RODO a profilowanie

Rodo a profilowanie

Ostatnia modyfikacja

Marketing jako działanie jest tym skuteczniejszy, im bardziej precyzyjne są informacje i dane umożliwiające profilowanie konsumentów. To stwierdzenie nie jest nieprawdziwe, może natomiast budzić pewne obiekcje zarówno biznesowe jak i z punktu widzenia RODO.

Nie wszyscy bowiem stosujemy modele i narzędzia pozwalające na profilowanie klientów, a mimo to osiągamy całkiem niezłe rezultaty. Z pewnością jest to możliwe, a dopracowane mechanizmy i taktyki oparte na targetingu oraz skali nie wymuszają wcale działań “profilerskich”.

Profilowanie jako takie, nie jest nowym zjawiskiem w biznesie. Dotychczas jednak skutecznie nie poddawało się prawnym regulacjom. Co więcej, do niedawna nie było nawet ustandaryzowanej definicji tego procesu.

Dlaczego RODO?

Co zatem stało się, że ustawodawca unijny zadecydował o wprowadzeniu standardów w tym obszarze? Zapewne, niezmienna dbałość o bezpieczeństwo danych osobowych. To bowiem, co dla jednych stanowi doskonałą okazję do podnoszenia efektywności biznesowej, w innych rodzi obawę potencjalnych zagrożeń i nadużyć.

„Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.”

Skoro dotknęliśmy tematu profilowania, zastanówmy się, jak wyglądają związane z nim kwestie w świetle przepisów RODO.

Zacznijmy od kwestii podstawowej, jaką jest sama definicja profilowania. Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (dalej: RODO lub Rozporządzenie) profilowanie polega na dowolnej formie zautomatyzowanego przetwarzania danych osobowych konsumenta, które umożliwia ich wykorzystanie do oceny niektórych czynników osobowych.

Profilowanie konsumentów a RODO

Idąc nieco dalej możemy stwierdzić, iż profilowanie konsumentów to czynność polegająca na zbieraniu i wykorzystywaniu informacji na temat konsumentów, obejmujących ich nawyki zakupowe, styl życia, poziom dochodów, preferencje, dane demograficzne i psychograficzne oraz wzorce zachowań zakupowych. Proces umożliwia wielowymiarową analizę indywidualnego klienta, pomaga w identyfikacji i lepszym zrozumieniu rynku docelowego. Profilowanie jest również jednym z elementów tworzenia modeli predykcyjnych, a więc ułatwia i umożliwia bardziej precyzyjne przewidywanie przyszłych zachowań konsumentów.

O ile samo profilowanie i związane z nim procesy nie są niczym nowym, o tyle wejście w życie regulacji RODO usankcjonowało jego prawne i funkcjonalne ramy. Dzięki zaistnieniu portfolio przepisów, uszczegółowione zostały prawa i obowiązki zarówno podmiotu profilującego oraz osoby profilowanej. Stało się to o tyle istotne, że z profilowania korzystają na dużą skalę instytucje finansowe, w tym banki oraz pozabankowi pożyczkodawcy, ubezpieczyciele, a także firmy z branży digital i agencje reklamowe.

Automatyzacja profilowania

Istotnym z punktu widzenia regulacji prawnych jest, iż czynność profilowania winna być wykonywana w sposób zautomatyzowany. Tak więc DMP przyporządkowując automatycznie spersonalizowaną komunikację do zdefiniowanej grupy odbiorców nadaje procesowi charakter profilowania. Dzieje się tak ponieważ proces ten prowadzi do decyzji o dystrybucji dobranej uprzednio komunikacji do zdefiniowanego odbiorcy. Co istotne, nie ma tu znaczenia w jaki sposób dane są przetwarzane.

Odbiorcy spersonalizowanej komunikacji, którzy zostali poddani procesom profilowania nie pozostają jednak bez oręża, który pozwoliłby im się bronić przed marketerami. RODO wskazuje portfolio uprawnień, w które wyposażone zostały osoby będące podmiotami profilowania. Nie jest ono co prawda nadmiernie rozbudowane, nie mniej jednak dotyka kluczowych elementów, mających bezpośredni wpływ na skalę i jakość procesu. Zgodnie z Rozporządzeniem osoba profilowana może zażądać od administratora niezwłocznego sprostowania jej danych.

Sprostowanie danych przez osobę profilowaną

Uprawnienie to przysługuje każdemu, kogo dane dotyczą i polega na żądaniu wprowadzenia stosownych modyfikacji zgodnych ze stanem faktycznym. Uprawniony może również wnieść sprzeciw, który skutkuje zaprzestaniem wysyłania/otrzymywania informacji w ramach realizowanych procesów marketingowych. Podmiot, którego automatyczne podejmowanie decyzji dotyczy ma także możliwość zgłoszenia żądania, aby administrator zaprzestał w jego przypadku podejmowaniu decyzji w tym trybie.

Wyjątkiem od tej reguły jest sytuacja, gdy automatyczne profilowanie jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem. Innym wyjątkiem jest sytuacja, w której profilowanie dozwolone jest prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności prawnie uzasadnionych interesów osoby, której dane dotyczą. Podobnie ma się sprawa w przypadku gdy profilowanie opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Pamiętać należy, że uprawnienia powyższe przysługują konsumentom przez cały okres, gdy administrator znajduje się w posiadaniu ich danych. Powinny być również złożone bezpośrednio administratorowi, a w razie braku zaprzestania profilowania osoba, która złożyła żądanie może złożyć zawiadomienie o naruszeniu jej praw przez administratora bezpośrednio do Urzędu Ochrony Danych Osobowych.

Urząd Ochrony Danych Osobowych.

Tak czy inaczej, o czym musimy pamiętać, to na administratorze spoczywa obowiązek informacyjny. Zgodnie z Art.13 RODO, administrator powinien przekazać osobie, której dane pozyskuje/zbiera, informacje o zamiarze jej profilowania oraz zautomatyzowanym podejmowaniu decyzji i zasadach ich podejmowania. Warto również przejść przez wszystkie wymienione w Art.13 obowiązki, aby zyskać pewność, które z aktywności wymagają obowiązku informacyjnego.

Podsumowanie

Czy jednak wszystkie działania mające na celu automatyczne profilowanie będą wymagały zgody? No cóż. Dla bezpieczeństwa warto przeprowadzić analizę planowanych działań. Przyjmuje się natomiast, że zgody nie wymaga wyświetlanie spersonalizowanych reklam, albowiem nie wywołuje on skutków prawnych oraz nie wpływa istotnie na sytuację osób profilowanych. Istnieje jednak szereg wyjątków, które wymagać będą uzyskania zgód od osób profilowanych. Generalnie, założyć należy więc, że zgody wymagają wszystkie procesy w ramach, których podejmowane są w pełni zautomatyzowane decyzje, oparte na profilowaniu, wywołujące prawne lub podobnie istotne skutki wobec osób profilowanych.

Microdata
RODO a profilowanie
Tytuł
RODO a profilowanie
Opis
Profilowanie jako takie, nie jest nowym zjawiskiem w biznesie. Dotychczas jednak skutecznie nie poddawało się prawnym regulacjom. Co więcej, do niedawna nie było nawet ustandaryzowanej definicji tego procesu.
Autor
Właściciel tekstu
MarcinKordowski.com
Logo
Digital Consultant Marcin Kordowski > Ogólne > RODO a profilowanie