Informowanie o profilowaniu

RODO ustanawia też obowiązki związane z profilowaniem. Wymaga poinformowania użytkowników o profilowaniu – i to niezależnie od tego, czy zgoda na profilowanie jest w danym przypadku wymagana, czy nie.

Ważne

Przy każdym zapisie na listę e-mailingową będzie trzeba poinformować, że to, jak dana osoba czyta newslettery, jest analizowane w celu dopasowania treści wiadomości do preferencji subskrybenta.


Ponadto trzeba będzie pamiętać o „ważeniu interesów” oraz o zasadzie „minimalizacji danych”.
 

Przykład

Przedsiębiorca wysyłający kampanie e-mail będzie musiał zastanowić się, czy zbiera i analizuje tylko te dane, które rzeczywiście są potrzebne do „dostarczania najlepiej dopasowanych newsletterów”.


Informowanie o stosowanym profilowaniu nie będzie musiało polegać na udostępnianiu stosowanych przez siebie algorytmów. Wręcz przeciwnie, należy zadbać o to, by informacja była zrozumiała dla osoby, która nie zna się na informatyce ani na marketingu czy prawie. Należy również pamiętać o tym, by zawsze poinformować o prawie do sprzeciwu wobec profilowania.

Przykładowa informacja o profilowaniu reklam dla klientów e-sklepu (może być zawarta w polityce prywatności albo wysyłana e-mailem, np. zaraz po dokonaniu pierwszego zakupu przez klienta – sposób przekazania tej informacji nie jest narzucony przez RODO):

Drogi kliencie, gdy dokonujesz u nas zakupu, np. butów sportowych i czerwonego płaszcza zimowego, zapisujemy tę infor­mację. Jeśli jednocześnie zapisałeś się do naszego news­lettera, to na podstawie historii Twoich zakupów w e-mailach zaproponujemy Ci kolejne produkty, które naszym zdaniem będą pasowały do Twoich preferencji. Np. skoro lubisz sport, to czasem prześlemy Ci ofertę sprzętu sportowego. A skoro lubisz czerwony płaszcz, to być może na wiosnę zaproponujemy Ci czerwoną kurtkę.

Jeśli nie podoba Ci się takie nasze działanie, daj nam znać, pisząc [tutaj]. Masz zawsze prawo do sprzeciwu wobec auto­matycznego dopasowywania przez nas ofert dla Ciebie. Możesz też żądać ograniczenia przez nas przetwarzania danych o Tobie lub w ogóle zaprzestania przetwarzania Twoich danych na cele marketingowe.

Co zrobić, jeśli klient wyrazi sprzeciw wobec profilowania, ale nie wypisze się z newslettera?

Jeśli klient wyrazi sprzeciw wobec profilowania, ale nie wypisze się z newslettera, należy zaprzestać przesyłania mu „spersonalizowanych” ofert (dopasowanych do preferencji, płci, wieku itd.). Można wówczas przesyłać mu tylko ogólne newslettery.

Dyskusje o profilowaniu

Trzeba pamiętać, że Unia Europejska, oprócz RODO, planuje wprowadzenie drugiego aktu prawnego regulującego zagadnienia danych osobowych – rozporządzenia e-Privacy[1]. Najprawdopodobniej wejdzie ono w życie również w 2018 r.

Obecny projekt tego rozporządzenia przewiduje zasadę ochrony poufności danych pochodzących z komunikacji elektronicznej. Obejmuje ona zarówno treść komunikacji elektronicznej, czyli tekst, głos, dźwięk, obraz itd., jak i metadane pochodzące z komunikacji, takie jak: data, godzina, czas trwania rozmowy czy dane lokalizacyjne. Jeśli
chodzi o metadane – najbardziej przydatne z punktu widzenia profilowania – rozporządzenie e-Privacy najprawdopodobniej będzie dopuszczało ich przetwarzanie wyłącznie, jeśli:

  • jest niezbędne dla realizacji usługi lub naliczania opłat z nią związanych,
  • jest konieczne dla zapewnienia bezpieczeństwa IT,
  • użytkownik wyraził na to zgodę.

Projekt rozporządzenia e-Privacy przewiduje również zmiany w zakresie plików cookies:

  • Nie trzeba będzie uzyskiwać zgody na wykorzystywanie cookies do przechowywania i zapisywania danych, które będą „dokonywane” przez samego użytkownika. Zniknie więc potrzeba wyświetlania na stronie www komunikatów dotyczących instalacji „ciasteczek”, które nie wkraczają w sferę prywatności użytkownika, np. mających na celu zapamiętanie wybranego przez niego języka strony lub zawartości koszyka w sklepie internetowym.
  • Zgoda na cookies będzie mogła przybrać postać opt-out, tzn. tak jak obecnie – domyślna będzie zgoda na wykorzystanie cookies, a brak zgody na ciasteczka będzie mógł być wyrażony poprzez zmianę ustawień przeglądarki.
  • W dniu wejścia w życie rozporządzenia e-Privacy każda nowo instalowana przeglądarka będzie musiała wyświetlić użytkownikowi informację o tym, jakie cookies wiążą się z instalacją tej przeglądarki oraz poinformować o możliwości zmiany ustawień. Dla oprogramowania, które było już zainstalowane wcześniej, producenci będą musieli wprowadzić aktualizację, która przekaże użytkownikom te same informacje. Najprawdopodobniej znikną więc w ogóle z internetu komunikaty o cookies, które obecnie spotyka się na każdej stronie www. Zamiast tego odpowiednie komunikaty będą się pojawiać tylko przy instalacji przeglądarki.

Trzeba jednak pamiętać, że obecnie rozporządzenie e-Privacy jeszcze nie obowiązuje. Jest to na razie tylko projekt i nie wiadomo, jaki ostatecznie kształt przybiorą te przepisy. Z założenia mają one uzupełnić regulacje RODO i być zgodne z głównymi zasadami RODO.

 

[1] Informacje o rozporządzeniu e-Privacy, dostęp online: //ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation.