Profilowanie według RODO

Olga Jaworowska, Specjalista ds. ochrony danych osobowych iSecure Sp. z o.o.
opublikowano: 19-12-2018, 22:00

Rozwój technologii, z którym mamy obecnie do czynienia, sprawił, że szeroko pojęci przedsiębiorcy mają możliwość dokładnego badania preferencji konsumentów, m.in. przez algorytm używany do ustalenia korelacji.

Z punktu widzenia ochrony danych osobowych działania te niosą za sobą wiele zagrożeń, które polegają głównie na naruszaniu prywatności osób fizycznych, ograniczaniu ich wolności i swobody wyboru produktów lub usług, a nawet — w skrajnych przypadkach — nieuzasadnionej dyskryminacji. Państwa członkowskie UE, w obawie przed zagrożeniami dla praw i wolności osób fizycznych, uznały, że konieczne jest doprecyzowanie przepisów o profilowaniu.

RODO odnosi się do dwóch sposobów profilowania — z udziałem czynnika ludzkiego oraz zautomatyzowanego, w którym cały proces oceny oraz podjęcie decyzji są dokonywane przez program komputerowy. Właściciel procesów profilowania winien przestrzegać podstawowych zasad ochrony danych osobowych poprzez zbieranie danych jedynie adekwatnych i niezbędnych do celów przetwarzania. Wyznaczone cele przetwarzania powinny być konkretne i prawnie uzasadnione, zaś dane przechowywane przez okres nie dłuższy niż jest to niezbędne do celów przetwarzania. W obu przypadkach właściciel procesu profilowania zobowiązany jest jasno i precyzyjnie poinformować osobę fizyczną o procesie — jaki jest jego cel, jakie są jego zasady, znaczenie, grożące konsekwencje, a także czy dokonywany jest w sposób wyłącznie zautomatyzowany. Gdy mowa o tym ostatnim sposobie profilowania, to osoba fizyczna ma prawo nie podlegać decyzji podejmowanej wyłącznie w sposób zautomatyzowany, która ocenia jej czynniki osobowe i wywołującej wobec niej skutki prawne — chyba że istnieje podstawa prawna do wszczęcia i prowadzenia profilowania w formie zgody, umowy lub przepisu prawa.

Dodatkowo jest zobowiązany zapewnić, by przetwarzanie było odpowiednio zabezpieczone środkami ochrony praw, wolności i prawnie uzasadnionych interesów osoby, m.in. poprzez prawo do uzyskania interwencji człowieka, do wyrażenia własnego stanowiska, do uzyskania wyjaśnienia co do decyzji wynikającej z takiej oceny oraz prawo do zakwestionowania takiej decyzji. Powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki które zapewniają korektę nieprawidłowości i zmniejszenie ryzyka błędów.

Co więcej, ma za zadanie, na żądanie osoby, której dane dotyczą, umożliwić dostęp do informacji o profilu oraz o segmencie, do którego została zakwalifikowana dana osoba. Nie bez znaczenia pozostaje konieczność realizacji m.in. prawa do sprzeciwu wobec przetwarzania czy obowiązek prowadzenia oceny skutków dla ochrony danych w związku z zakwalifikowaniem profilowania jako działania o wzmożonym ryzyku naruszenia ochrony danych osobowych. Pomimo wymienionych obostrzeń wydaje się, że wszystkie powyższe działania nie odstraszą właścicieli procesów profilowania, przez co stanie się ono standardowym elementem działalności każdego nastawionego na postęp i zysk przedsiębiorstwa.

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Olga Jaworowska, Specjalista ds. ochrony danych osobowych iSecure Sp. z o.o.

Polecane

Inspiracje Pulsu Biznesu

Tematy