Profilowanie w świetle RODO: obowiązki administratorów a prawa osób, których dane dotyczą

Ryzyko wynikające z profilowania, w tym potencjalny wpływ tego procesu na prawa i wolności osób fizycznych, dostrzegł unijny prawodawca. W odpowiedzi na te zagrożenia wprowadził w RODO szczególne przepisy regulujące profilowanie i zautomatyzowane podejmowanie decyzji.

Zapisy te doprecyzowała Grupa Robocza Art. 29 w wytycznych w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE. Uszczegółowienie tych kwestii możemy znaleźć także w stanowiskach innych europejskich organów nadzorczych czy wywieść na podstawie kar nakładanych przez organy nadzorcze.

Celem wskazanych regulacji jest zapewnienie równowagi między interesami administratorów danych a prawami osób, których dane dotyczą. Kluczową rolę odgrywają w tym zasady transparentności, ograniczenia celu i minimalizacji danych, a także prawa osób fizycznych, takie jak prawo sprzeciwu wobec profilowania czy prawo do bycia poinformowanym o procesach podejmowania decyzji.

Czym jest profilowanie

Zgodnie z definicją zawartą w art. 4 ust. 4 RODO profilowanie oznacza każdą formę zautomatyzowanego przetwarzania danych osobowych, która ma na celu ocenę określonych czynników osobowych osoby fizycznej. Może ono obejmować analizę lub prognozowanie takich aspektów, jak efektywność pracy, sytuacja ekonomiczna, zdrowie, zainteresowania, wiarygodność, zachowanie, lokalizacja czy przemieszczanie się. Uzupełnienie tej definicji znajduje się w preambule RODO, w motywach 24, 60, 63, 70–73, 75 i 91.

Profilowanie stanowi zatem specyficzną formę przetwarzania danych. Poniżej omawiamy podstawowe elementy tego procesu.

1. Zautomatyzowana forma przetwarzania – działania są realizowane bez bezpośredniego udziału człowieka.

Proces przetwarzania danych jest uznawany za zautomatyzowany, gdy decyzje są podejmowane całkowicie bez udziału człowieka. Przykładem jest automatyczne generowanie rekomendacji przez system. Jeśli jednak człowiek ma rzeczywisty wpływ na wynik przez analizę i uwzględnienie dodatkowych czynników, to proces nie jest w pełni zautomatyzowany. Symboliczny udział człowieka, polegający na formalnym zatwierdzeniu decyzji bez realnej ingerencji, nie zmienia automatycznego charakteru procesu. Aby udział człowieka był istotny, musi on mieć faktyczną możliwość zmiany wyniku na podstawie własnej oceny.

2. Dane osobowe jako podstawa analizy – operacje przetwarzania muszą dotyczyć informacji powiązanych z konkretną osobą.

Zautomatyzowane podejmowanie decyzji może bazować na różnych typach danych, takich jak:

• dane uzyskane bezpośrednio od osoby, której dotyczą (np. dane wpisane do formularza ankiety),
• dane zebrane w wyniku obserwacji (np. dane o lokalizacji uzyskane przez aplikację mobilną),
• dane wydedukowane lub pochodzące z innych źródeł (np. dane o zdolności kredytowej pochodzące z profilu stworzonego na podstawie aktywności osoby).

3. Ocena czynników osobowych – celem profilowania jest wyciąganie wniosków lub tworzenie prognoz na podstawie analizy danych oraz wpływanie na prawa osoby, której ten proces dotyczy.

Zautomatyzowane podejmowanie decyzji może mieć skutki prawne, jeśli wpływa na prawa osoby fizycznej, takie jak prawo do głosowania, wolność zrzeszania się czy zdolność do podejmowania działań prawnych. Przykładami tego typu decyzji są między innymi:

• rozwiązanie umowy,
• przyznanie lub odmowa świadczeń socjalnych (np. dodatku mieszkaniowego, zasiłku rodzinnego),
• odmowa przyznania obywatelstwa.

Nawet gdy decyzja nie skutkuje bezpośrednimi zmianami prawnymi, może mieć znaczący wpływ na osobę. Takie skutki są uznawane za istotne, jeśli:

• znacząco wpływają na wybory, zachowanie lub sytuację osoby,
• powodują długotrwałe konsekwencje,
• w skrajnych przypadkach prowadzą do dyskryminacji lub wykluczenia.

Przykładami istotnego wpływu są automatyczne odrzucenie wniosku kredytowego złożonego online czy procesy e-rekrutacji realizowane bez udziału człowieka. Tego typu decyzje mogą trwale wpływać na sytuację osób, których dane są przetwarzane.

Przykłady profilowania

W praktyce profilowanie jest szeroko stosowane w różnych dziedzinach. Umożliwia ono dostosowanie ofert do preferencji klientów na podstawie ich wcześniejszych zachowań, optymalizuje procesy decyzyjne, personalizuje treści, a także zwiększa efektywność działań w różnych obszarach. Poniżej przedstawiamy wybrane przykłady zastosowania profilowania w praktyce.

• Profilowanie marketingowe – umożliwia precyzyjne dopasowanie ofert do potrzeb i preferencji klientów. Przykładowo organizacja e-commerce może analizować historię zakupów, przeglądane produkty, czas klienta spędzony na jej stronie internetowej czy w aplikacji. Na podstawie tych informacji tworzy segmenty klientów, jak na przykład „osoby regularnie kupujące elektronikę” czy „osoby zainteresowane modą”. Takie podejście pozwala na lepsze dopasowanie reklam i ofert, co z kolei zwiększa skuteczność kampanii marketingowych oraz przyczynia się do wzrostu sprzedaży.
• Profilowanie w mediach społecznościowych – platformy społecznościowe, takie jak Facebook czy Instagram, wykorzystują zaawansowane algorytmy do monitorowania aktywności użytkowników. Analizowane są między innymi polubienia, komentarze, udostępnienia oraz interakcje w sieci znajomych. Dzięki temu algorytmy są w stanie tworzyć szczegółowe profile zainteresowań użytkowników. Personalizacja treści, jaką oferują te platformy, nie tylko utrzymuje użytkowników dłużej na stronie, lecz także zwiększa przychody z reklam.
• Profilowanie w rekrutacji i HR – pomaga wyselekcjonować najlepszych kandydatów na dane stanowisko. Pracodawcy i agencje rekrutacyjne korzystają z testów psychometrycznych, oceny osobowości czy doświadczenia zawodowego, aby stworzyć profil idealnego kandydata. Analiza danych z CV i sieci zawodowych, takich jak LinkedIn, pozwala również szybciej znaleźć osoby spełniające wymagane kryteria. Takie działania mogą wpływać na zmniejszanie kosztów rekrutacji czy ryzyka rotacji pracowników.
• Profilowanie klientów bankowych – banki i instytucje finansowe wykorzystują dane transakcyjne oraz informacje o zdolności kredytowej, demografii i nawykach finansowych klientów do tworzenia profili ryzyka. Na ich podstawie oceniają, czy klient może mieć trudności ze spłatą pożyczki lub czy wymaga większej ochrony przed oszustwami. Profilowanie pozwala bankom lepiej zarządzać ryzykiem, optymalizować decyzje kredytowe oraz skutecznie zapobiegać nadużyciom finansowym.
• Profilowanie w obszarze zdrowia i medycyny – jest wykorzystywane do identyfikacji grup ryzyka dla określonych chorób, takich jak cukrzyca czy choroby serca. Podmioty z branży medycznej analizują dane dotyczące historii chorób, stylu życia, wieku oraz miejsca zamieszkania. Takie podejście umożliwia wczesne wykrywanie zagrożeń, opracowywanie programów profilaktycznych oraz efektywne planowanie działań zdrowotnych skierowanych do najbardziej zagrożonych grup.

Z kolei prosta kategoryzacja osób na podstawie wieku, płci czy wzrostu nie musi być uznawana za profilowanie. Jej kwalifikacja zależy od celu, w jakim jest stosowana. Na przykład firma może klasyfikować swoich klientów według wieku i płci w celach statystycznych, aby uzyskać ogólny obraz swojej bazy klientów, ale nie będzie oceniać indywidualnych cech osobistych. W takim przypadku przetwarzanie danych nie stanowi profilowania, ponieważ nie ma na celu oceny aspektów osobistych danej osoby. Gdyby jednak celem było przewidywanie lub wyciąganie wniosków na temat takich cech, to wtedy przetwarzanie można by uznać za profilowanie.

W tym miejscu warto zwrócić uwagę na relację profilowania z procesem zautomatyzowanego podejmowania decyzji – również uregulowanym w RODO (art. 22). Profilowanie może być częścią takiego procesu, ale nie zawsze prowadzi do automatycznego podejmowania decyzji. Rozróżnienie to jest istotne, ponieważ wpływa na zakres obowiązków administratora i prawa osób, których dane są przetwarzane. Zautomatyzowane podejmowanie decyzji, zwłaszcza gdy opiera się na szczególnych kategoriach danych, wiąże się z koniecznością spełnienia dodatkowych wymogów.

Obowiązki administratora związane z profilowaniem danych

Profilowanie danych podlega regulacjom RODO, które określają szczegółowe zasady ochrony danych osobowych. Administratorzy są zobowiązani do przestrzegania tych zasad, wynikających z kluczowych reguł dotyczących przetwarzania danych. Jedną z kluczowych zasad, o której mowa w art. 5 ust. 1 lit. a RODO, jest zgodność z prawem, rzetelność i przejrzystość przetwarzania danych. Administrator musi zagwarantować, że osoby, których dane są przetwarzane, mają pełną wiedzę na temat sposobu, celu oraz zakresu tego przetwarzania. Informacje powinny być przekazywane w sposób jasny, przejrzysty, zrozumiały i łatwo dostępny. W przypadku gdy dane są zbierane bezpośrednio od osoby fizycznej, administrator musi spełnić obowiązek informacyjny w chwili pozyskiwania danych – zgodnie z art. 13 RODO. Natomiast gdy dane zostały uzyskane pośrednio, tj. z innych źródeł, konieczne jest poinformowanie o tym osoby, której dane dotyczą, w terminach określonych w art. 14 ust. 3 RODO. Przykładowo realizacja obowiązku informacyjnego w zakresie profilowania może brzmieć następująco:

„Wykorzystujemy Twoje dane na temat sposobu korzystania przez Ciebie z programu lojalnościowego do profilowania, polegającego na określeniu Twoich preferencji zakupowych i dostosowywaniu naszych ofert do tych preferencji. Odbywa się to na podstawie art. 22 ust. 2 lit. c RODO. Warunkiem jest wcześniejsze uzyskanie od Ciebie wyraźnej zgody na takie działanie”.

lub

„Twoje dane nie będą podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, wywołującej skutki prawne lub mającej podobny istotny wpływ”.

Profilowanie powinno być realizowane w sposób rzetelny, tak aby unikać sytuacji prowadzących do dyskryminacji, np. odmawiania dostępu do produktów finansowych na podstawie niejasnych lub nierzetelnych kryteriów. Prawo bankowe podkreśla obowiązek kredytodawcy zapewnienia wnioskodawcy szczegółowych informacji dotyczących oceny kredytowej, zwłaszcza gdy proces ten opiera się na profilowaniu. Kredytodawcy (banki, SKOK-i czy instytucje finansowe udzielające kredytów) dzięki profilowaniu są w stanie tworzyć zaawansowane modele ryzyka kredytowego, które wspierają podejmowanie decyzji o przyznaniu kredytu. W tym procesie dane osobowe mają kluczowe znaczenie, ponieważ pozwalają na precyzyjne wskazanie, które informacje miały wpływ na wynik analizy oraz w jaki sposób zostały uwzględnione. W przypadku systemów zautomatyzowanych takie wyjaśnienia powinny obejmować także metody wykorzystywane w algorytmach, na podstawie których dokonano oceny. Umożliwia to wnioskodawcy lepsze zrozumienie, w jaki sposób jego dane zostały przetworzone, a tym samym wzmacnia transparentność procesu oraz chroni jego prawa.

Zasada ograniczenia celu, opisana w art. 5 ust. 1 lit. b RODO, wymaga od administratora, aby dane osobowe były wykorzystywane wyłącznie w celach zgodnych z tymi, dla których zostały pierwotnie zebrane. Administrator powinien dokonać oceny zgodności nowych celów przetwarzania z celami pierwotnymi, uwzględniając takie czynniki, jak charakter danych czy wdrożone środki techniczne i organizacyjne. Dalsze przetwarzanie danych w celu profilowania musi być uzasadnione i zgodne z pierwotnymi informacjami przekazanymi osobom, których dane dotyczą.

Kolejnym obowiązkiem administratora jest przestrzeganie zasady minimalizacji danych, wskazanej w art. 5 ust. 1 lit. c RODO. Administratorzy powinni zbierać i przetwarzać jedynie te dane, które są niezbędne do osiągnięcia określonych celów profilowania. Gromadzenie nadmiarowych danych, nawet jeśli może być opłacalne z perspektywy organizacji, jest niezgodne z zasadami ochrony danych osobowych. W celu minimalizacji ryzyka naruszenia prywatności administratorzy powinni rozważyć wykorzystanie danych zagregowanych, zanonimizowanych lub pseudonimizowanych, pod warunkiem że takie podejście nie wpłynie negatywnie na skuteczność profilowania.

Administratorzy są także zobowiązani do zapewnienia prawidłowości danych osobowych – zgodnie z art. 5 ust. 1 lit. d RODO. W procesach profilowania prawidłowość danych jest kluczowa, ponieważ decyzje podejmowane na podstawie błędnych, nieaktualnych lub niewłaściwie zinterpretowanych danych mogą prowadzić do istotnych szkód dla osób, których te dane dotyczą. Administratorzy powinni monitorować dokładność danych na każdym etapie przetwarzania – począwszy od ich zbierania, poprzez analizę i tworzenie profili, a skończywszy na podejmowaniu decyzji na podstawie tych profili.

Ostatnim istotnym aspektem jest przestrzeganie zasady ograniczenia przechowywania danych, opisanej w art. 5 ust. 1 lit. e RODO. Administratorzy powinni przechowywać dane osobowe jedynie przez czas niezbędny do realizacji celów, dla których te dane zostały zgromadzone. W kontekście profilowania oznacza to konieczność wdrożenia polityki retencji danych, która uwzględnia ochronę praw i wolności osób fizycznych. Przechowywanie danych osobowych przez dłuższy okres może wprawdzie zwiększyć możliwości uczących się algorytmów, ale nie zwalnia administratora z obowiązku przestrzegania zasady proporcjonalności oraz ograniczenia celu przetwarzania.

W przypadkach gdy profilowanie lub zautomatyzowane podejmowanie decyzji stanowią kluczowy element działalności administratora, RODO nakłada obowiązek wyznaczenia inspektora ochrony danych.

Środki techniczne i organizacyjne oraz ocena skutków dla ochrony danych

Administrator danych osobowych zamierzający przeprowadzić proces profilowania danych ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa przetwarzania danych zarówno przed rozpoczęciem, jak i w trakcie procesu ich przetwarzania.

Dodatkowo administrator, który planuje wykorzystanie profilowania w procesach przetwarzania danych, jest zobowiązany przeprowadzić ocenę skutków dla ochrony danych (DPIA), jeśli działania te mogą znacząco wpływać na prawa i wolności osób fizycznych. Profilowanie zostało bezpośrednio uwzględnione w zaktualizowanym wykazie rodzajów operacji przetwarzania danych osobowych, które wymagają przeprowadzenia DPIA, opublikowanym przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) w komunikacie z dnia 17 czerwca 2019 r. Wykaz ten obejmuje między innymi takie przypadki, jak: profilowanie użytkowników portali społecznościowych oraz innych aplikacji w celu wysyłania informacji handlowych, ocena zdolności kredytowej z wykorzystaniem algorytmów sztucznej inteligencji, w tym także w sytuacji, gdy jest wymagane zachowanie tajemnicy i ujawnienie danych niezwiązanych bezpośrednio z oceną kredytową, a także ocena stylu życia, nawyków żywieniowych, zachowań podczas jazdy czy sposobu spędzania czasu osób fizycznych, np. w celu ustalenia wyższej składki ubezpieczeniowej.

Przeprowadzenie DPIA pozwala administratorowi na identyfikację potencjalnych zagrożeń wynikających z operacji przetwarzania oraz na wdrożenie odpowiednich środków minimalizujących te ryzyka. Przepis art. 35 ust. 3 lit. a RODO jasno wskazuje, że obowiązek przeprowadzenia DPIA obejmuje procesy przetwarzania oparte na zautomatyzowanych decyzjach, w tym na profilowaniu, które wywołują skutki prawne lub istotnie wpływają na osoby fizyczne. Warto podkreślić, że przepisy odnoszą się nie tylko do procesów w pełni zautomatyzowanych, lecz także do decyzji, które są częściowo wspierane przez automatyczne narzędzia przetwarzania danych.

Jeśli administrator planuje wdrożenie systemów opartych na profilowaniu i podejmujących decyzje wywierające znaczący wpływ na osoby fizyczne, powinien wziąć pod uwagę konieczność zastosowania interwencji ludzkiej. Włączenie człowieka do procesu decyzyjnego może zmniejszyć ryzyko związane z w pełni zautomatyzowanymi procesami i zwiększyć zgodność z wymaganiami RODO.

Wyniki DPIA mogą wskazywać na konieczność wdrożenia dodatkowych środków w celu ochrony praw osób, których dane dotyczą. Do takich działań należą między innymi:

• informowanie osoby, której dane dotyczą, o stosowaniu zautomatyzowanego procesu podejmowania decyzji i o jego zasadach,
• wyjaśnienie znaczenia oraz przewidywanych konsekwencji przetwarzania dla tej osoby,
• zapewnienie jej możliwości wyrażenia sprzeciwu wobec decyzji,
• umożliwienie jej przedstawienia własnego stanowiska.

W zależności od charakteru i skali przetwarzania administrator może również wprowadzić inne środki mające na celu eliminację ryzyka, wynikające z zaawansowanych technologii przetwarzania danych.

Administratorzy powinni rozważyć także wprowadzenie dodatkowych środków ochrony. Ponadto w przypadku gdy profilowanie stanowi istotny element działalności, obejmujący systematyczne monitorowanie danych na dużą skalę, administratorzy są zobowiązani do wyznaczenia inspektora ochrony danych zgodnie z art. 37 ust. 1 lit. b RODO.

Profilowanie danych szczególnych kategorii

Profilowanie danych osobowych stanowi poważne wyzwanie prawne, zwłaszcza w odniesieniu do przetwarzania szczególnych kategorii danych. Administratorzy mogą przetwarzać takie dane tylko w określonych przypadkach, pod warunkiem spełniania wymagań art. 9 ust. 2 RODO. Profilowanie polegające na analizie i łączeniu różnych źródeł danych może prowadzić do ujawnienia wrażliwych informacji, które są objęte szczególną ochroną. Przykładem może być analiza zakupów spożywczych w kontekście kaloryczności produktów, która może ujawnić informacje o stanie zdrowia osoby. Takie powiązania mogą prowadzić do generowania danych szczególnych kategorii, nawet jeśli nie należały do nich oryginalne dane, jak na przykład historia zakupów. W takich przypadkach administrator musi się upewnić, że przetwarzanie danych jest zgodne z prawem i ma odpowiednią podstawę prawną.

Dodatkowo administrator ma obowiązek zapewnić zgodność przetwarzania z pierwotnym celem, czyli nie może wykorzystywać danych w sposób sprzeczny z celem ich zebrania. Kluczowe jest również zapewnienie przejrzystości przetwarzania danych, w tym informowanie osób, których dane dotyczą, o celu przetwarzania, podstawie prawnej i metodach wykorzystywania ich danych.

W kontekście zautomatyzowanego podejmowania decyzji szczególne kategorie danych mogą być przetwarzane wyłącznie wtedy, gdy takie przetwarzanie jest dozwolone przez prawo i odbywa się na podstawie wyraźnej zgody osoby, której dane dotyczą, lub w związku z ważnym interesem publicznym przewidzianym w prawie Unii lub państwa członkowskiego. W przypadku systemów zautomatyzowanych administrator powinien również wyjaśnić osobom, których dane dotyczą, w jaki sposób konkretne dane wpłynęły na wynik oceny lub decyzji, a także poinformować je o metodach stosowanych w algorytmach.

Prawa osób, których dane dotyczą

Osoby, których dane są przetwarzane w procesach profilowania, mają szereg praw chroniących ich dane osobowe i zapewniających nad nimi kontrolę. Celem RODO jest bowiem zagwarantowanie pełnej przejrzystości w zakresie przetwarzania danych osobowych oraz umożliwienie osobom, których dane dotyczą, podejmowania świadomych decyzji odnoszących się do ich danych.

Zgodnie z art. 13 ust. 2 lit. f oraz art. 14 ust. 2 lit. g RODO osoba, której dane są profilowane, ma prawo do uzyskania szczegółowych informacji na temat zautomatyzowanego podejmowania decyzji, w tym profilowania, oraz przewidywanych skutków tego procesu. Administratorzy danych są zobowiązani do przekazywania tych informacji w sposób przejrzysty, tak aby umożliwić tej osobie zrozumienie, jak zautomatyzowane przetwarzanie wpływa na jej prawa i wolności. W szczególności osoby podlegające zautomatyzowanemu podejmowaniu decyzji muszą zostać poinformowane o istnieniu takiego procesu, o zasadach, na jakich opiera się przetwarzanie danych, a także o znaczeniu i przewidywanych konsekwencjach podejmowanych decyzji.

Zgodnie z art. 15 ust. 1 lit. h RODO osoba, której dane są profilowane, ma prawo do uzyskania dodatkowych informacji na temat zautomatyzowanego przetwarzania, które może wywołać skutki prawne lub znacząco wpłynąć na tę osobę. Administratorzy są zobowiązani do udzielenia ogólnych informacji na temat zasad podejmowania decyzji, w tym stosowanych kryteriów oraz przewidywanych konsekwencji przetwarzania. Ponadto osoba, której dane dotyczą, powinna zostać poinformowana o czynnikach uwzględnianych w procesie podejmowania decyzji oraz o ich wadze, co umożliwia jej ocenę sprawiedliwości i zasadności podjętej decyzji.

Prawo do sprostowania danych, określone w art. 16 RODO, pozwala osobie, której dane są profilowane, na poprawienie nieprawidłowych lub nieaktualnych informacji zawartych w jej profilu. Administratorzy powinni umożliwić tej osobie dostęp do jej profilu i udostępnić narzędzia, takie jak panele prywatności, pozwalające na zarządzanie ustawieniami, aktualizowanie danych osobowych oraz edytowanie profilu w celu skorygowania ewentualnych błędów. Dzięki takim rozwiązaniom administratorzy mogą zapewnić także zgodność z obowiązkiem utrzymania dokładności danych. Należy pamiętać, że prawo do sprostowania i usunięcia danych dotyczy danych bazowych, na podstawie których wygenerowano profil, samego profilu, jak również oceny przyznanej osobie, której dane dotyczą.

Osoba, której dane są przetwarzane na podstawie profilowania, ma także prawo do sprzeciwu wobec takiego przetwarzania zgodnie z art. 21 ust. 1 i 2 RODO. Administratorzy muszą poinformować tę osobę o przysługującym jej prawie do sprzeciwu wyraźnie, w sposób jasny i łatwo dostępny, zarówno na stronach internetowych, jak i w innych odpowiednich dokumentach. Administratorzy są zobowiązani zadbać o widoczność tej informacji oraz o to, by nie była ona ukryta wśród innych zapisów. Dzięki temu osoby, których dane dotyczą, mogą łatwo skorzystać z przysługującego im prawa.

Ryzyka i sankcje związane z profilowaniem

Profilowanie, jako zaawansowana technika przetwarzania danych osobowych, wiąże się z istotnymi zagrożeniami dla prywatności osób, których dane są przetwarzane. Niewłaściwe stosowanie tego mechanizmu może prowadzić do poważnych konsekwencji prawno-finansowych zarówno dla administratorów danych, jak i dla osób, których dane dotyczą. RODO nakłada na administratorów wiele obowiązków mających na celu zapewnienie zgodności procesów profilowania z obowiązującymi przepisami oraz minimalizowanie ryzyka związanego z naruszeniem praw osób fizycznych. Niedopełnienie tych zobowiązań może prowadzić do nałożenia wysokich kar finansowych oraz innych sankcji administracyjnych, co ma na celu nie tylko ochronę interesów osób, których dane są przetwarzane, lecz także zapewnienie odpowiedzialności podmiotów przetwarzających dane. Zgodnie z przepisami RODO organ nadzorczy może nakładać administracyjne kary pieniężne w wysokości do 10 lub 20 milionów euro lub do 2% lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa – w zależności od wagi naruszenia.

Przykłady nakładanych kar pokazują, że organy nadzorcze w Europie podejmują zdecydowane działania w przypadku naruszeń wynikających z niewłaściwego profilowania:

• Hiszpańska spółka została ukarana grzywną w wysokości 3 milionów euro za brak uzyskania wyraźnej i świadomej zgody swoich klientów na profilowanie ich danych. Naruszenie dotyczyło podstawowej zasady RODO, jaką jest przetwarzanie danych na podstawie zgody osoby, której dane dotyczą. Stanowi to jedno z najistotniejszych ryzyk w kontekście profilowania (więcej na: https://www.edpb.europa.eu/news/national-news/2022/aepd-fine-eur-3000000-caixabank-payments-consumer-efc-ep-sau-lack-specific_en).
• W Niemczech firma odpowiedzialna za tworzenie baz danych dotyczących osób została ukarana grzywną w wysokości 300 tysięcy euro za brak zapewnienia odpowiednich informacji o automatycznym podejmowaniu decyzji, w tym profilowaniu, oraz za nieudzielenie osobom, których dane przetwarzała, prawa do zakwestionowania tych decyzji. Takie naruszenie może skutkować utratą zaufania konsumentów oraz wysokimi karami, które są w pełni uzasadnione w świetle przepisów RODO dotyczących ochrony praw osób fizycznych w związku z profilowaniem (więcej na: https://www.edpb.europa.eu/news/national-news/2023/berlin-sa-imposes-300-000-euro-fine-against-bank-after-lack-transparency_pl).
• Prezes UODO nałożył na Toyota Bank Polska SA karę finansową w wysokości 314 302 zł za pominięcie profilowania w rejestrze czynności przetwarzania danych oraz za brak oceny skutków profilowania dla ochrony danych osobowych. Profilowanie, wykorzystywane przez bank do oceny zdolności kredytowej klientów, nie zostało uwzględnione w dokumentacji, mimo że miało istotny wpływ na przetwarzanie danych. Prezes UODO zwrócił uwagę, że bank powinien przeprowadzić ocenę skutków tego procesu, szczególnie w kontekście ochrony danych osobowych (więcej na: https://uodo.gov.pl/pl/138/3519).

Podsumowanie

Profilowanie danych osobowych, choć oferuje liczne korzyści w zakresie personalizacji usług i optymalizacji procesów decyzyjnych, wiąże się z poważnymi wyzwaniami w kontekście ochrony prywatności oraz praw osób, których dane dotyczą. Z perspektywy RODO istotne jest zachowanie równowagi między wykorzystywaniem nowoczesnych technologii w celu poprawy efektywności działań administratorów danych a ochroną podstawowych praw jednostek. Wprowadzone regulacje, w tym szczególne zasady dotyczące zautomatyzowanego podejmowania decyzji i profilowania, mają na celu zapewnienie większej przejrzystości oraz ochrony danych osobowych, a jednocześnie nakładają na administratorów odpowiedzialność za zgodność z wymaganiami prawa, minimalizację ryzyka i zapewnienie transparentności procesów.

Administratorzy danych muszą przestrzegać fundamentalnych zasad RODO, takich jak zgodność z prawem, minimalizacja danych czy ochrona praw osób, których dane dotyczą. Przeprowadzanie ocen skutków dla ochrony danych (DPIA), wyznaczenie inspektora ochrony danych, a także wdrożenie odpowiednich środków technicznych i organizacyjnych to kluczowe elementy zapewniające zgodność z przepisami. Jednocześnie ze względu na coraz powszechniejsze wykorzystywanie profilowania ważne jest to, aby osoby fizyczne były świadome swoich praw oraz miały możliwość wyrażenia sprzeciwu wobec niekorzystnych decyzji opartych na zautomatyzowanej analizie ich danych.

W obliczu dynamicznego rozwoju technologii i rosnącej roli danych w gospodarce cyfrowej ochrona prywatności nabiera szczególnego znaczenia. Profilowanie danych – mimo swojego potencjału – musi być realizowane z zachowaniem najwyższych standardów ochrony danych osobowych, z pełnym poszanowaniem praw jednostki. Tylko w taki sposób możliwe będzie stworzenie zrównoważonego środowiska, w którym innowacje technologiczne nie będą kolidowały z fundamentalnymi wartościami dotyczącymi prywatności i ochrony danych.