Katarzyna Żaczkiewicz-Zborska: Czym jest profilowanie w nowym ujęciu rozporządzenia ogólnego o ochronie danych osobowych?
Dr Arwid Mednis: Profilowanie oznacza taki sposób przetwarzania danych, który polega na pewnej kategoryzacji ludzi oraz dopasowaniu konkretnej osoby do określonej kategorii, na podstawie cech tej osoby. To oznacza, że osoba może być oceniana na podstawie cech przypisanych grupie, do której ją zaliczono. Tu pojawia się problem dokładności tych cech. Jeśli np. profilowanie odbywa się na potrzeby badania ryzyka ubezpieczeniowego, to zaliczenie do pewnej grupy wiekowej powoduje, że osobie mogą być przypisane określone cechy, których ten konkretny człowiek nie posiada. Przykładowo, osoba w pewnym wieku musi np. zapłacić wyższą składkę za ubezpieczenie życiowe, choć cieszy się idealnym zdrowiem. A zatem mamy problem niedokładności profilowania. W związku z tym, jeśli dokonujemy kategoryzacji i kategorie przykładamy do konkretnych ludzi, to - w wypadku zautomatyzowanego procesu - algorytm powinien być jak najdokładniejszy. Inaczej taka firma może mieć kłopoty z wyjaśnieniem, dlaczego daną osobę przypisała do określonej kategorii, np. wysokiego ryzyka, i odmawia ubezpieczenia albo wylicza wyższe składki. Ten przykład to oczywiście uproszczenie, ale chodzi o pokazanie, że korelacje pomiędzy określonymi czynnikami, nie muszą oznaczać faktycznej przyczynowości zjawisk, a zatem profil osoby może być nieprawdziwy.
Czy algorytm trzeba ujawnić?
Nie, ale trzeba przedstawić osobie w ramach obowiązku informacyjnego podstawowe zasady działania algorytmu i jakie elementy bierze pod uwagę. Osoba, której dane się przetwarza, ma prawo dowiedzieć się o wszystkim, co firma o tej osobie wie i w jaki sposób te dane wykorzystuje. A firma ma obowiązek go o tym poinformować. Np. osoby mogą zapytać, po co firmie informacja np. o kolorze oczu. Firma może powiedzieć: istnieje korelacja między kolorem oczu a stanem zdrowia, gdyż na to wskazują statystyki. To oczywiście znowu przykład, który nie musi być prawdziwy.
Jakie obowiązki wynikają z tego dla przedsiębiorców?
Przede wszystkim obowiązek informacyjny w związku z profilowaniem. A także, zapewnienie dostępu do danych, jakie firma zbiera w związku z profilowaniem. Osoba ma także prawo dowiedzieć się o zasadach profilowania. Ponadto, RODO odróżnia profilowanie od podejmowania zautomatyzowanych decyzji. Profilowanie jest zatem rodzajem oceny, na podstawie której może, ale nie musi zapaść zautomatyzowana decyzja. Zautomatyzowane decyzje generalnie są zaś zakazane, chyba że podejmujemy je po to, żeby zawrzeć lub zrealizować umowę, mamy szczególną podstawę prawną lub ewentualnie zgodę osoby.
Czy teraz, według nowych przepisów, wycofanie zgody na profilowanie będzie łatwiejsze czy trudniejsze?
Nie musimy żądać zgód na samo profilowanie. Nawet RODO w art. 21 pośrednio przyznaje, że profilowanie może opierać się na przesłankach innych niż zgoda, w szczególności przesłankach tzw. uzasadnionego interesu. Ale w takim przypadku osoba może zgłosić sprzeciw. W związku z tym, te firmy, które nie mają podstaw prawnych w innych przepisach, będą musiały na to zareagować. Zgoda też może być wycofana.
Zgoda nie musi być pisemna?
Nie. Może być wyrażona ustnie, ale pamiętajmy, że administrator musi udowodnić, że ma tę zgodę (według zasady rozliczalności). To można udowodnić, jeśli ma np. odpowiednie procedury.
Nie wystarczy kliknięcie "zgoda"?
Może tak być, o ile do profilowania nie wykorzystujemy np. danych genetycznych czy biometrycznych. Wtedy zgoda musi być wyraźna, ale niekoniecznie pisemna. Jeśli zgoda udzielona jest przez kliknięcie, to firma musi zapewnić równie łatwe wycofanie zgody, co najmniej w taki sam sposób jak jej udzielenie.
Czy zgoda jest potrzebna do podjęcia zautomatyzowanej decyzji?
Jeśli nie mamy szczególnej podstawy prawnej lub nie wykażemy, że jest to niezbędne do zawarcie umowy, wówczas jedynym rozwiązaniem jest zgoda, z tym że musi być wyraźna. Nie wystarczy więc dowolne zachowanie potwierdzające zamiar udzielenia zgody, tylko musi to być oświadczenie o zgodzie na podjęcie zautomatyzowanej decyzji. Poza tym, zgoda musi spełniać inne cechy, z których wyróżniłbym dobrowolność. Nikt nie może zostać zmuszony do jej udzielenia.