Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Definicja i skutki profilowania w przepisach rodo

26-02-2018 Autor: Elżbieta Niezgódka

Dotychczasowe regulacje ograniczające proces automatyzacji nie odnosiły się bezpośrednio do profilowania. Rodo, które zacznie być stosowane od 25 maja 2018 r., wprowadza nie tylko definicję profilowania, ale nakłada szereg obowiązków na podmioty profilujące.

 

Profilowanie może być rozumiane na dwa sposoby. Po pierwsze, jako proces polegający na wydobywaniu informacji o osobie ze zbiorów danych i łączeniu ich za pomocą profili (profilowanie sensu stricto), po drugie, jako wykorzystywanie zebranych informacji (profili) w celu podjęcia wobec osoby profilowanej określonych decyzji (profilowanie sensu largo)1. Elementem odróżniającym profilowanie sensu stricto i sensu largo jest pojawienie się podejmowania decyzji (najczęściej wobec osoby fizycznej), które będzie nakładało na podmiot profilujący obowiązki uregulowane w przepisach rodo2.

Pojęcie profilu

Z profilowaniem ściśle powiązane jest pojęcie profilu, które jednak w przeciwieństwie do samego procesu profilowania nie zostało objaśnione w rodo. Komitet Ministrów Rady Europy określił tym terminem zestaw wzorcowych danych charakteryzujących kategorię osób, który ma zostać zastosowany w odniesieniu do danej osoby w celu przypisania jej dodatkowych cech typowych dla tej kategorii3.

Profile same w sobie nie opisują rzeczywistości, lecz wykrywają wiedzę poprzez agregację, wydobywanie i czyszczenie danych. Bazują na występujących pomiędzy danymi korelacjach, których nie sposób utożsamiać z ich przyczynami bez dalszego zbadania, gdyż są wiedzą opartą na prawdopodobieństwie. Profilowanie określane jest jako nowy typ wiedzy, pozwalający dostrzec wzorce „niewidoczne dla nagiego ludzkiego oka”4.

Utworzenie profilu może być wynikiem dwóch rodzajów czynności podejmowanych przez administratora na zbiorach danych.

  • Pierwsza grupa obejmuje tworzenie profilu o osobie na podstawie informacji pochodzących z różnych źródeł. W tym wypadku podmiot profilujący musi opierać się na danych, co do których jest pewien, że dotyczą tej samej osoby. Ten sposób tworzenia profili stosowany jest np. w celu przygotowania oferty dla klienta, dokonania oceny zdolności kredytowej czy ryzyka ubezpieczeniowego.
  • Druga grupa czynności podejmowanych przez administratora danych osobowych obejmuje wyciąganie wniosków o osobie na podstawie statystycznie przypisanych jej cech. Zakłada się, że jeśli osoba wykazuje cechę A, to prawdopodobnie (na podstawie badań statystycznych) wykazuje również cechę B i C5. Typowym przykładem tego rodzaju profilowania jest działanie firmy Amazon, która profiluje swoich klientów, opierając się na danych pozyskiwanych przez narzędzia cookies lub danych pochodzących z indywidualnego konta użytkownika. W trakcie przeglądania strony internetowej użytkownikowi wyświetlana jest spersonalizowana rada zakupu wybranych książek wraz z komunikatem o treści „ludzie, którzy kupili tę książkę, kupili również te inne”6.

 

Definicja profilowania na gruncie rodo

Nowością w stosunku do dyrektywy 95/46/WE7 jest wprowadzenie przez europejskiego prawodawcę legalnej definicji profilowania. Zgodnie z nią profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczenia się (art. 4 pkt 4 rodo).

Aby dany proces został uznany za profilowanie, muszą zostać spełnione trzy przesłanki:

  • proces przetwarzania musi odbywać się na podstawie danych osobowych;
  • przetwarzanie danych osobowych musi mieć formę zautomatyzowaną;
  • celem przetwarzania danych osobowych ma być ocena niektórych czynników osobowych osoby fizycznej.

Definicja ta obejmuje wyłącznie właściwy proces profilowania (sensu stricto). Tym samym profilowaniem będzie samo stworzenie profilu bez elementu podejmowania decyzji na tej podstawie.

Najwięcej trudności może stanowić rozstrzygnięcie, czy określony proces profilowania jest zautomatyzowany. Prawodawca unijny w rodo nie określa, co należy rozumieć przez pojęcie zautomatyzowanego przetwarzania danych osobowych oraz w jakim zakresie udział człowieka wpłynie na zastosowanie przepisów.

Słownik języka polskiego wskazuje, że automatyczny to działający samoczynnie za pomocą odpowiedniego urządzenia, wykonywany lub regulowany za pomocą automatu, wykonywany lub powstający bez świadomości i woli, będący nieuchronnym następstwem lub naturalną konsekwencją czegoś8. Definicje automatyzacji wskazują, że jej celem jest znaczne ograniczenie bezpośredniego udziału człowieka zarówno w pracy fizycznej, jak i umysłowej oraz sprowadzenie jego roli do wykonywania ogólnego nadzoru9.


Profilowanie będzie automatyczne, gdy proces przetwarzania danych osobowych, począwszy od zbierania informacji, a kończąc na etapie podejmowania decyzji, zostanie pozbawiony realnego wpływu człowieka.

 

[...]

Autorka jest adwokatem, doktorantką na Wydziale Prawa i Administracji Uniwersytetu Kardynała Stefana Wyszyńskiego w Warszawie.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.