Jakie dane o nas wolno zbierać i kiedy jest to zabronione?
Wraz z rozpoczęciem serii artykułów dotykających problematyki RODO, nieustannie napływają do mnie zapytania o tzw. profilowanie w świetle w/w rozporządzenia unijnego. Pytacie, czy RODO w ogóle porusza tą tematykę, a jeśli tak to w jakim zakresie jego postanowienia odnoszą się do profilowania, a w jakim zostaje one „wolne” od jego postanowień. Dziś postanowiłem w krótki i przystępny sposób omówić tę kwestię, a tym samym udzielić odpowiedzi na Wasze pytania. Zapraszam do lektury.
Zacznijmy od wytłumaczenia kwestii podstawowych. Czymże zatem w ogóle jest profilowanie? Profilowanie jest szczególnym rodzajem przetwarzania danych osobowych. Przetwarzanie tychże danych odbywa się bowiem:
- w sposób automatyczny,
- ma na celu ocenę osoby fizycznej lub przewidywanie jej zachowania.
Najlepiej znanym nam przykładem pierwszego z w/w punktów, z którym to każdy z nas ma na co dzień do czynienia jest automatyczny dobór reklam na stronie internetowej w oparciu o wcześniejszą aktywność na stronie danego jej użytkownika. Przykładem zaś drugiego z w/w punktów jest automatyczne obliczenie składki ubezpieczeniowej w oparciu o dane podane przez użytkownika na stronie internetowej. Profilowanie najczęściej jest więc wykorzystywane jako narzędzie dla tzw. automatycznego podejmowania decyzji wobec osób, których dane dotyczą. Te decyzje to właśnie wyświetlenie konkretnej reklamy w oparciu o profil konkretnego użytkownika, czy dokonanie obliczenia wysokości składki ubezpieczeniowej.
Po objaśnieniu czym właściwie jest profilowanie, nadszedł czas na umieszczenie jego problematyki w kontekście RODO. Zgodnie więc z jego przepisami, jeżeli to automatyczne podejmowanie decyzji wywołuje skutki prawne wobec osób, których dane te dotyczą, lub w podobny istotny sposób wpływa na te osoby, można taki mechanizm stosować wyłącznie wtedy, gdy spełniony jest co najmniej jeden z następujących warunków:
- osoba profilowana wyrazi na to wyraźną zgodę,
- profilowanie jest niezbędne do zawarcia lub wykonywania umowy z tą osobą,
- profilowanie jest dopuszczalne przez szczególne przepisy prawa.
Jak wynika z powyższego wystarczającym jest wystąpienie tylko jednej z w/w podstaw, by profilowanie odbywało się zgodnie z RODO. W tym miejscu warto zauważyć, profilowanie zawsze wymaga poinformowania o tym osób, które są profilowane. Informacja ta może np. przybrać formę klauzul informacyjnej czy stosownego zapisu regulaminu danego portalu. Forma zawiadomienia użytkownika o dokonywanym profilowaniu jest dowolna. Musi jednak ona być dostępna i zrozumiała dla każdego, kto podlegać będzie procesowi profilowania.
Przykładem obrazującym kiedy w rzeczywistości automatyczne podejmowanie decyzji może wywoływać wobec nas skutki prawne bądź w posobny istotny sposób na nas wpływać jest sytuacja, w której dochodzi do automatycznego odrzucenia przez określony system wniosku kredytowego złożonego za pośrednictwem strony internetowej wyłącznie w oparciu o automatyczne przetwarzanie danych osoby, której dane dotyczą. Jest tak dlatego, iż decyzja „komputera” wprost pozbawia taką jednostkę możliwości zawarcia umowy kredytu, a zatem istotnie wpływa na jej życie.
Nie wywołuje więc żadnych skutków prawnych wobec jednostki (oczywiście wyłącznie co do większości przypadków) automatyczny dobór reklam na stronie internetowej w oparciu o wcześniejszą ich aktywność na tej stronie. Oznacza to więc, że w tym zakresie nie jest konieczne spełnienie żadnych z w/w przeze mnie 3 przesłanek. Można więc niejako pokusić się o stwierdzenie, że w tym przypadku RODO nie znajdzie zastosowania.
Jeżeli natomiast profilowanie miałoby się odbywać w oparciu o szczególne kategorie danych osobowych, a więc tzw. dane wrażliwe (do których zaliczamy w szczególności dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej) wówczas jedyną podstawą prawną, która mogłaby takie profilowanie zalegalizować, może być wyłącznie szczególny przepis prawa. W innym przypadku – zbieranie i profilowanie tego rodzaju treści należy bezwzględnie uznać za niezgodne z prawem.