Inne, mniej poważne profilowanie

Jeśli stosuje się profilowanie czy zbiera i analizuje dużą ilość danych lub metadanych, co jednak nie odpowiada definicji „automatycznego podejmowania poważnych decyzji”, to najprawdopodobniej na gruncie RODO będzie można dalej to robić. W większości przypadków profilowanie w celu podejmowania decyzji o tym, jakie reklamy będą wyświetlane konkretnym osobom, będzie dozwolone. Wyświetlania reklam nie można bowiem uznać za „skutek prawny” ani za „inny podobny skutek”, jeśli nie prowadzi do dyskryminacji (np. reklamy tego samego produktu po różnych cenach).

Na profilowanie do celów reklamowych nie będzie potrzebna zgoda użytkownika, ponieważ art. 6 ust. 1f RODO wskazuje, że dopuszczalne jest przetwarzanie danych osobowych na potrzeby tzw. prawnie usprawiedliwionych interesów administratora danych, pod warunkiem jednak, że interesy osoby, której dane dotyczą, nie są ważniejsze, bardziej doniosłe niż interes administratora.

Motywy 47–49 preambuły do RODO wskazują natomiast, czym jest tzw. prawnie uzasadniony interes. Profilowanie będzie zatem dopuszczalne przede wszystkim w dwóch sytuacjach:

  • zapewnienia bezpieczeństwa IT,
  • marketingu własnych produktów i usług.

Profilowanie dla zapewnienia bezpieczeństwa IT

RODO po raz pierwszy w historii prawa dotyczącego ochrony danych osobowych wskazuje wyraźnie, że takim prawnie usprawiedliwionym celem jest potrzeba zapew­nienia bezpieczeństwa IT oraz potrzeba zapobiegania oszustwom. Do powyższego celu można przetwarzać dane osobowe bez zgody użytkownika. Pamiętać jednak należy, że RODO kładzie duży nacisk również na zasadę adekwatności form przetwarzania danych do ich celu. Należy zatem uważać, by nie przekroczyć równowagi pomiędzy interesem administratora (bezpieczeństwem IT) a interesem osoby, której dane są przetwarzane (jej prawem do prywatności). Jeśli jakieś procesy dążące do zagwarantowania bezpieczeństwa IT są możliwe do anonimizacji, trzeba to zrobić. W każdym przypadku, tzn. co do każdej technologii, zakres dozwolonych działań musi być oceniany odrębnie.

Warto na samym początku zastanowić się, czy w przypadku algorytmów stosowanych do celów zapewnienia bezpieczeństwa danych ma się do czynienia z profilowaniem w rozumieniu RODO. Powinno się mieć bowiem świadomość, że:

  • jeśli uda się zanonimizować dany proces, to nie będzie to w ogóle profilowanie,
  • profilowaniem według RODO jest (w skrócie) zautomatyzowane przetwarzanie polegające na wykorzystaniu danych osobowych do oceny (analizy lub prognozy) czynników osobowych, takich jak sytuacja ekonomiczna, preferencje, wiarygodność, zachowanie, lokalizacja.

Trzeba zatem zadać sobie pytanie: czy algorytmy, które stosuje się w celach zapewnienia bezpieczeństwa IT, polegają rzeczywiście na analizie lub predykcji ww. czynników osobowych, czy może jest to tylko analiza tego, jak często i z jakich adresów IP dany użytkownik się logował, z jakiej lokalizacji to robił itd. Takie dane, bez połączenia ich z innymi danymi, nie będą „oceną czynników osobowych”, a zwykłą statystyką logów, ruchu na stronie itd.

Profilowanie do celów marketingu własnego

Według RODO profilowanie może też być wykonywane w celu marketingu własnych produktów i usług. Jeśli marketing ten dotyczy własnych klientów, to nie potrzeba na niego odrębnej zgody na przetwarzanie danych osobowych.
 

Przykład

Właściciel sklepu e-commerce w systemie CRM zbiera historię zakupów oraz dodatkowo gromadzi informacje o lokalizacji klienta, jego płci, wieku, rozmiarze kupowanych ubrań, kolorystyce i przedziale cenowym, w którym klient najczęściej dokonuje zakupów. Na tej podstawie za pomocą automatycznego algorytmu dostępnego w systemie CRM decyduje o treści dalszych komunikatów marketingowych, jakie będą przedstawiane klientowi. W szczególności decyduje o tym, jakie produkty przedstawi klientowi w newsletterze. Takie profilowanie nie wymaga zgody klienta.

Natomiast, jeśli odbierana jest zgoda na przetwarzanie danych osobowych, np. adresu e-mail na cele marketingowe (przykładowo, jest to przypadek subskrypcji na newsletter użytkownika, który nie jest naszym klientem), to powstaje pytanie, czy w tej zgodzie mieści się również zgoda na analizowanie historii zachowań tej osoby (przykładowo, klient może zgadzać się na otrzymywanie e-mali, a nie zgadzać się na analizę tego, w jaki sposób przegląda e-maile). Trzeba pamiętać, że daną osobową jest nie tylko adres e-mail, ale też wszystkie inne informacje, które posiada się o właścicielu tego adresu.

Dlatego zaleca się rozszerzenie powszechnie stosowanej przy zapisach na newsletter formułki:

Zgadzam się na przetwarzanie danych osobowych do celów marketingowych;

na mniej więcej taką:

Zgadzam się na przetwarzanie moich danych osobowych (adresu e-mail oraz historii otwieralności wiadomości) na cele marketingowe.

Można też przy zapisie na newsletter przygotować link (wraz z koniecz­noś­cią akceptacji) do polityki prywatności, w której zostanie opisane prostymi słowami, że administrator analizuje, co czyta odbiorca news­letterów, w celu dostarczania subskrybentom jak najbardziej dopasowanych treści.