Subskrybuj na e-mail powiadomienia o nowych wydaniach tego biuletynu.

Czy ta strona była pomocna?