Profilowanie jest to pojęcie zdefiniowane RODO.
Profilowanie jest to dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. W szczególności dane te mogą zostać wykorzystane do analizy lub prognozy efektów pracy danej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Najważniejszą kwestią dotyczącą profilowania w rozumieniu RODO jest przetwarzanie danych osobowych w sposób zautomatyzowany. Niestety przepisy RODO nie zdefiniowały tego pojęcia.
W przypadku gdy przetwarzanie danych odbywa się w sposób zautomatyzowany przy wykorzystaniu systemu, który stanowi jedynie wsparcie dla człowieka i nie powoduje szczególnych skutków, RODO nie przewiduje dodatkowych obowiązków dla administratora danych osobowych. Przetwarzanie takie odbywa się na zasadach ogólnych.
Gdy system przetwarza dane osobowe w sposób zautomatyzowany a przetwarzanie powoduje skutki prawne wobec osoby profilowanej lub w inny sposób wpływa na tą osobę mamy do czynienia z profilowaniem kwalifikowanym. Dla takich profilowań RODO przewiduje dodatkowe obowiązki dla administratora danych.
W pierwszej kolejności gdy chcemy wprowadzić w organizacji profilowanie kwalifikowane należy pamiętać o zasadzie minimalizmu i ocenić czy przestrzegamy tej zasady podczas przetwarzania danych osobowych. Następnie powinniśmy przeanalizować nasze profilowanie pod względem zgodności z art. 22 RODO. Artykuł ten wskazuje, że profilowanie kwalifikowane będzie zgodne z RODO o ile:
- jest niezbędne do zawarcia lub wykonania umowy między osobami, których dane dotyczą, a administratorem;
- jest dozwolone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą
- opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
W przypadku chęci profilowania kwalifikowanego danych osobowych, które wg RODO są danymi wrażliwymi (art. 9 RODO) profilowanie jest możliwe jedynie gdy:
- wyrażono wyraźną zgodę;
- przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego.
Należy również pamiętać, że o ile profilowanie kwalifikowane nie odbywa się na podstawie przepisów prawa Unii Europejskiej lub państwa członkowskiego albo ze względów związanych z ważnym interesem publicznym, w odniesieniu do danych wrażliwych to administrator jest zobowiązany do wdrożenia właściwych środków ochrony praw i wolności osoby, której dane dotyczą. Administrator musi zapewnić takiej osobie prawo do uzyskania interwencji ludzkiej oraz do wyrażenia własnego stanowiska i do zakwestionowania podjętej decyzji.
Jak w pełni skorzystać z dostępnych kanałów i narzędzi marketingowych nie narażając się na konsekwencje prawne?
Skorzystaj z wiedzy naszych ekspertów i zapisz się na szkolenie online „RODO w marketingu i e-commerce”