Poznaj wytyczne Grupy Roboczej Art. 29 w sprawie profilowania

Zgodnie z motywem 71 ogólnego rozporządzenia o ochronie danych (RODO) – jak również art. 4 ust. 4 RODO – profilowanie polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – jeśli wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa.

Profilowanie to przetwarzanie danych. Zgodnie z RODO przetwarzaniem danych osobowych jest bowiem każda operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany.

3 października 2017 r. Grupa Robocza Art. 29 zrzeszająca organy ochrony danych z Unii Europejskiej przyjęła wytyczne dotyczące profilowania. Dokument składa się z pięciu rozdziałów, w których kolejno omawiane są zagadnienia dotyczące:

1) definicji profilowania,

2) przepisów szczególnych dotyczących automatycznego podejmowania decyzji w indywidualnych przypadkach, w tym profilowania – co wprost koresponduje z art. 29 RODO,

3) ogólnych przepisów dotyczących profilowania i automatycznego podejmowania decyzji,

4) profilowania dzieci oraz

5) oceny wpływu na proces ochrony danych osobowych.

W załącznikach z kolei przedstawiono katalog dobrych praktyk w omawianym zakresie.

W swoich wytycznych Grupa Robocza Art. 29 podkreśla, że samo profilowanie czy też automatyczne podejmowanie decyzji, o czym mowa w art. 22 RODO, może być pozytywnym bodźcem wpływającym na mechanizmy gospodarczo-społeczne poprzez optymalizację różnorakich zasobów czy też czasu.

Odnosząc się do przytoczonej powyżej definicji profilowania zawartej w RODO, wskazano, że mechanizm profilowania składa się z trzech elementów:

1) forma przetwarzania jest zautomatyzowana,

2) profilowanie musi dotyczyć danych osobowych,

3) celem profilowania są indywidualne cechy osoby fizycznej.

Jednocześnie należy podkreślić, że przepisy regulujące profilowanie nie odnoszą się wyłącznie do w pełni automatycznego przetwarzania danych, chodzi również o jakąś jego część. Grupa Robocza Art. 29 posługuje się tu przykładem brokera.

Profilowanie to nie to samo co automatyczne podejmowanie decyzji w określonych przypadkach, o czym mowa w art. 22 RODO. Proces zautomatyzowanego podejmowania decyzji polega na całkowitym wykluczeniu z niego udziału człowieka. Ogólne rozporządzenie o ochronie danych (RODO) wyłącznie warunkowo pozwala na to, aby osoba, której dane dotyczą, podlegała decyzji podjętej w sposób opisany powyżej, wywołującej względem niej skutki prawne lub też inaczej, istotnie na tę osobę wpływającej. Dotyczy to trzech przypadków, gdy decyzja jest:

• niezbędna do zawarcia lub wykonania umowy pomiędzy tą osobą a administratorem danych,
• prawnie dozwolona,
• wydana za wyraźną zgodą osoby, której dane dotyczą.

Ostatni przypadek z praktycznego punktu widzenia może nieść za sobą najwięcej wątpliwości. Grupa Robocza Art. 29 sugeruje w tym przypadku rozumienie „wyraźnej zgody” jako konkretnego oświadczenia, a nie jakiegokolwiek zachowania czy też okazania woli człowieka. Wydaje się zatem, że w tego typu przypadkach zgody nie należy interpretować rozszerzająco, co mogłaby sugerować definicja legalna zgody zawarta w art. 4 ust. 11 RODO. Tym samym omawiany proces charakteryzuje się podejmowaniem decyzji za pomocą odpowiednich środków technicznych, bez jednoczesnego udziału człowieka.

Grupa Robocza Art. 29 zwraca uwagę na ograniczenie możliwości profilowania dzieci. Odwołuje się w tym miejscu do motywu 71 RODO, z którego wprost wynika, że profilowanie, którego częścią będzie proces automatycznego podejmowania decyzji, nie powinno dotyczyć dzieci. Jednocześnie też Grupa Robocza Art. 29 podkreśla istotę motywu 38 RODO. Wynika z niego konieczność szczególnej ochrony przetwarzania danych osobowych dzieci, zwłaszcza gdy chodzi o tworzenie profili osobowych dzieci lub profili użytkownika aplikacji skierowanych przede wszystkim do dzieci. Grupa Robocza Art. 29 dopuszcza jednak tę metodę w przypadkach, w których będzie chodziło o bezpieczeństwo i dobro dziecka.

W odniesieniu do praw osoby, której dane dotyczą, poddawanej profilowaniu Grupa Robocza Art. 29 bardzo stanowczo akcentuje prawo do informacji wypływające wprost z motywu 60 RODO, ze szczególnym uwzględnieniem poinformowania o fakcie profilowania oraz o konsekwencjach takiego profilowania. Spełnienie tego obowiązku względem osoby, której dane dotyczą, ma zapewnić rzetelny i przejrzysty proces przetwarzania danych osobowych tej osoby.

Grupa Robocza Art. 29 podkreśla też wagę prawa dostępu do danych, w tym szczegółowego pozyskania informacji o:

• zautomatyzowanym procesie podejmowania decyzji,
• profilowaniu,
• zakresie danych wykorzystywanych w tym celu,
• zasadach takiego przetwarzania danych osobowych,
• znaczeniu i przewidywanych konsekwencjach dla osoby, której dane są przetwarzane,
• uprawnieniach do swoistej formy nadzoru nad tym procesem.

Grupa Robocza Art. 29 przypomina także o prawie do sprostowania, usuwania i ograniczenia przetwarzania danych osobowych. Realizowanie tych praw odnosi się zarówno do tzw. danych wejściowych, jak i wyjściowych w ramach budowania profilu osobowego i ma zapewnić poprawność wykorzystywanych danych osobowych.