Belgijski organ nadzoru (Autorité de protection des données- APD) wydał ostatnio ciekawą decyzję w sprawie skargi klienta na wykorzystanie jego danych o transakcjach do stworzenia modułu oferującego spersonalizowane zniżki.
Kontekst sprawy
Do belgijskiego organu nadzoru trafiła skarga, której przedmiotem było wykorzystywanie przez spółkę (administratora) danych osobowych klienta, w tym o transakcjach płatniczych, do budowy modelu na potrzeby usługi „Spersonalizowane Rabaty”. Skarżący zarzucił, że choć aktywacja usługi „Spersonalizowane Rabaty” następuje po wyrażeniu zgody, to w celu budowy modelu, na którym opiera się ta usługa, administrator przetwarza dane osobowe finansowe klientów powołując się na swój prawnie uzasadniony interes, podczas gdy zdaniem skarżącego wymaga to zgody danego klienta. Skarżący wskazywał, że gromadzenie danych w jednym celu (transakcja) jest niezgodne z wykorzystywaniem ich w innym celu (opracowanie modelu dla spersonalizowanych rabatów na usługi stron trzecich).
Administrator twierdził, że oba procesy przetwarzania danych są odrębne, przy czym dane klientów są wykorzystywane do szkolenia modelu w oparciu o uzasadniony interes, a usługa „Spersonalizowany Rabat” działa na podstawie zgody.
Rozstrzygnięcie
Belgijski organ nadzoru w swojej decyzji wskazał, że tworzenie modeli w celu oferowania spersonalizowanych rabatów na rzecz stron trzecich, nie jest zgodne z pierwotnym przetwarzaniem danych w celu realizacji i rejestracji płatności na rzecz skarżącego. Jednakże organ stwierdził również, że „normalnym oczekiwaniem skarżącego jest to, że pozwany wykorzystuje swoje dane transakcyjne do trenowania modeli danych (bez dalszego wykorzystywania ich do oferowania spersonalizowanych rabatów, na które wymagana jest zgoda).
Organ stwierdził, że z danych wykorzystywanych do stworzenia takiego modelu musi zostać usuniętych jak najwięcej identyfikatorów osób, których dane dotyczą. Co więcej, nigdy nie należy podejmować prób ponownej identyfikacji osób fizycznych w zbiorze szkoleniowym, jeśli byłoby to nadal możliwe. Ponadto, według administratora, powstałe modele są jedynie algorytmami, które nie zawierają już danych osobowych, a organ nadzoru musiał się zgodzić z tym stanowiskiem. Co więcej dane z tego modułu nie zostały przekazane do żadnej strony trzeciej. Nie przetwarzano też danych szczególnej kategorii. Na korzyść administratora wpłynął jednocześnie fakt, że ADO zmienił swoją politykę informacyjną przed wprowadzeniem do oferty usługi spersonalizowanych rabatów.
W związku z tym organ nadzoru uznał działania administratora za zgodne z RODO.
Wnioski dla ADO
Belgijski organ nadzoru w swojej decyzji uznał, że zastosowanie uzasadnionego interesu administratora, jako podstawy prawnej wykorzystania danych klientów do stworzenia wewnętrznego modelu, który będzie później oferowany klientom za ich zgodą, jest zgodne z przepisami RODO. Trzeba zaznaczyć, że w tej sytuacji, ADO nie zbierał danych i nie wykorzystywał ich do oferowania zniżek, przed uzyskaniem zgody podmiotu danych. Administratorzy, którzy chcieliby dokonać podobnych operacji przetwarzania danych, musieliby zwrócić szczególną uwagę na to rozróżnienie.
Źródło:
https://www.gegevensbeschermingsautoriteit.be/publications/beslissing-ten-gronde-nr.-46-2024.pdf
