Jak dostosować automatyczne profilowanie do nowych wymogów

Należy podkreślić, że RODO wprowadza definicję profilowania, która nie występowała we wcześ¬niejszych przepisach. Zgodnie z RODO profilowaniem jest każde zautomatyzowane przetwarzanie danych osobowych polegające na wykorzystaniu tych danych do oceny czynników osobowych osoby fizycznej. W uproszczeniu profilowanie polega na wyciąganiu wniosków z wykorzystaniem automatycznego algorytmu na podstawie pewnych informacji o danej osobie, przypisując jej inne cechy. Tymi wnioskowanymi czynnikami osobowymi mogą być przykładowo: sytuacja ekonomiczna, efektywność pracy, zdrowie, zainteresowania, preferencje, lokalizacja, wiarygodność (np. kredytowa).

Profilowanie może być zarówno prostą operacją, w której z jednej informacji wnioskuje się o drugiej, albo może być skomplikowanym procesem, w którym zbiera się dużą ilość danych o konkretnym użytkowniku po to, by stworzyć całościowy jego „profil”, a następnie przypisywać tak stworzonej „personie” konkretne zachowania konsumpcyjne.

Należy pamiętać o tym, że regulacji RODO podlega tylko profilowanie, które odbywa się w sposób automatyczny.
Chodzi więc o sytuację, gdy za pomocą algorytmów informatycznych lub innych automatycznych narzędzi dochodzi do wnioskowania, czyli przyporządkowania określonych cech poszczególnym osobom. Jeśli w danym procesie (np. sprzedażowym, rekrutacyjnym czy innym) będzie dochodziło do profilowania, ale na skutek operacji myślowych człowieka – nie będzie to profilowaniem w rozumieniu RODO. Człowiek musi posiadać znaczącą rolę w danym procesie, tj. być podmiotem rzeczywiście decyzyjnym, a nie np. jedynie „pro forma” zatwierdzającym każdy wynik, który zostanie mu podsunięty przez system informatyczny.

Przykłady profilowania:

  • Profilowanie proste: na podstawie lokalizacji automatycznie wyciągany jest wniosek o zamożności, np. algo­rytm automatycznie kwalifikuje osoby zamieszkujące w Warszawie jako bardziej zamożne niż osoby mieszkające w Bieszczadach.
  • Profilowanie skomplikowane: algorytm zbiera wiele różnych danych wynikających z zachowania danej osoby na portalu społecznościowym, na tej podstawie tworzy „profil”, któremu przypisuje określone preferencje zakupowe, np. kobieta, wiek 30–35 lat, mieszka w dużym mieście, posiada wykształcenie prawnicze, wykazuje zainteresowanie artykułami dziecięcymi, wykazuje zainteresowanie górami i sportami górskimi -> algorytm tworzy profil osoby – zamożnej młodej kobiety, prawdopodobnie wykonującej zawód prawniczy, która prawdopodobnie posiada dziecko i do tego interesuje się sportami górskimi -> algorytm wyciąga wniosek, że kobieta ta najprawdopodobniej będzie zainteresowana produktem w postaci dość drogiego nosidełka turystycznego dla dzieci.

Należy zastanowić się nad tym, kiedy profilowanie na gruncie RODO (np. na podstawie wieku, płci, zainteresowań, miejsca zamieszkania, wykonywanego zawodu) będzie dozwolone, a kiedy zakazane. Dobra informacja jest taka, że RODO zakazuje tylko niektórych form profilowania. Jeszcze lepsza jest wiadomość, że na gruncie RODO nie zawsze potrzebna będzie zgoda na profilowanie. Gorsze informacje są dwie. Po pierwsze, RODO nakazuje informować użytkowników o profilowaniu. Po drugie, najprawdopodobniej Unia Europejska niedługo uchwali jeszcze jeden akt prawny, tzw. rozporządzenie e-Privacy. Projekt tego rozporządzenia przewiduje wprowadzenie wymogu zgody na profilowanie dokonywane w celu wyświetlania konkretnych reklam. Ostateczny kształt rozporządzenia e-Privacy nie jest jednak na razie znany.