LexDigital

Profilowanie - jak je legalnie i odpowiedzialnie stosować

Profilowanie - wiesz, że wykonujesz je kilka razy dziennie? O profilowaniu zrobiło się głośniej w związku z wejściem w życie RODO, ponieważ wtedy prawo doczekało się pierwszej legalnej definicji profilowania. Czym jest profilowanie według RODO? W jaki sposób z niego legalnie korzystać? Zapraszamy do lektury.

Profilowanie - jak je legalnie i odpowiedzialnie stosować

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Czym jest profilowanie danych osobowych według RODO?

Profilowanie według RODO "oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.

To właśnie zautomatyzowane podejmowanie decyzji, która opiera się na wnioskowaniu z danych, w tym danych osobowych jest przedmiotem dyskusji na temat tego, kiedy i czy powinniśmy pozyskać zgodę na profilowanie, a kiedy wystarczy jedynie o tym fakcie poinformować.

Zanim jednak przejdziemy do tych rozważań, warto zaznaczyć, że wykorzystanie danych do oceny osoby nie jest niczym nowym.

Policja od lat korzysta z zawodowych profilerów, którzy na podstawie dowodów z miejsca zbrodni, rozmów ze świadkami, powtarzających się elementów popełnianych przestępstw-tworzą profil osobowościowy przestępcy.

Badacze, radząc sobie z brakami danych dotyczącymi braków odpowiedzi respondentów na niektóre pytania, wykorzystują profilowanie, aby na podstawie przewidywań uzupełnić braki sugerowanymi odpowiedziami (na podstawie przewidywań algorytmu analizującego dotychczasowe odpowiedzi).

Banki i towarzystwa ubezpieczeniowe od lat wykorzystują profilowanie do oceny ryzyka współpracy z konkretną osobą.

doors, choices, choose

Co za tym zmieniło RODO w podejściu do ochrony danych osobowych w zakresie profilowania?

Wraz z postępem technologii proces zestawiania danych, obserwacji na podstawie wręcz terabajtów danych spowodował, że predykcje jeszcze nigdy nie były tak dokładne a człowiek postrzegający inne osoby jedynie w kilku wymiarach (wiek, płeć, rasa a jeśli lepiej kogoś zna, to również na podstawie zainteresowań), przegrywa z algorytmami. Algorytmami, które oceniają nas wielowymiarowo.

Oceniają, wnioskują i mogą się mylić.

W dalszym ciągu jest to przecież tylko przewidywanie a nie szczegółowa wiedza o jednostce na podstawie której można podjąć decyzję. To właśnie ryzyko pomyłek związanych z błędnym wysnuciem wniosków na temat konkretnej osoby, brak szczegółowych regulacji prawnych w obszarze nowych technologii powoduje, że to, co może być szansą na wygodniejsze, bezpieczniejsze życie-może dyskryminować, ograniczać, a nawet zabić.

RODO nie niweluje powyższych ryzyk, zwraca jednak uwagę, że osoba, której dane dotyczą powinna mieć świadomość tego, co się z nimi dzieje, jak są wykorzystywane i jaki to może mieć wpływ na jej sytuację.

O krok za daleko. System zaufania społecznego - Chiny.

Profilowaniem jest każda ocena zachowania, ale też predykcja zachowania. System zaufania społecznego w Chinach, z wykorzystaniem algorytmów ocenia i przewiduje zachowania obywateli Chin, mając do dyspozycji ogromną ilość danych, pochodzących niemal z każdej aktywności obywatela, którą musi on uwierzytelnić skanem swojej twarzy. I tak grający za długo w gry, zostaną ocenieni jako leniwi, przez co trudniej będzie im znaleźć lepiej płatną pracę a ci, którzy mimo wysokich dochodów nie podjęli opieki nad schorowanym rodzicem — nie dostaną kredytu. Decyduje o tym algorytm, czyli podjęcie decyzji w sprawie indywidualnej osoby jest w zautomatyzowane oraz niesie za sobą dla niej istotne skutki w tym skutki prawne.

Profilowanie kwalifikowane - czyli kiedy konieczna jest zgoda.

Tę właśnie sytuację RODO definiuje jako profilowanie kwalifikowane i narzuca dodatkowe obowiązki dla administratora danych. Profilowanie zgodnie z art. 22 RODO, aby było dozwolone, musi spełniać przynajmniej 1 z poniższych przesłanek:

  • musi być niezbędne do zawarcia lub wykonania umowy między osobami, których dane dotyczą, a administratorem;
  • musi być dozwolone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą;
  • musi opierać się na wyraźnej zgodzie osoby, której dane dotyczą. Mamy więc odpowiedź na pytanie - kiedy osoba, której dane dotyczą musi wyrazić zgodę, aby względem niej mogły zapaść decyzje oparte w sposób zautomatyzowany na przetwarzaniu danych. Kiedy decyzje te będą miały na osobę istotny wpływ lub powodowały wobec niej skutki prawne.

cubes, choice, one

Czym jest istotny wpływ i skutki prawne?

RODO nie definiuje co prawda tych pojęć, ale z pomocą przychodzą nam Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE (Grupa Robocza art.29, obecnie Europejska Rada Ochrony Danych "EROD").

W ww. wytycznych czytamy, że „Decyzja wywołująca skutki prawne” to ta, która ma ona wpływ na prawa danej osoby przewidziane w przepisach, takie jak wolność́ do zrzeszania się, głosowania w wyborach lub wystąpienia na drogę sądową. Za skutek prawny można również uznać wpływ na status prawny danej osoby lub na prawa przysługujące jej na mocy umowy.

Wśród przykładów takich skutków można wymienić decyzje dotyczące danej osoby fizycznej podjęte w sposób zautomatyzowany, które doprowadzają do:

  • rozwiązania umowy;
  • udzielenia lub odmowy udzielenia określonego świadczenia społecznego przewidzianego w obowiązujących przepisach, takiego jak świadczenie na dziecko lub dodatek mieszkaniowy;
  • odmowy wjazdu na terytorium danego państwa lub odmowy nadania obywatelstwa.

Z kolei, aby można było uznać, że przetwarzanie danych wywiera istotny wpływ na określoną osobę, skutki tego przetwarzania muszą być dostatecznie znaczące lub istotne, by uzasadniały zainteresowanie się daną sprawą.

Innymi słowy, decyzja musi stwarzać ryzyko:

  • wywarcia istotnego wpływu na sytuację danej osoby, jej zachowanie lub podejmowane przez nią wybory;
  • wywarcia długotrwałego lub trwałego wpływu na osobę, której dane dotyczą; lub
  • w ekstremalnym przypadku, doprowadzenia do wykluczenia lub dyskryminacji osób fizycznych.

Przykłady "istotnego wpływu" jakie możemy znaleźć w wytycznych, to m.in. :

  • decyzje wywierające wpływ na sytuację finansową danej osoby, np. jej zdolność kredytową;
  • decyzje wywierające wpływ na możliwość korzystania ze świadczeń zdrowotnych przez daną osobę;
  • decyzje skutkujące utratą szansy na zatrudnienie przez daną osobę lub stawiające tę osobę w znacznie gorszej sytuacji;
  • decyzje wywierające wpływ na dostęp danej osoby do kształcenia, na przykład na możliwość dostania się na studia.

A co z profilowaniem w marketingu?

W wielu typowych przypadkach decyzja o skierowaniu do danej osoby spersonalizowanej oferty reklamowej sporządzonej na podstawie rezultatów profilowania nie będzie wywierała podobnie istotnego wpływu na osoby fizyczne. Natomiast wszystko zależy od tego, jak bardzo inwazyjny będzie algorytm i w jaki sposób będzie wykorzystywał wiedzę do prezentacji oferty wybranym grupom ludzi. Np. wyświetlanie komunikatów o szybkich pożyczkach gotówkowych, dla osób, co do których wiadomo, że mają skłonność do zadłużania się - będzie mogło mieć istotny wpływ na ich decyzje.

Tak samo, jeśli cena wyświetlanej oferty jest różnicowana w taki sposób, by była zaporowa dla określonej grupy osób a dostępna dla innej. Ciekawym przykładem z amerykańskiego rynku było wyświetlanie ofert najmu mieszkań konkretnej dzielnicy tylko osobom o jasnej skórze.

To dalej są komunikaty marketingowe, jednak mogące powodować dyskryminację i mieć inny istotny wpływ na decyzje osób.

Osobny artykuł można, aby poświęcić na temat doboru wyświetlanych treści przez algorytmy Facebooka i ich wpływu na nasze poglądy i samopoczucie. Czy to jest istotny wpływ?

apps, social media, network

Profilowanie — czyli jak korzystać z dobrodziejstw technologii szanując prawa osób?

Chcąc wykorzystywać profilowanie z zautomatyzowanym podejmowaniem decyzji należy:

  • poinformować osobę, której dane dotyczą, o tym, że decyzje będą podejmowane w sposób automatyczny na podstawie analizy danych osobowych;
  • przekazać tej osobie istotne informacje o zasadach podejmowania tych decyzji; oraz
  • udzielić tej osobie wyjaśnień w kwestii znaczenia i przewidywanych konsekwencji przetwarzania danych. Administrator powinien w prosty sposób przedstawić osobie, której dane dotyczą, uzasadnienie decyzji lub kryteriów, które doprowadziły do jej podjęcia.

Zgodnie z przepisami RODO administrator jest zobowiązany do przekazania osobie, której dane dotyczą, istotnych informacji o zasadach podejmowania zautomatyzowanych decyzji natomiast mimo obaw — nie musi przy okazji zdradzać szczegółów działania samego algorytmu, co mogłoby narazić go na ujawnienie tajemnicy przedsiębiorstwa.

Przejrzysty sposób informowania powinien zawierać również objaśnienie konsekwencji takiego przetwarzania — np. o możliwej odmowie przyznania kredytu. Sama informacja jednak nie wystarczy.

Osoby, które podlegają profilowaniu kwalifikowanemu muszą mieć możliwość skutecznego wniesienia sprzeciwu wobec profilowania, a także mieć możliwość uzyskać interwencję ludzką, wyrazić własne stanowisko i zakwestionować automatycznie podjętą decyzję. Administratorzy powinni przeprowadzać częste oceny zbiorów danych, które przetwarzają, pod kątem występowania elementów mogących wpływać na dyskryminujące decyzje oraz przypadków nadmiernego polegania na wnioskowaniu, predykcjach algorytmów.

Już niebawem pojawi się kolejny akt, który jeszcze bardziej uwypukli obowiązki administratorów za przetwarzane dane w ramach profilowania. Chodzi o Digital Services Act (DSA), które ma na celu przebudowę Internetu zdominowanego przez cybergigantów oferujących między innymi: serwisy społecznościowe, wyszukiwarki, platformy zakupowe, w taki sposób, by stał się bardziej przyjazny dla ludzi.

W projektowanym rozporządzeniu znajdą się zapisy zobowiązujące do:

  • obowiązkowej oceny ryzyka związanego z funkcjonowaniem algorytmów odpowiedzialnych za rekomendowanie treści na platformach (polegającego np. na regularnym podbijaniu zasięgów treści zawierających mowę nienawiści czy dezinformację);
  • większej kontroli użytkowników nad wyborem logiki tych systemów;
  • zakazu wykorzystywania tzw. danych wywnioskowanych (które platformy generują często bez wiedzy użytkowników i użytkowniczek, na podstawie ich aktywności w sieci) do celów reklamowych, w szczególności danych ujawniających wrażliwe cechy, takie jak pochodzenie etniczne, religia czy stan zdrowia.

Technologia zawsze będzie zarówno szansą, jak i zagrożeniem. Społeczeństwo internetowe przyzwyczajone do szybkich diagnoz, ofert, do realizacji zamówienia już kolejnego dnia — niechętnie spogląda na kolejną klauzulę do przeczytania.

Jednak nawet najbardziej świadomy przepisów administrator danych nie zastąpi naszych świadomych decyzji.

Polecane

System zarządzania bezpieczeństwem informacji

System zarządzania bezpieczeństwem informacji

Czym jest system zarządzania bezpieczeństwem informacji? Dlaczego informacja jest tak cennym aktywem dla każdej organizacji? Czy norma ISO 27001 jest trudna do wdrożenia? Czy korzyści z posiadania certyfikatu ISO 27001 będą adekwatne do pracy włożonej we wdrożenie systemu bezpieczeństwa informacji?

Przetwarzanie danych osobowych w projektach IT

Przetwarzanie danych osobowych w projektach IT

Przetwarzanie danych osobowych to bardzo pojemna definicja. Niezbędne jest aby zrozumieć, w których przypadkach mówimy o przetwarzaniu danych osobowych, aby zagwarantować tej czynności przetwarzania odpowiedni poziom bezpieczeństwa. Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych od momentu ich pozyskania aż do momentu ich usunięcia czy zniszczenia.

Komu można udostępnić nagranie z monitoringu?

Komu można udostępnić nagranie z monitoringu?

Z monitoringiem wizyjnym spotykamy się na co dzień. Czy to w pracy, centrach handlowych i na parkingach, czy na ulicach. Przekraczając granice każdego większego miasta widzimy tabliczki informujące "miasto monitorowane", a na niektórych budynkach zauważamy już prywatne systemy nadzoru. Ale czy każdy może uzyskać dostęp do tych kamer i komu możemy udostępnić nagranie?

Popularne

Wdrożenie ISO

Wdrożenie ISO

Uzyskanie certyfikatu zgodności z wytycznymi międzynarodowych norm ISO 9001, ISO/IEC 27001 czy ISO 22301 jest dowodem stosowania przez wybraną organizację wysokich standardów zarządzania oraz troski o bezpieczeństwo informacji czy ochronę danych. Pozwala m.in. na efektywne wykorzystywanie zasobów, wyeliminowanie lub ograniczanie sytuacji kryzysowych, optymalizację przebiegu procesów, umacnianie kontaktów z klientami, czy podnoszenie jakości świadczonych usług i produkowanych wyrobów.

Kontakt z UODO

Kontakt z UODO

W każdej organizacji przetwarzającej znaczące ilości danych osobowych kontakt z organem nadzorczym jest nieunikniony. Utrzymywanie odpowiednich relacji, wysokiego poziomu merytorycznego korespondencji oraz spełnianie wymogów proceduralnych ma bezpośredni wpływ na wynik spraw i postępowań. Profesjonalna komunikacja może często skrócić czas potrzebny na podjęcie decyzji przez Urząd, pomaga uchronić się od kar i problemów prawnych.

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk