Kolejnym po ograniczeniu przetwarzania rodzajem operacji na danych osobowych, któremu ustawodawca poświęcił szczególną uwagę, jest profilowanie.

Zgodnie z art. 4 pkt 4, profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Profilowanie to rodzaj przetwarzania danych osobowych, który cechują następujące elementy (kumulatywnie):

  1. odbywa się automatycznie;
  2. dotyczy danych osobowych;
  3. służy wyciąganiu wniosków na temat czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy.

Z powyższej definicji wynika, że każde profilowanie będzie automatycznym przetwarzaniem danych, ale automatyczne przetwarzanie danych jest pojęciem szerszym i zawiera w sobie także inne rodzaje przetwarzania.

Profilowanie powszechnie wykorzystywane jest w handlu internetowym, opiece zdrowotnej, sektorach finansowych, ubezpieczeniowych i bankowych. Umożliwia wyciąganie wniosków dotyczących konkretnej osoby fizycznej nie tylko na podstawie danych, które sama nam udzieliła, ale także w oparciu o informacje zebrane np. przez administratora systemu zarządzającego danymi tej osoby.

Wyróżnia się dwa rodzaje profili (w tekście rozporządzenia mowa o prognozie lub analizie) – profile predykcyjne tworzone na podstawie obserwacji zachowania użytkowników oraz profile jawne, których podstawą są dane osobowe przekazywane przez osoby zainteresowane.

Zarówno preambuła RODO, jak i jego właściwa treść, wielokrotnie odwołują się do profilowania wskazując, że jest to problem istotny z punktu widzenia dalszego rozwoju społeczeństwa informacyjnego. Motyw 71 preambuły podkreśla, że w celu zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą, mając na uwadze konkretne okoliczności i kontekst przetwarzania danych osobowych, administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiegający m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny, orientację seksualną lub skutkujący środkami mającymi taki efekt. Zautomatyzowane podejmowanie decyzji i profilowanie oparte na szczególnych kategoriach danych osobowych powinny być dozwolone wyłącznie przy zachowaniu szczególnych warunków.

Zachęcam do dyskusji i podsyłania propozycji na kolejne opracowania związane z RODO!

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. A. Dmochowska, M. Zadrożny, Unijna reforma ochrony danych osobowych. Analiza zmian, C.H. Beck, 2016;
  3. M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, C.H. Beck, 2016;
  4. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *