Obowiązki informacyjne wobec osób profilowanych - RODO 2018

Przetwarzanie danych osobowych przy użyciu zautomatyzowanych narzędzi podejmowania decyzji – w tym profilowania, czyli oceny czynników osobowych osoby fizycznej – jest coraz powszechniejszym zjawiskiem. Marketing i branża reklamowa, bankowość, ubezpieczenia, ochrona zdrowia – to tylko niektóre z sektorów, gdzie korzysta się już z operacji profilowania.

Ma to, oczywiście, związek z dynamicznym rozwojem technologicznym i praktycznie nieograniczonymi możliwościami gromadzenia i analizowania danych. Profilowanie skutecznie pomaga w analizie i wyciąganiu wniosków z zebranych danych. Problem jednak w tym, że osoby, których dane dotyczą, często nie są nawet świadome, że tego typu operacje są dokonywane na ich danych osobowych – trudno im więc korzystać z przysługujących im praw związanych z przetwarzaniem ich danych i kwestionować dla przykładu trafność takich operacji. A jeśli konkretnej osobie zostaną przypisane nieprawidłowe atrybuty, może to w konsekwencji doprowadzić do sytuacji, w której przetwarzane dane są po prostu niepoprawne.

Dlatego ogólne rozporządzenie o ochronie danych szczególny nacisk kładzie na operacje przetwarzania przy użyciu technik profilowania, w sytuacji kiedy to przetwarzanie:

- jest zautomatyzowane,

- dokonywane jest na danych osobowych,

- ma na celu analizę lub prognozę aspektów dotyczących efektów pracy osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Polecamy: RODO. Ochrona danych osobowych. Przewodnik po zmianach

Co do zasady, każda osoba, której dane dotyczą, ma prawo, by nie podlegać decyzji opierających się na przetwarzaniu zautomatyzowanym – w tym profilowaniu – i wywołującej dla niej określone skutki prawne (np. brak możliwości udzielenia kredytu). Rozporządzenie wyraźnie wskazuje więc sytuacje, w których profilowanie będzie możliwe, tj.:

- kiedy jest to niezbędne do zawarcia lub wykonania umowy,

- przepis prawa na to zezwala,

- osoba, której dane dotyczą, udzieliła wyraźnej zgody.

W każdym z powyższych przypadków od administratora danych oczekuje się wdrożenia środków technicznych i organizacyjnych mających na celu właściwe i bezpieczne przetwarzanie danych przy użyciu technik profilowania. Szczególnie jeśli do profilowania używa się szczególnych kategorii danych osobowych (danych wrażliwych) lub danych osobowych dzieci. Wszystkie zasady przetwarzania danych (jak zasada adekwatności czy ograniczonego celu) również będą miały tu zastosowanie.

Zobacz również: Prawo administracyjne

Przede wszystkim należy poinformować osobę, której dane dotyczą, o fakcie profilowania oraz o konsekwencjach takiego profilowania – w szczególności o zasadach podejmowania decyzji, znaczeniu i konsekwencjach profilowania. Pamiętać należy także o możliwości złożenia – w dowolnym momencie i bezpłatnie – sprzeciwu wobec przetwarzania danych, szczególnie jeśli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego. Innym obowiązkiem będzie również dokonanie oceny skutków regulacji dla operacji przetwarzania wykorzystujących profilowanie.

Jeśli wykorzystujesz zautomatyzowane systemy do podejmowania decyzji wobec osób, których dane dotyczą (w tym do ich profilowania), zwróć szczególną uwagę na obowiązki, z których wywiązywania będziesz się musiał wykazać już 25 maja 2018 r. Szczególną uwagę poświęć analizie tego, jak spełnisz obowiązki informacyjne wobec osób, które profilujesz.