Temat profilowania wywołuje ogromne emocje. Jako jednostki, nie chcemy być profilowani. Nie chcemy, żeby algorytmy podejmowały decyzje, które mogą mieć wpływ na nasze życie. Z drugiej strony, przedstawiciele biznesu, dostrzegają ogromne korzyści i ułatwienia płynące z tworzenia profili np. swoich klientów. Co mówi na temat takich operacji RODO? Czy nowoczesna technologia faktycznie zagraża naszej prywatności? Czy profilowanie może być również korzystne z perspektywy podmiotów danych? Zapraszam do lektury!
Kilka słów tytułem wprowadzenia
Nie powinniśmy zabierać się za temat profilowania, nie znając pewnych podstaw i szerszego kontekstu. Automatyczne przetwarzanie danych osobowych, stało się możliwe razem z pojawieniem się pierwszych komputerów. Przyjmując za datę pojawienia się pierwszego komputera, rok 1945 (ENIAC), niedługo będziemy mogli mówić o stuleciu historii komputerów i profilowania. Artyści natychmiast zauważyli zagrożenia związane z nową technologią.
Bardzo obrazowo były one przedstawiane np. w twórczości P.K. Dicka. Niemniej jednak, komputery przez wiele lat pozostawały drogie, niedoskonałe i niedostępne. Wszystko zmieniło się wraz z pojawieniem się pierwszych komputerów osobistych (Personal Computer – PC), pod koniec lat 70tych. Jak zareagowało na tą technologię prawo? Bardzo szybko! Już 28 stycznia 1981 roku, powstała Konwencja nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych. Obawy związane z komputerowymi algorytmami, były tak duże, że dla zdecydowanej większość państw dzisiejszej UE, to właśnie ten obszar był pierwszą regulacją prawną dotyczącą ochrony danych osobowych.
W praktyce, w tamtych czasach profilowanie było raczkującą nowinką technologiczną. Duże organizacje już wtedy przetwarzały ogromne ilości informacji w sposób tradycyjny. Nikt jednak nie decydował się na wprowadzanie jakichkolwiek przepisów prawnych, sankcjonujących przetwarzanie danych osobowych tradycyjnych obszarów. Można powiedzieć, że regulacje prawne, dotyczące ochrony danych osobowych, zaczęliśmy od profilowania! Mimo, że profilowanie nie miało w tamtym czasie większego znaczenia praktycznego.
Skoro profilowanie budziło tak wielkie emocje od samego początku, to nic dziwnego, że zostało uregulowane w Dyrektywie 95/46/WE, a także w polskiej Ustawie o ochronie danych osobowych z 1997 roku. Osoby zajmujące się ochroną danych osobowych od niedawna, mogą poczuć się teraz nieco zaskoczone. Wciąż pokutuje pogląd, że dopiero RODO uregulowało obszar profilowania. To nieprawda.
Czy emocje związane z profilowaniem są potrzebne?
Trudno odpowiedzieć na to pytanie jednoznacznie. Wizje społeczeństwa nadzorowanego przez algorytmy, które nakreślił P. K. Dick (lub bardziej współcześnie: serial Black Mirror), są bardzo depresyjne i niestety wydają się realistyczne. Uzupełnione o wizje kontroli nad społeczeństwem przez wielkie koncerny czy służby specjalne, mogą łatwo prowadzić do prawdziwej paranoi i schizofrenii. Na tę ostatnią, wspomniany wcześniej P.K. Dick, prawdopodobnie cierpiał.
Mamy niestety przykłady praktyczne, potwierdzające fakt korzystania z narzędzi inwigilujących społeczeństwa na wielką skalę (np. amerykańskie NSA).
Z drugiej jednak strony, algorytmy profilujące, wciąż są bardzo niedoskonałe. Mogą być stosowane jedynie w określonych sytuacjach. Popełniają błędy i są bardzo kosztowne. Jak to kiedyś stwierdził prelegent jednej z konferencji poświęconych Big Data, w której miałem przyjemność uczestniczyć – „to wysokie szczyty oczekiwań i wielkie doliny rozczarowań”.
Po profilowanie nie sięga się zwykle ot tak. Większość korporacji wdraża systemy profilujące z dużą dozą ostrożności. Wiele algorytmów profilujących jest stosowanych w doniosłych i ważnych celach, jak np. ochrona naszego zdrowia.
Co jednak najważniejsze dla nas, jako osób fizycznych, RODO zapewnia nam parasol ochronny. Również, ten związany z realnymi i wysokimi karami za łamanie przepisów Rozporządzenia.
Jeśli chcesz wprowadzić w swojej organizacji algorytmy profilujące, musisz być świadom/a emocji związanych z ich stosowaniem. Obok kwestii czysto prawnych, funkcjonują kwestie emocjonalne, przekładające się na wizerunek Twojej organizacji. Wprowadzenie mechanizmów profilujących, powinno być poprzedzone uprzednią analizą, nie tylko prawną ale i wizerunkową całej operacji.
Dość już jednak o emocjach, przechodzimy do czysto prawnej analizy procesów profilowania według RODO!
Profilowanie zwykłe i kwalifikowane według RODO
Definicja profilowania znalazła swoje miejsce w słowniczku RODO, zgodnie z którym:
Wszyscy, w ten czy inny sposób, profilujemy i oceniamy nasze otoczenie. Szukamy zależności, staramy się przewidzieć jak rozwinie się nasza relacja z osobą X itd. Słowem kluczowym jest użyty w RODO termin zautomatyzowania tych operacji. Zatem według RODO, interesować nas będą jedynie operacje, które przybierają formę „zautomatyzowanego przetwarzania danych osobowych (dalej: ZPD)”. Tu pojawia się pierwsze wyzwanie. Pojęcie ZPD nie zostało zdefiniowane w RODO.
Wytyczne Grupy Roboczej odnośnie zautomatyzowanego przetwarzania
Z pomocą przychodzą nam jednak wytyczne Grupy Roboczej Art. 29 (obecnie EROD) oraz doktryna prawna. Ja zwracam uwagę przede wszystkim na to, że zautomatyzowane przetwarzanie, zakłada różny stopień i intensywność udziału czynnika ludzkiego. W niektórych sytuacjach, udział człowieka będzie dość znaczący, a system ma jedynie rolę uzupełniającą. W innych przypadkach, może dojść do całkowitej automatyzacji (lub autonomizacji procesu jak piszą fachowcy). Udział człowieka w tej drugiej sytuacji będzie sprowadzał się jedynie do zaprojektowania systemu.
To co jednak najistotniejsze, to że Twoja organizacja może profilować (oczywiście przestrzegając wszystkich tradycyjnych zasad RODO). Nie musisz w tym celu pozyskiwać dodatkowych zgód czy spełniać innych specjalnych kryteriów. Wszystko to jednak, o i ile profilowanie nie spełnia warunków tzw. profilowania kwalifikowanego! W praktyce, to właśnie odróżnienie profilowania zwykłego od profilowania kwalifikowanego, będzie dla Ciebie kluczowe.
Czym jest więc profilowanie kwalifikowane, które przysporzy nam zdecydowanie więcej pracy? To proces w którym:
- Opieramy się wyłącznie na zautomatyzowanym podejmowaniu decyzji, a więc bez udziału czynnika ludzkiego,
- Proces wywołuje skutki prawne względem profilowanej osoby lub w inny istotny sposób wpływa na profilowaną osobę.
Tyle na ten temat mówi teoria, przećwiczmy ją na kilku przykładach praktycznych.
Profilowanie na praktycznych przykładach
Pożyczki i kredyty
Jednym z najczęściej spotykanych przykładów profilowania, jest uzależnienie pozytywnej decyzji pożyczkowej lub kredytowej od analizy dostarczonych przez nas danych osobowych. W tym przypadku, bez wątpienia mamy do czynienia z profilowaniem. Czy jednak jest to już profilowanie kwalifikowane? Na pewno proces wywoła skutki prawne względem wnioskującego. Rozstrzygający będzie zatem element wyłącznie zautomatyzowanego podejmowania decyzji. Jeśli rola systemu będzie jedynie wspomagająca i ostateczną decyzję, np. co do udzielenia kredytu lub jego wysokości podejmie pracownik pożyczkodawcy, to profilowanie nie będzie kwalifikowane. Jeśli jednak cały proces udzielania pożyczki zostanie zautomatyzowany, to bez wątpienia będzie to profilowanie kwalifikowane.
Obecnie pożyczkodawcy stosują różne rozwiązania. Część z nich załapie się na reżim profilowania kwalifikowanego, część nie. Z całą pewnością profilowaniem kwalifikowanym, będzie na przykład udzielanie pożyczek na podstawie analizy profilu Facebookowego. Takie rozwiązania funkcjonują już dzisiaj. Pożyczkodawca zdecyduje o tym, czy przyznać Ci pożyczkę, nie na podstawie dostarczonych dokumentów finansowych, ale wyłącznie na podstawie danych, które zostawiasz na portalach społecznościowych, i które zostaną następnie poddane analizie przez dedykowaną do tego aplikację. Twórcy takich systemów twierdzą, że są one już teraz skuteczniejsze i tańsze niż tradycyjne algorytmy.
Niektórzy twórcy algorytmów idą jeszcze dalej. Analiza zdolności kredytowej odbywa się na podstawie sprawdzenia danych z Twojego telefonu komórkowego. System przeczyta jakie i do kogo wysyłasz smsy, obejrzy Twoje fotografie, a następnie zdecyduje o tym czy przyznać Ci pożyczkę. W tym momencie trudno nie odczuwać pewnych emocji, związanych z wyjątkowo intensywną ingerencją w prywatną sferę człowieka. Z drugiej strony, tego typu systemy pomagają udzielać pożyczki w krajach trzeciego świata, gdzie tradycyjna analityka oficjalnych danych finansowych zawodzi. Z tej perspektywy można dostrzec pewne korzyści. Mikropożyczki w ubogich krajach stwarzają możliwości rozwoju i wydźwignięcia się społeczeństw z nędzy. Właśnie za ich propagowanie, nagrodę Nobla otrzymał bangladeski wykładowca ekonomii na Uniwersytecie Czittagong – Muhammad Yunus.
Wyszukiwarki cen biletów lotniczych
Obecnie na rynku funkcjonuje bardzo dużo systemów, wyszukujących ceny połączeń lotniczych. Z całą pewnością, takie systemy są w 100% zautomatyzowane. Ostateczna cena biletu lotniczego, która zostanie nam przedstawiona, ma również na nas „inny istotny wpływ”.
Czy zatem operatorzy takich wyszukiwarek, stosują profilowanie kwalifikowane? Z całą pewnością tak. A ponieważ profilowanie kwalifikowane niesie ze sobą cały szereg dodatkowych obostrzeń, to nie powinniśmy się obawiać tego, że wyszukiwarki biletów lotniczych zmieniają nam ceny same, np. dlatego, że już trzeci raz wyszukujemy połączenia Y. Jeśli jednak właściciel wyszukiwarki zechciałby działać w ten sposób, najprawdopodobniej będzie łamał prawo i musi liczyć się z ryzykiem bardzo wysokiej kary i katastrofą wizerunkową.
Marketing
Jeszcze przed wejściem w życie RODO, opiniowaliśmy wdrożenie dużego systemu informatycznego, który miał na celu wspomaganie sprzedaży. Korporacja wprowadziła dla posiadaczy kart lojalnościowych, specjalny program. Program ten opierał się na automatycznych algorytmach, które analizowały preferencje klienta. System proponował klientom produkty w bardziej atrakcyjnych cenach. Zniżki oraz oferowane produkty, były za każdym razem indywidualnie dopasowywane do klienta.
Zasadniczo, klient odnosił korzyść z funkcjonowania systemu, ponieważ otrzymywał propozycje zakupu bardziej pasujących do jego potrzeb produktów, w lepszych cenach. Z drugiej jednak strony, trudno powiedzieć, jak wyglądałyby zniżki dla klientów, gdyby taki system nie funkcjonował. Nie zawsze dwie różne osoby, otrzymywały taką samą zniżkę, na ten sam produkt. Osoba z mniejszą zniżką mogła czuć się poszkodowana. W tym przypadku jednak, czynnikiem, który miał łagodzić te obawy, była dobrowolność udziału w programie. Klienci musieli wyraźnie zgodzić się na to, żeby system zaczął ich profilować. Oczywiście taki system stanowi według RODO profilowanie kwalifikowane.
Rekrutacja i HR
Ogromne pokusy dla stosowania profilowania, może wywoływać proces rekrutacyjny. Zwłaszcza w przypadku masowych procesów rekrutacyjnych, prowadzonych z wykorzystaniem systemów, które same będą analizowały CV i inne dane kandydata i na podstawie takiej analizy będą podejmowały decyzje o odrzuceniu kandydata (np. po przeszukaniu CV wg. słów kluczowych). Oczywiście tego rodzaju systemy będą spełniać kryteria profilowania kwalifikowanego.
Również w obszarze HR, ewaluacji efektów pracy, etc. znajduje się ogromny potencjał dla zastosowania algorytmów profilujących. Takie procesy mogą budzić bardzo duże obawy pracowników i nic w tym dziwnego. W praktyce, prawne usankcjonowanie stosowanie takich systemów, było bardzo trudne. Pamiętajmy o tym, że UODO podchodzi z bardzo dużą rezerwą do zgód zbieranych od pracowników (konkretnie ich dobrowolności). Dodatkową ochronę pracownika, mogą stanowić zasady ogólne, np. zasada minimalizacji danych.
Ubezpieczenia
Po algorytmy profilujące jako jedni z pierwszych, sięgnęli również ubezpieczyciele. Wyliczenie stawki polisy AC czy OC już od bardzo dawna, odbywa się na podstawie zautomatyzowanych procesów. Jednak niektórzy ubezpieczyciele idą znacznie dalej. W pewnym momencie docierały do mnie informacje o funkcjonowaniu systemu, który wyliczał składkę ubezpieczenia dynamicznie.
Podstawą do jej wyliczenia, był nadajnik GPS, zamieszczony w aucie ubezpieczonego. Jeśli ubezpieczony jeździł często i do tego niebezpiecznie, składka automatycznie rosła. Taka sytuacja oczywiście nie jest standardem. To profilowanie kwalifikowane. W mojej opinii również jego zgodność z zasadą minimalizacji, może budzić poważne zastrzeżenia.
Medycyna
Profilowanie w medycynie budzi najmniej zastrzeżeń moralnych i etycznych. Wszystkie działania, mające na celu ratowanie zdrowia i życia wydają się być usprawiedliwione. Już dzisiaj wiele firm oferuje np. analizę naszego kodu genetycznego i określenie podatności na poszczególne choroby. O ile ta informacja jest przeznaczona jedynie dla nas, to oczywiście trudno o sprzeciw. Jeśli jednak podobnych testów chciałby od nas pracodawca lub ubezpieczyciel, to zaczynają się pojawiać duże wątpliwości, natury moralnej i etycznej.
Profiluje w sposób kwalifikowany? Jak robić to legalnie?
Dochodzimy do kulminacyjnej części tekstu. Profilowanie kwalifikowane zostało zidentyfikowane w naszej organizacji. Co dalej?
Na początku pamiętaj o zasadzie minimalizacji. Pisaliśmy o niej więcej na naszym blogu w artykule poświęconym zasadom przetwarzania danych osobowych. Każdy proces profilowania wymaga przetwarzania dość dużej ilości informacji. Nawet jeśli spełnisz dalsze kryteria, to istnieje możliwość, że UODO uzna, że zasada minimalizacji, została jednak przekroczona.
Profilowanie kwalifikowane w RODO
Jeśli zasada minimalizacji nie została przekroczona, możemy działać dalej. Profilowanie kwalifikowane zostało zdefiniowane w art. 22 RODO. Każde profilowanie zakończone zautomatyzowanym podjęciem decyzji, która wywołuje wobec podmiotu skutki prawne lub w podobny sposób istotnie na niego wpływa, będzie możliwe, jeśli decyzja:
„a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.”W praktyce, administratorzy najczęściej będą uzasadniali profilowanie niezbędnością przy zawarciu lub wykonaniu umowy. W tym przypadku nie ma konieczności zbierania zgód. Jednocześnie, niezbędność wykonania/zawarcia umowy to pojęcie dość obszerne. Dodatkową ochronę w takich sytuacjach, ma zapewnić wcześniej wspomniana zasada minimalizacji lub proporcjonalności.
Przepisy prawa Unii i państw członkowskich, legalizujące profilowanie to obecnie absolutna rzadkość. Być może w przyszłości ta możliwość będzie szerzej wykorzystywana.
Co ze zbieraniem zgód na profilowanie?
Na koniec, zostaje nam jeszcze możliwość zbierania zgód. Oczywiście z całym dobrodziejstwem inwentarza tej możliwości. Musimy zapewnić pełną rozliczalność zbieranych zgód, ich dobrowolność, a także możliwość wycofania. Zagadnieniu pozyskiwania zgód zgodnie z RODO poświęciliśmy jeden z artykułów na naszym blogu.
Jednak to jeszcze nie wszystkie restrykcje związane z profilowaniem kwalifikowanym. Jeśli chcesz profilować dane szczególnych kategorii z art. 9 RODO, to możesz zrobić to tylko na następujących podstawach prawnych (taki wyjątek od wyjątku):
– art. 9 ust. 2 lit. a) RODO tj. wyraźna zgoda podmiotu danych, lub
– art. 9 ust. 2 lit. g) RODO tj. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego.
To jednak wciąż nie wszystko, bo jeśli chcesz profilować w związku z realizacją umowy albo na podstawie zgody, to pamiętaj, że administrator:
Profilowanie a DPIA
Jeśli myślisz, że to wystarczy, to jesteś w błędzie! Na deser zostanie Ci wykonanie DPIA, ponieważ profilowanie zostało przewidziane jako jedna z tych operacji, które znajdują się w wykazie Prezesa UODO.
Profilowanie kwalifikowane wymaga zatem spełnienia bardzo dużej liczby specjalnych formalności. Co ważne, te formalności nie polegają na zgłaszaniu ich do organu nadzorczego czy uzyskiwaniu jakichś specjalnych urzędowych zgód. Większość przesłanek umożliwiających Ci rozpoczęcie profilowania kwalifikowanego jest dość ogólna. To w większości klauzule generalne, które będą podlegały ocenie sądu lub organu nadzorczego. Taki zabieg nie jest przypadkiem ze strony twórców RODO. Nie da się przewidzieć jednoznacznie w jakim kierunku rozwinie się technologia profilowania. W związku z tym, o ile nie chcemy zmieniać RODO co roku, przepisy muszą być elastyczne i zostawić swobodę interpretacyjną sądom i organom nadzorczym.
Masz problemy ze stosowaniem profilowania? Pomożemy!
Mamy nadzieję, że poradnik był dla Ciebie pomocny. Jeśli nie masz czasu na samodzielne legalizowanie działań profilujących w swojej organizacji, albo chcesz je zweryfikować – zapraszamy do skorzystania z naszej pomocy.
Zobacz, w jaki sposób możemy Ci pomóc:
Jak na profilowanie kwalifikowane zapatrują się EROD, sądy i organy nadzorcze?
Temat profilowania był dość mocno eksplorowany przez Grupę Roboczą Art. 29 a później przez EROD. Znajdziemy w tej materii instrukcje i wytyczne. Nie mają one wiążącej mocy prawnej, niemniej jednak stanowią drogowskazy ułatwiające interpretacje przepisów. Prezes Urzędu Ochrony Danych Osobowych, jak do tej pory, nie nałożył jeszcze żadnej kary finansowej za profilowanie niezgodne z prawem. Po wejściu w życie RODO, na temat profilowania nie orzekały również polskie sądy. Oczywiście to wszystko kwestia czasu. Brak orzecznictwa pokazuje, jak nowy i przyszłościowy temat stanowi profilowanie.
Poniżej zamieszczam linki do materiałów poświęconych tematowi profilowania:
- Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE
- Co to jest zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach i profilowanie?
Podsumowanie
Profilowanie kwalifikowane to dla większość organizacji dopiero przyszłość. Bardzo mocno łączy się ono z regulacjami dotyczącymi sztucznej inteligencji, której działanie może podobnie istotnie wpływać na nasze życia. Od blisko stu lat obawiamy się automatów i sztucznej inteligencji. Z drugiej strony fascynują nas oba te obszary i cały czas je rozwijamy. Profilowanie, to jeden z dość nielicznych przypadków, kiedy prawo przewidziało rozwój technologii. Obecne przepisy są próbą znalezienia kompromisu między korzystaniem z nowoczesnych technologii i ochroną prawa do prywatności.
Pobierz artykuł w PDF
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.