Profilowanie regulują dwa unijne akty. Pierwszy to rekomendacja Rady Europy (2010)/13 z 23 listopada 2010 r. w sprawie ochrony osób w związku z automatycznym przetwarzaniem danych osobowych. Drugi to unijne rozporządzenie parlamentu europejskiego i rady (ue) 2016/679 z 27 kwietnia 2016 r*, czyli RODO. Jakie są między nimi różnice? Otóż rekomendacja Rady Europy dotyczy wyłącznie profili polegających na dołączaniu do informacji, która dotyczy danej osoby, dodatkowych danych, statystycznie prawdziwych dla tego typu osób. Natomiast RODO wymienia dwa rodzaje profilowania: „zwykłe” dopuszczalne na podstawie usprawiedliwionego celu oraz na potrzeby zautomatyzowanych decyzji (art. 22).
Zgodnie z art. 22 RODO osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Powstaje pytanie co oznacza w podobny sposób istotnie na nią wpływa. Jeśli np. ktoś na portalu randkowym podaje, że lubi pijących białe wino i nie pozna swojej drugiej połówki, która pije czerwone, a tym samy przekreśli swoją życiową szansę, to będą inne skutki? Druga sytuacja, gdy podajemy swoje dane, chcąc uzyskać kredyt, i z automatu utrzymujemy decyzje odmowną? Czy to są inne skutki? W moim przekonaniu w pierwszym przypadku – nie, ale w drugim już tak. Skutkiem prawnym jest bowiem zawarcie umowy na określonych warunkach Nie zawarcie umowy nim już nie jest. I dlatego w art. 22 chciano doprecyzować sytuację, gdy dostajemy odmowną decyzję na podstawie automatycznego profilowania. Kolejne pytanie dotyczy tego, czy klient może sprzeciwić się zestawieniu danych o nim z Biura Informacji Kredytowej. W tej sytuacji jednak można odmówić. Takie profilowanie jest bowiem przeprowadzane w usprawiedliwionym celu. I w takim przypadku interes administratora danych przeważa nad osoby prywatnej. Zgodnie bowiem z art. 21 RODO po wniesieniu sprzeciwu administratorowi nie wolno przetwarzać danych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Jeśli jest zatem podstawa prawna profilowania, sprzeciw będzie bezskuteczny. Podobnie jeśli firma uzasadni, że jest ono niezbędne. Na przykład ubezpieczyciele mogą twierdzić, że skoro istota zawarcia umowy ubezpieczenia jest oszacowanie ryzyka, to profilowanie ubezpieczonego jest niezbędne. I tu nie ma wątpliwości. Pojawiają się jednak, jak traktować zbieranie informacji na etapie szacowania szkód. Tu jeszcze odpowiedzi nie znamy.
Warto pamiętać, że całkiem inaczej będzie w przypadku tzw. targetowania, czyli profilowania baz danych po to, aby wysłać jakąś ofertę wybranym osobom. Takie wysłanie oferty nie niesie za sobą skutku prawnego, nie jest też prowadzone w usprawiedliwionym celu. Nie można uzasadniać bowiem, że podmiot dokonał segmentacji, gdyż wysyłanie oferty z drogim produktem studentom myli się z celem. Biedny student i tak z niej nie skorzysta. W takiej sytuacji, gdy osoba wniesie sprzeciw na profilowanie, trzeba go uwzględnić. Oznacza to, że w bazie danych musi być możliwość odhaczenia, że dana osoba nie życzy sobie „profilowania” Art. 21 RODO mówi bowiem wyraźnie, że jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów. Stąd na branżę marketingową padł strach po przyjęciu RODO.
* Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu.
Sprzeciw na profilowanie nie zawsze uzasadniony
Zestawianie danych o kliencie z Biura Informacji Kredytowej jest przeprowadzane w usprawiedliwionym celu. I w tej sytuacji wniesienie sprzeciwu przez klienta będzie bezskuteczne przekonuje Xawery Konarski, adwokat, starszy partner w kancelarii Traple, Konarski, Podrecki.