W związku z coraz szybciej rozwijającą się technologią, temat profilowania nabiera dużego znaczenia. Coraz częściej korzystamy z różnego rodzaju algorytmów profilujących. Jeśli korzystamy z takiej technologii do przetwarzania danych osobowych, to leży to w zakresie zainteresowań RODO.
RODO definicja
Według art. 4 ust 4 Rozporządzenia:
„Profilowanie” – oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Grupa Robocza Art. 29 w Wytycznych w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE wskazuje na trzy cechy profilowania:
- profilowanie musi stanowić zautomatyzowaną formę przetwarzania,
- profilowaniu muszą podlegać dane osobowe,
- celem profilowania musi być ocena czynników osobowych osób fizycznych.
Profilowanie należy do kategorii operacji wykonywanych na danych osobowych, dlatego tak jak w przypadku każdego innego rodzaju przetwarzania, musi odbywać się na określonej w art. 6 lub 9 RODO podstawie prawnej.
Profilowanie zwykłe i profilowanie kwalifikowane
W RODO mamy tak naprawdę dwa rodzaje profilowania.
Pierwszy rodzaj, to typowe profilowanie, o którym mowa w powyższej definicji. Jeśli aktualnie prowadzisz rekrutację i automatycznie kategoryzujesz kandydatów w oparciu o ustalone kryteria, a w Excelu zapisujesz atuty i słabe strony rekrutowanych, co ma posłużyć Ci do indywidualnej ich oceny, to właśnie profilujesz te osoby.
Możesz jednak odetchnąć z ulgą. To tzw. profilowanie zwykłe. Czyli takie, które nie wymaga spełnienia żadnych dodatkowych kryteriów. Oczywiście zbierane w ten sposób informacje, muszą spełniać pozostałe wymogi RODO. Jednak sam fakt profilowania zwykłego, nie skomplikuje Twojego procesu.
Co innego w sytuacji tzw. profilowania kwalifikowanego. Ten rodzaj profilowania został wskazany w art. 22 RODO.
To proces, w którym:
- wobec osoby fizycznej podejmowana jest decyzja, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu w postaci profilowania, a więc bez udziału czynnika ludzkiego,
- podjęta decyzja wywołuje skutki prawne względem profilowanej osoby lub w inny istotny sposób wpływa na profilowaną osobę.
Przykłady profilowania kwalifikowanego? Takie operacje często wykonywane są przez banki, przy analizie zdolności kredytowej. Decyzja bywa podejmowana bez jakiegokolwiek udziału czynnika ludzkiego. W istotny sposób wpłynie również na profilowaną osobą – pozwoli na otrzymanie (bądź nie) kredytu.
W tym momencie wchodzimy w reżim art. 22 RODO (który określa m.in. dozwolone podstawy prawne takiego działania) i musimy przeanalizować taki proces dokładniej.
Dzisiaj rozwój obszaru sztucznej inteligencji sprawia, że technologia profilowania jest dostępna, jak nigdy wcześniej. Jeśli chcesz dowiedzieć się więcej na temat profilowania kwalifikowanego, zapraszam do naszej publikacji na ten temat.
Co NIE jest profilowaniem?
Skutkować profilowaniem nie musi jednak zwykła klasyfikacja osób fizycznych ze względu na znane cechy (np. wiek, płeć i wzrost). O tym czy mamy do czynienia z profilowaniem decydować będzie cel takiej klasyfikacji.
Przykładowo, kiedy Twoja organizacja klasyfikuje klientów ze względu na wiek lub płeć, może kierować się względami czysto statystycznymi, chcąc uzyskać zbiorczy przegląd klientów bez jakiegokolwiek prognozowania lub wyciągania wniosków na temat konkretnej osoby. W takiej sytuacji nie dochodzi do dokonania oceny cech danej osoby. Nie mamy zatem do czynienia z profilowaniem.
Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.
Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?
Sprawdź nasze interaktywne szkolenia e-learningowe.
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.