Zapisy „Ogólnego rozporządzenia o ochronie danych” dotyczące profilowania — czy jesteście na nie gotowi?

„Ogólne rozporządzenie o ochronie danych” Unii Europejskiej wejdzie w życie w maju 2018 roku. Będzie miało wpływ na zautomatyzowaną ocenę klientów i wyznaczy zasady podejmowania zautomatyzowanych decyzji kredytowych. Co to oznacza dla Ciebie i Twoich klientów?

Rozporządzenie wprowadza nowe wymagania dotyczące działalności firm i organizacji gromadzących dane osobowe, które zaczną obowiązywać od maja 2018 roku. Ustalenia dotyczą dozwolonych sposobów automatycznej oceny osób, na przykład klientów lub kandydatów do pracy, przy użyciu technik przetwarzania danych (zwanych także profilowaniem).

Czym jest profilowanie?
Mówiąc najogólniej, profilowanie ma na celu prognozowanie przyszłego zachowania osób, na podstawie na przykład ich działań z przeszłości. W ramach rozporządzenia profilowanie zostało zdefiniowane jako dowolna forma zautomatyzowanego przetwarzania danych osobowych w celu dokonania oceny cech osobowych, które ma skutki prawne w odniesieniu do danej osoby. Taka ocena może na przykład dotyczyć wydajności pracy osoby fizycznej, jej sytuacji ekonomicznej, osobistych preferencji, zainteresowań, wiarygodności lub przyszłych zachowań.

W ramach rozporządzenia profilowanie zostało zdefiniowane jako dowolna forma zautomatyzowanego przetwarzania danych osobowych w celu dokonania oceny cech osobowych, które ma skutki prawne w odniesieniu do danej osoby.

Należy zwrócić uwagę na to, że rozporządzenie nie wprowadza zakazu profilowania osób bez ich zgody.

Są jednak wyjątki
Według rozporządzenia profilowaniem jest wyłącznie w pełni zautomatyzowane przetwarzanie danych. To oznacza, że jeśli w ocenie uczestniczy czynnik ludzki nie jest to już profilowanie. Ponadto przetwarzanie danych, które nie mogą być zidentyfikowane jako należące do konkretnej osoby, nie jest uznawane za profilowanie.

Istotną częścią definicji jest również fakt, że w oparciu o tę ocenę jest podejmowana decyzja, która ma skutki prawne lub inne znaczące skutki dla tej osoby. Jednak rozporządzenie nie precyzuje, jakie w praktyce miałyby być to decyzje. Praktycznie rzecz ujmując, zgodnie z definicją profilowania przyjętą w rozporządzeniu, będzie ono regulować co najmniej stosowanie automatycznych modeli wydawania decyzji kredytowych używanych do określania zdolności kredytowej wnioskodawcy i jego przyszłych zachowań w zakresie płatności oraz do podejmowania ostatecznej decyzji o przyznaniu kredytu.

Ochrona danych osobowych jest ważna
Dane osobowe mogą być przetwarzane, a osoby profilowane, wyłącznie wtedy, gdy spełnione są warunki art. 6 rozporządzenia. W praktyce podstawą przetwarzania danych jest na ogół zgoda danej osoby lub zawarcie przez nią umowy. 

Rozporządzenie kompleksowo chroni prawa osób, których dane są automatycznie przetwarzane.

1) Osoby mają prawo zostać poinformowane, że ich dane są używane do profilowania. Artykuły 13 i 14 rozporządzenia zobowiązują firmy do informowania o zamiarze profilowania i do przedstawiania istotnych faktów dotyczących zasad postępowania, znaczenia i potencjalnych konsekwencji profilowania. Artykuł 15 określa, że osobie, której dane dotyczą, przysługuje prawo dostępu do tych informacji. Zasady postępowania i znaczenie profilowania może zostać wyjaśnione klientom przy użyciu przykładów.

2) Przetwarzaniu danych osobowych, a więc również profilowaniu, można się sprzeciwić (art. 21), jeśli przetwarzanie danych jest wykonywane w interesie publicznym lub w ramach sprawowania władzy publicznej (art. 6, ust. 1, lit. e) lub dla celów prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (art. 6, ust. 1, lit. f). Dlatego prawo do sprzeciwienia się profilowaniu nie dotyczy sytuacji, gdy profilowanie służy zawarciu umowy z osobą, której dane dotyczą, tak jak w przypadku decyzji kredytowych.

3) Osoba, której dane dotyczą, ma prawo do tego, aby nie podlegać (art. 22) decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa. Wyjątkiem od tego prawa jest również dowolna sytuacja, gdy profilowanie i decyzja będąca jego następstwem są konieczne do zawarcia umowy pomiędzy firmą a tą osobą lub jeśli ta osoba wyraziła na nie zgodę. Ten wymóg nie wyklucza profilowania w celu podjęcia decyzji kredytowej.

Niezależnie od sytuacji kredytodawca nie może naruszać praw osoby, której dane dotyczą. Minimalnym wymogiem jest umożliwienie wnioskodawcy zwrócenia się o rozpatrzenie jego wniosku przez osobę, a nie przez zautomatyzowany system. Ponowne rozpatrzenie wniosku nie oznacza automatycznie, że decyzja byłaby inna.

Wytyczne grupy roboczej art. 29
Grupa robocza art. 29 to organ doradczy złożony z przedstawicieli organów nadzorczych państw członkowskich Unii Europejskiej, który opracowuje i publikuje wytyczne dotyczące Ogólnego rozporządzenia o ochronie danych. Spełniają one ważną rolę w sposobie interpretowania rozporządzenia. Do tej pory opublikowano trzy tego typu dokumenty: dotyczące prawa do przenoszenia danych, inspektorów ochrony danych oraz wiodących organów nadzorczych.

Artykuły rozporządzenia nie precyzują, co w praktyce jest decyzją, która ma prawne lub podobnie znaczące skutki dla osoby. Jest to szczególnie istotny powód, aby w przyszłości zwracać baczną uwagę na wytyczne grupy roboczej art. 29.

Firmy powinny dokonać przeglądu swoich procedur i określić okoliczności, które mogą prowadzić do profilowania w rozumieniu rozporządzenia, czyli sytuacji, w której oceniane są cechy osobowe, a podejmowane decyzje mają istotne skutki dla danej osoby. Od maja 2018 roku należy dopilnować, aby osoba profilowana miała możliwość wyrażenia swojej opinii, odwołania się od decyzji, jeśli jest to konieczne, oraz zwrócenia się o rozpatrzenie sprawy przez człowieka. Co więcej należy dopilnować spełnienia obowiązku udzielenia informacji o profilowaniu zgodnie z rozporządzeniem.

Aby zapoznać się z naszymi dziesięcioma wskazówkami, które pomogą Ci przygotować się do wejścia w życie rozporządzenia, kliknij tutaj.