Wstęp
Table of contents
W obecnym stanie prawnym jedynie w art. 26a ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[1], znalazł się zakaz ostatecznego rozstrzygania indywidualnej sprawy podmiotu danych, jeżeli jest to wynik jedynie operacji na danych osobowych prowadzonych w systemie informatycznym. Istotą przepisu jest zakaz, by nasze sprawy były rozstrzygane wyłącznie w oparciu o przetwarzanie danych w różnego rodzaju programach komputerowych. Chodzi zatem o to, by przykładowo nasz wniosek o rozłożenie pożyczki na raty nie był rozstrzygany samodzielnie przez system komputerowy, który ‒ w oparciu o nasze dane ‒ oceni, czy jesteśmy wiarygodni. W aktualnych przepisach nie ma żadnej innej regulacji profilowania, mimo że z biegiem czasu zakres jego zastosowania niezwykle się rozszerzył. Tę lukę prawną ma wypełnić RODO.
Czym jest profilowanie?
Profilowanie zdefiniowano w przepisie art. 4 pkt 4 RODO jako dowolną formę zautomatyzowanego przetwarzania danych osobowych, polegającą na ich wykorzystaniu w celu oceny niektórych czynników osobowych człowieka, a w szczególności do analizy lub prognozy aspektów dotyczących pracy tej osoby, jej sytuacji ekonomicznej, stanu zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Z tej definicji wynikają dwie przesłanki, których łączne spełnienie pozwala na uznanie danej postaci przetwarzania danych osobowych za profilowanie. Przede wszystkim konieczne jest wystąpienie zautomatyzowanej formy przetwarzania danych osobowych, a dodatkowo niezbędne, by w jej toku dochodziło do oceny czynników człowieka. Jeżeli tylko jeden z tych warunków zostanie spełniony, to dana operacja na danych osobowych nie będzie stanowiła przetwarzania w rozumieniu art. 4 pkt 4 RODO.
Ze zautomatyzowaną formą przetwarzania danych osobowych mamy do czynienia wówczas, gdy następuje ono bez ingerencji człowieka. Przy czym, dla spełnienia omawianej przesłanki, ingerencja ta nie może występować na etapie przetwarzania danych, a nie konfiguracji systemu służącemu temu procesowi. Przykładowo: człowiek odpowiednio ustala parametry w systemie, które służą następnie programowi komputerowemu do oceny wiarygodności potencjalnych pożyczkobiorców. Taka ingerencja człowieka nie pozbawia przetwarzania danych cechy zautomatyzowania, bo same operacje na danych będą przebiegały automatycznie. Warto w tym miejscu podkreślić, że zgodnie z art. 4 pkt 2 RODO, przetwarzaniem danych jest każda operacja lub zestaw operacji wykonywanych na danych osobowych, jak np. zbieranie, organizowanie, porządkowanie czy wykorzystywanie. Oznacza to, że przepis art. 4 pkt 4 RODO nie ogranicza zakresu operacji na danych osobowych, które mogą stanowić profilowanie. Jeżeli tylko będą prowadziły do celu wskazanego w kolejnej z przesłanek.
Zgodnie z drugą przesłanką, by zakwalifikować dany proces przetwarzania danych osobowych jako profilowanie, jego rezultatem musi być dokonywanie oceny czynników człowieka. Jeżeli zatem operacje na danych będą zautomatyzowane, ale nie będą prowadziły do oceny czynników człowieka, to wówczas nie będziemy mieli do czynienia z profilowaniem w rozumieniu RODO. Przykładem takiej oceny może być przypisanie człowieka do określonej grupy ryzyka przy składaniu wniosku o ubezpieczenie.
Jeżeli te przesłanki zostaną spełnione, to proces przetwarzania danych osobowych zostanie uznany za profilowanie. Na gruncie RODO będą z tym związane istotne konsekwencje prawne: od konieczności spełnienia określonych warunków prawnych dla możliwości przeprowadzenia profilowania poczynając, przez obowiązki informacyjne, a na szczególnych prawach podmiotu danych kończąc.
Prawo do braku podejmowania zautomatyzowanych decyzji wobec człowieka
RODO zmienia podejście do profilowania i przewiduje w art. 22 ust. 1 prawo każdego człowieka, by decyzje wobec niego nie były podejmowane wyłącznie w oparciu o zautomatyzowane przetwarzanie danych osobowych. Jest to zupełnie inne rozłożenie akcentów regulacji niż obecnie. Oznacza ono, że zasadniczo wskazane działanie nie jest dopuszczalne. Chodzi przy tym jedynie o takie decyzje, które prowadzą do powstania wobec danego człowieka skutków prawnych lub innych podobnych skutków.
Analiza takiego przepisu prowadzi zatem do wniosku, że nie każde profilowanie jest zakazane. Administrator danych, czyli np. portal społecznościowy lub bank, nie może podejmować operacji na danych osobowych, które spełniają łącznie dwa warunki, tj. są oparte wyłącznie na profilowaniu oraz wywołują dla określonego człowieka skutki prawne lub w inny podobny sposób wpływają na podmiot danych.
W przepisie art. 22 ust. 1 RODO wyraźnie precyzuje się, że celem prawodawcy unijnego było uniemożliwienie podejmowania decyzji wobec ludzi jedynie w sytuacjach, w których człowiek nie bierze udziału w tym procesie. Jeżeli zatem administrator danych tak skonstruuje proces profilowania danych, że inny człowiek, np. pracownik banku czy portalu społecznościowego, będzie zaangażowany w proces decyzyjny, to wówczas takie profilowanie nie naruszy art. 22 ust. 1 RODO.
Profilowanie, by było zakazane, musi jednocześnie wywoływać skutki prawne dla podmiotu danych lub w podobny sposób istotnie nań wpływać. Przez wywołanie skutków prawnych należy rozumieć powstanie stosunku prawnego, zmianę jego treści lub jego ustanie, czyli przykładowo zawarcie umowy, zmianę umowy lub jej rozwiązanie. Problematyczna jest natomiast wykładnia istotnego i podobnego do skutków prawnych wpływania przez decyzję na człowieka. Jako przykład można wskazać odmowę zawarcia umowy. Taka czynność nie jest bowiem skutkiem prawnym, lecz istotnie i w podobny sposób wpływa na sytuację osoby fizycznej, gdyż uniemożliwia powstanie skutku prawnego w postaci powstania stosunku prawnego, którego podstawą jest umowa.
W razie spełnienia tych warunków, nie można podejmować decyzji wobec człowieka, wyłącznie z wykorzystaniem zautomatyzowanych procesów przetwarzania danych osobowych.
Kiedy będzie można profilować?
W art. 22 ust. 2 RODO wprowadzono trzy wyjątki od omówionej wcześniej zasady. Na podstawie wskazanego przepisu z zakresu zastosowania art. 22 ust. 1 RODO wyłączono sytuacje, gdy dana decyzja:
- jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem,
- jest dozwolona prawem Unii Europejskiej lub prawem krajowym, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i uzasadnionych interesów osoby, której dane dotyczą,
- opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
Pierwszy z wyjątków wymaga, by wydanie decyzji w warunkach opisanych w art. 22 ust. 1 RODO było niezbędne dla zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem. Dla uzasadnienia stosowania profilowania i podejmowania na jego podstawie decyzji określonych w art. 22 ust. 1 RODO muszą być one niezbędne do zawarcia lub wykonania umowy. Trzeba zwrócić uwagę, że pojęcie „niezbędności” oznacza coś, co jest konieczne. W konsekwencji warunek ten zostanie spełniony, jeżeli bez podejmowania zautomatyzowanej decyzji zawarcie umowy lub jej wykonanie nie byłoby możliwe. Ta konieczność nie musi wynikać z przepisów prawa; wystarczy, że uzasadnią ją względy faktyczne związane z danym administratorem. Za taką wykładnią przemawia także zestawienie omawianego wyjątku z tym wskazanym powyżej, w literze b. Mowa jest w nim bowiem o sytuacjach, gdy na podejmowanie zautomatyzowanych decyzji pozwala prawo. Trudno jest zatem przyjąć, że w obu przepisach chodziło o wymogi prawne. Przykładem niezbędności wynikającej ze względów faktycznych może być zawieranie umów przez Internet na masową skalę. Zwłaszcza gdy dla podjęcia przez administratora danych decyzji o zawarciu umowy ważna jest ocena ryzyka. Brak zautomatyzowania procesu podejmowania takich decyzji mógłby uniemożliwić administratorowi danych efektywne działanie. Z uwagi na skalę, nie mógłby on bowiem indywidualnie przeanalizować wszystkich sytuacji.
W przypadku spełnienia omówionych warunków, RODO dodatkowo zabezpiecza interesy podmiotu danych. Następuje to na podstawie art. 22 ust. 3, który to przepis wymaga od administratora danych wdrożenia właściwych środków ochrony praw, wolności i uzasadnionych interesów podmiotu danych. Wymóg ten może zostać zrealizowany poprzez przyznanie podmiotowi danych uprawnienia do poddania jego sprawy ocenie przez człowieka. Oznacza to, że administrator danych musi zapewnić podmiotowi danych co najmniej prawo do odwołania się od wydanej w sposób automatyczny decyzji i poddania jej analizie człowieka. W ten sposób podmiot danych będzie mógł wyjaśnić, dlaczego dana decyzja nie jest trafna względem niego. Ma to zabezpieczyć przed uproszczonym działaniem modeli statystycznych, które nie uwzględniają przypadków atypowych i mogą w ten sposób krzywdzić osoby pasujące do danych statystycznych, lecz nieposiadające czynników takich, jak większość osób z danej grupy statystycznej. Po złożeniu wskazanego odwołania sytuacja konkretnej osoby musi zostać przeanalizowana przez człowieka działającego w imieniu administratora danych. Należy podkreślić, że brak zachowania takiej możliwości doprowadzi do uniemożliwienia skorzystania z wyjątku przewidzianego przepisem art. 22 ust. 2 lit. a RODO.
W drugim przypadku, zgodnie z przepisem art. 22 ust. 2 lit. b RODO, istnieje możliwość profilowania, jeżeli pozwala na to prawo Unii Europejskiej lub prawo krajowe, czyli prawo jednego z państw członkowskich. Warto przy tym zwrócić uwagę, że nie chodzi tu o jakikolwiek przepis dopuszczający taką sytuację, lecz jedynie o regulację, która, dopuszczając możliwość profilowania, przewiduje jednocześnie właściwe środki ochrony praw, wolności i uzasadnionych interesów osoby, której dane dotyczą. Oznacza to, że dla zastosowania analizowanego wyjątku konieczna będzie każdorazowa weryfikacja, czy przepis unijny lub krajowy spełniają przytoczone gwarancje dla podmiotu danych. Jeżeli tak nie będzie, to wówczas zastosowanie profilowania na jego podstawie naruszy wymogi RODO i nie będzie znajdowało podstawy prawnej. W takiej bowiem sytuacji będzie obowiązywał zakaz wynikający z treści art. 22 ust. 1 RODO. Należy podkreślić, że analiza, czy dany przepis zapewnia odpowiednie gwarancje podmiotowi danych, nie może ograniczać się jedynie do treści tego przepisu. Wystarczające będzie, jeżeli właściwe środki ochrony praw, wolności i uzasadnionych interesów podmiotu danych będą wynikały z innych przepisów obowiązujących w porządku prawnym danego państwa.
Trzecim wyjątkiem, gdy można stosować profilowanie, jest wyraźna zgoda osoby, której dane dotyczą. Dla właściwego ujęcia pojęcia zgody, należy odwołać się do przepisu art. 4 pkt 11 RODO, który zawiera legalną definicję zgody. Uznaje za nią dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego przyzwala na przetwarzanie dotyczących jej danych osobowych. Należy jednak pamiętać, że dla zastosowania profilowania nie jest wystarczające uzyskanie tak rozumianej zgody, lecz musi to być zgoda wyraźna. Jest to pójście o krok dalej, gdyż taka zgoda musi jednoznacznie wynikać z zachowania podmiotu danych. Najpewniejszą formą będzie odebranie takiej zgody przykładowo poprzez zaznaczenie odpowiedniej klauzuli zawartej na stronie internetowej. Przy czym, taka zgoda nie może być domyślnie zaznaczona.
W omawianej sytuacji konieczne jest także zapewnienie przez administratora danych właściwych środków ochrony praw, wolności i uzasadnionych interesów podmiotu danych. Taki wymóg wynika z przepisu art. 22 ust. 3 RODO. W celu spełnienia wskazanego warunku, konieczne jest zapewnienie co najmniej prawa do oceny danej decyzji przez człowieka działającego w imieniu administratora i przedstawienia mu własnego stanowiska.
Nie wszystkie dane osobowe mogą być przedmiotem profilowania
Przedstawione wcześniej wyjątki od zakazu profilowania doznają kolejnego zawężenia na podstawie art. 22 ust. 4 RODO. Na podstawie tej regulacji nie wszystkie dane osobowe mogą być wykorzystywane do wydawania decyzji opartych o profilowanie. Nie możne ono odbywać się na podstawie tzw. danych osobowych szczególnej kategorii. Chodzi o dane wymienione w art. 9 ust. 1 RODO, do których należą dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, dane dotyczące zdrowia lub seksualności i orientacji seksualnej.
Od tego wyłączenia przewidziane zostały jednak dwa wyjątki. Wskazane kategorie danych osobowych mogą być podstawą dla profilowania, gdy dzieje się to za wyraźną zgodą podmiotu danych. Nie chodzi tu bynajmniej o wyraźną zgodę na samo profilowanie, ale na profilowanie zmierzające do podjęcia zautomatyzowanej decyzji w oparciu o dane osobowe szczególnej kategorii. Druga z sytuacji ma miejsce, gdy profilowanie w oparciu o takie dane osobowe jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii Europejskiej lub prawa krajowego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
Jakie informacje trzeba przekazać w związku z profilowaniem?
RODO nie tylko przewiduje ograniczenie możliwości skorzystania z podejmowania zautomatyzowanych decyzji w oparciu o profilowanie, lecz wprowadza dodatkowe gwarancje, które mają zwiększyć poziom ochrony podmiotów danych. Temu ma służyć przewidziany w przepisie art. 13 ust. 2 lit. f RODO obowiązek informacyjny. Na jego podstawie administrator danych jest zobowiązany poinformować podmiot danych o tym, czy stosuje podejmowanie zautomatyzowanych decyzji oparte o profilowanie. Jeżeli tak się dzieje, to wówczas administrator danych ma obowiązek przekazać informacje o trybie działania profilowania, a także o znaczeniu i przewidywanych konsekwencjach takiej formy przetwarzania danych osobowych dla osoby, której one dotyczą. Wskazane informacje muszą zostać przekazane na etapie pozyskiwania danych, czyli musi istnieć możliwość zapoznania się z nimi przed udostępnieniem swoich danych osobowych.
Ważnym elementem ochrony jest wymóg przekazania informacji o trybie działania profilowania. Dzięki temu podmiot danych będzie mógł zrozumieć, na czym będzie polegało profilowanie. Konieczne jest zatem podanie informacji o sposobie działania profilowania i czynnikach wpływających na decyzję podejmowaną w sposób zautomatyzowany. Dzięki temu podmiot danych będzie mógł zrozumieć sposób, w jaki działa profilowanie, i ocenić prawidłowość wydanej wobec niego decyzji. Jest to o tyle ważne, że zautomatyzowany system może nie uwzględniać czynników odbiegających od profili statystycznych, a dotyczących konkretnej osoby. Dzięki temu podmiot danych będzie wiedział, że powinien skorzystać w takim przypadku z przysługującego mu uprawnienia do odwołania się od automatycznej decyzji do osoby działającej w imieniu administratora danych.
Taki sam obowiązek informacyjny istnieje wtedy, gdy administrator nie pozyskuje danych bezpośrednio od osoby, której one dotyczą, lecz przykładowo nabywa je od innego administratora danych.
Niezależnie od powyższych obowiązków informacyjnych, podmiot danych ma prawo uzyskania od administratora danych informacji, czy stosuje on zautomatyzowane podejmowanie decyzji oparte o profilowanie. Każdy podmiot danych będzie mógł wystąpić z takim pytaniem do administratora.
Prawo do sprzeciwu
System ochrony praw podmiotu danych w związku z profilowaniem, a dokładnie podejmowaniem zautomatyzowanych decyzji z wykorzystaniem profilowania, jest uzupełniany o prawo do sprzeciwu. Na podstawie art. 21 ust. 1 RODO, podmiot danych, ze względu na przyczyny związane z jego indywidualną sytuacją, może wnieść sprzeciw co do profilowania, gdy odbywa się ono na podstawie przesłanek legalizujących przetwarzanie danych osobowych wskazanych w art. 6 ust. 1 lit. e) oraz f) RODO. Chodzi o przypadki, gdy przetwarzanie jest niezbędne do:
- wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
- celów wynikających z uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Nie ma to zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań.
Po wyrażeniu sprzeciwu dane osobowe nie mogą być już przetwarzane w ramach profilowania, chyba że administrator wykaże istnienie ważnych uzasadnionych podstaw do dalszego przetwarzania danych, nadrzędnych wobec interesów, praw i wolności, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
Zgodnie z art. 21 ust. 2 RODO, sprzeciw wobec przetwarzania danych osobowych w ramach profilowania może również zostać wyrażony wtedy, gdy przetwarzanie danych odbywa się do celów marketingu bezpośredniego. Po wyrażeniu sprzeciwu dane osobowe nie mogą być już dalej przetwarzane w tym celu.
Podsumowanie
Regulacja przewidziana przez RODO w odniesieniu do profilowania wypełnia lukę, która istnieje w aktualnej regulacji. W całościowy sposób określa zasady wykorzystania profilowania i podejmowania na podstawie tej metody indywidualnych decyzji względem podmiotu danych. Jednocześnie nowe przepisy dążą do tego, by osoby, których dane są poddawane profilowaniu, rozumiały jego zasady i wiedziały, że względem nich stosowany jest ten proces operowania na danych. Gwarancją poszanowania praw podmiotu danych jest wprowadzone prawo do sprzeciwu, które uzupełnia ochronę realizowaną przez obowiązki informacyjne oraz ograniczenie dopuszczalności wydawania zautomatyzowanych decyzji na podstawie profilowania.
Witold Chomiczewski
radca prawny,
wspólnik w Lubasz i Wspólnicy Kancelaria Radców Prawnych
Artykuł pochodzi z[nbsp]Biuletynu Euro Info Styczeń 2017.
[1] Tekst jednolity: DzU z 2016 r., poz. 922.
