RODO a profilowanie

RODO a profilowanie

RODO a profilowanie

Marketing jako działanie jest tym skuteczniejszy, im bardziej precyzyjne są informacje i dane umożliwiające profilowanie konsumentów. To stwierdzenie nie jest nieprawdziwe, może natomiast budzić pewne obiekcje zarówno biznesowe jak i z punktu widzenia RODO.

Nie wszyscy bowiem stosujemy modele i narzędzia pozwalające na profilowanie klientów, a mimo to osiągamy całkiem niezłe rezultaty. Z pewnością jest to możliwe, a dopracowane mechanizmy i taktyki oparte na targetingu oraz skali nie wymuszają wcale działań “profilerskich”.

Profilowanie jako takie, nie jest nowym zjawiskiem w biznesie. Dotychczas jednak skutecznie nie poddawało się prawnym regulacjom. Co więcej, do niedawna nie było nawet ustandaryzowanej definicji tego procesu.

Dlaczego RODO?

Co zatem stało się, że ustawodawca unijny zadecydował o wprowadzeniustandardów w tym obszarze? Zapewne, niezmienna dbałość o bezpieczeństwo danychosobowych. To bowiem, co dla jednych stanowi doskonałą okazję do podnoszeniaefektywności biznesowej, w innych rodzi obawę potencjalnych zagrożeń i nadużyć.

„Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzaniadanych osobowych, które polega na wykorzystaniu danych osobowych do ocenyniektórych czynników osobowych osoby fizycznej, w szczególności do analizy lubprognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacjiekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności,zachowania, lokalizacji lub przemieszczania się.”

Skoro dotknęliśmy tematu profilowania, zastanówmy się, jak wyglądajązwiązane z nim kwestie w świetle przepisów RODO.

Zacznijmy od kwestii podstawowej, jaką jest samadefinicja profilowania. Zgodnie z Rozporządzeniem ParlamentuEuropejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochronyosób fizycznych w związku z przetwarzaniem danych osobowych i w sprawieswobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (dalej:RODO lub Rozporządzenie) profilowanie polega na dowolnej formiezautomatyzowanego przetwarzania danych osobowych konsumenta, które umożliwiaich wykorzystanie do oceny niektórych czynników osobowych.

Profilowanie konsumentów a RODO

Idąc nieco dalej możemy stwierdzić, iż profilowanie konsumentów to czynność polegająca na zbieraniu i wykorzystywaniu informacji na temat konsumentów, obejmujących ich nawyki zakupowe, styl życia, poziom dochodów, preferencje, dane demograficzne i psychograficzne oraz wzorce zachowań zakupowych. Proces umożliwia wielowymiarową analizę indywidualnego klienta, pomaga w identyfikacji i lepszym zrozumieniu rynku docelowego. Profilowanie jest również jednym z elementów tworzenia modeli predykcyjnych, a więc ułatwia i umożliwia bardziej precyzyjne przewidywanie przyszłych zachowań konsumentów.

O ile samo profilowanie i związane z nim procesy nie są niczym nowym, o tyle wejście w życie regulacji RODO usankcjonowało jego prawne i funkcjonalne ramy. Dzięki zaistnieniu portfolio przepisów, uszczegółowione zostały prawa i obowiązki zarówno podmiotu profilującego oraz osoby profilowanej. Stało się to o tyle istotne, że z profilowania korzystają na dużą skalę instytucje finansowe, w tym banki oraz pozabankowi pożyczkodawcy, ubezpieczyciele, a także firmy z branży digital i agencje reklamowe.

Automatyzacja profilowania

Istotnym z punktu widzenia regulacji prawnychjest, iż czynność profilowania winna być wykonywana w sposób zautomatyzowany.Tak więc DMP przyporządkowując automatycznie spersonalizowaną komunikację dozdefiniowanej grupy odbiorców nadaje procesowi charakter profilowania. Dziejesię tak ponieważ proces ten prowadzi do decyzji o dystrybucji dobranejuprzednio komunikacji do zdefiniowanego odbiorcy. Co istotne, nie ma tuznaczenia w jaki sposób dane są przetwarzane.

Odbiorcy spersonalizowanej komunikacji, którzy zostali poddani procesom profilowania nie pozostają jednak bez oręża, który pozwoliłby im się bronić przed marketerami. RODO wskazuje portfolio uprawnień, w które wyposażone zostały osoby będące podmiotami profilowania. Nie jest ono co prawda nadmiernie rozbudowane, nie mniej jednak dotyka kluczowych elementów, mających bezpośredni wpływ na skalę i jakość procesu. Zgodnie z Rozporządzeniem osoba profilowana może zażądać od administratora niezwłocznego sprostowania jej danych.

Sprostowanie danych przez osobę profilowaną

Uprawnienie to przysługuje każdemu, kogo dane dotyczą i polega na żądaniu wprowadzenia stosownych modyfikacji zgodnych ze stanem faktycznym. Uprawniony może również wnieść sprzeciw, który skutkuje zaprzestaniem wysyłania/otrzymywania informacji w ramach realizowanych procesów marketingowych. Podmiot, którego automatyczne podejmowanie decyzji dotyczy ma także możliwość zgłoszenia żądania, aby administrator zaprzestał w jego przypadku podejmowaniu decyzji w tym trybie.

Wyjątkiem od tej reguły jest sytuacja, gdy automatyczne profilowanie jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem. Innym wyjątkiem jest sytuacja, w której profilowanie dozwolone jest prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności prawnie uzasadnionych interesów osoby, której dane dotyczą. Podobnie ma się sprawa w przypadku gdy profilowanie opiera się na wyraźnej zgodzie osoby, której dane dotyczą.

Pamiętać należy, że uprawnienia powyższe przysługują konsumentom przez cały okres, gdy administrator znajduje się w posiadaniu ich danych. Powinny być również złożone bezpośrednio administratorowi, a w razie braku zaprzestania profilowania osoba, która złożyła żądanie może złożyć zawiadomienie o naruszeniu jej praw przez administratora bezpośrednio do Urzędu Ochrony Danych Osobowych.

Urząd Ochrony Danych Osobowych.

Tak czy inaczej, o czym musimy pamiętać, to na administratorze spoczywa obowiązek informacyjny. Zgodnie z Art.13 RODO, administrator powinien przekazać osobie, której dane pozyskuje/zbiera, informacje o zamiarze jej profilowania oraz zautomatyzowanym podejmowaniu decyzji i zasadach ich podejmowania. Warto również przejść przez wszystkie wymienione w Art.13 obowiązki, aby zyskać pewność, które z aktywności wymagają obowiązku informacyjnego.

Podsumowanie

Czy jednak wszystkie działania mające na celuautomatyczne profilowanie będą wymagały zgody? No cóż. Dla bezpieczeństwa wartoprzeprowadzić analizę planowanych działań. Przyjmuje się natomiast, że zgodynie wymaga wyświetlanie spersonalizowanych reklam, albowiem nie wywołuje on skutkówprawnych oraz nie wpływa istotnie na sytuację osób profilowanych. Istniejejednak szereg wyjątków, które wymagać będą uzyskania zgód od osóbprofilowanych. Generalnie, założyć należy więc, że zgody wymagają wszystkieprocesy w ramach, których podejmowane są w pełni zautomatyzowane decyzje,oparte na profilowaniu, wywołujące prawne lub podobnie istotne skutki wobecosób profilowanych.

Artykuł uaktualniony 4 lata

Marcin Kordowski
Marcin Kordowski
17 lat doświadczenie w Digital Marketing i SEO, wykładowca PW, trener, bloger i praktyk. Projekty w ponad 30 krajach, specjalizuje się w branży finansowej, medycznej i e-commerce.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *