Logo DMSales
Article image
9 min czytania

Profilowanie danych w RODO rodzi wiele pytań i wątpliwości. Wydaje się, że w ich wyjaśnieniu raczej nie pomaga definicja z Rozporządzenia, zgodnie z którą: „profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.

Choć dotychczas pojęcie profilowania nie było obce doktrynie i praktyce ochrony danych osobowych, to jednak w polskim prawie dopiero RODO po raz pierwszy wprowadza oficjalną definicję oraz zasady jego stosowania. Ustalono również podstawowe zasady związane ze stosowaniem tego powszechnie wykorzystywanego przy przetwarzaniu danych osobowych mechanizmu.

CZYM JEST PROFILOWANIE

Najogólniej rzecz ujmując, są to takie operacje na zbiorach danych, których efektem jest przypisanie danej osobie określonych właściwości, cech lub przewidywanie jej zachowań konsumenckich.

Używając prostego przykładu – ponieważ kupuję książki prawnicze, skrypt księgarni oznaczy mnie w profilach: „profesjonalista”, „prawnik”, „ochrona danych osobowych”. Ze względu na to, iż jednocześnie kilkukrotnie kupiłem książki dla dzieci, trafiam również do kategorii „rodzic” – zaś analizując podane w formularzu zamówienia imię, zakwalifikowano mnie jako „mężczyzna” i w powiązaniu z wcześniejszą informacją – „ojca”.

Jak widać już po dokonaniu kilku prostych zakupów, sklep ma o mnie znacznie więcej informacji, niż sam mu wskazałem. Im częściej będę robić zakupy, tym więcej będzie tych informacji i będą one coraz bardziej precyzyjne. Co więcej, może się zdarzyć, że administrator powiąże dane z księgarni z informacjami pozyskanymi z innych prowadzonych przez siebie zbiorów danych, zwiększając tą metodą wiedzę o mnie. Naturalnie profilowanie ma swój cel, którym zwykle jest biznes. W podanym przykładzie skrypt sklepu może zacząć wysyłać do mnie oferty książek zgodnych z moimi zainteresowaniami. Co więcej, analiza danych innych klientów o podobnych cechach podpowie sprzedawcy, jakie produkty najczęściej kupują osoby o podobnym do mojego profilu, przewidując moje potencjalne zachowanie i  znacząco zwiększając skuteczność kierowanego do mnie marketingu. Zostanę więc poinformowany o nowym komentarzu do RODO, ale także (być może) o nowej książce „Dane osobowe w obrazkach dla dzieci”.

Podany przeze mnie przykład nie budzi większych kontrowersji. Zasadniczo końcowym efektem profilowania będzie w tym przypadku otrzymywanie ofert zgodnych z moimi zainteresowaniami i potencjalnymi potrzebami.

Można jednak wyobrazić sobie znacznie groźniejsze scenariusze – szczególnie, że do tego celu można użyć także wszelkich innych informacji – w tym geolokalizacyjnych, biometrycznych (np. automatycznej analizy zdjęć z kamer, skanów podpisów) czy związanych z e-płatnościami. Tak więc odpowiednia analiza danych może z dużą dozą prawdopodobieństwa ujawnić dane, których ujawniać byśmy sobie nie życzyli. Może również służyć celom wątpliwym etycznie lub niezgodnym z prawem – takim jak choćby szantażowanie ujawnieniem wrażliwych danych czy skompromitowaniem danej osoby przed określonym gronem osób (pracodawcą, wyborcami). W połączeniu z danymi statystycznymi uzyskanymi z analizy danych osób o podobnych profilach, przy odpowiednio dużej ilości danych, w praktyce możliwa jest predykcja niektórych zachowań określonych osób a stąd prosta droga do różnego rodzaju manipulacji. Profilowanie może być również narzędziem dyskryminacji – np. poprzez wykluczenie określonych profili użytkowników z ofert lub możliwości skorzystania z danej usługi, jak również uzależniania ceny usługi (np. ubezpieczenia) od wyniku profilowania. Dlatego jest to temat niezwykle ważny oraz zagadnienie, które ma istotne znaczenie w interpretacji wymagań RODO.

 

Dane zgodne z RODO

PROFILOWANIE W RODO

Wracając do przytoczonej na początku definicji, w RODO zdecydowano się na zawężenie zakresu definicji profilowania poprzez dwa istotne elementy. Pierwszym jest automatyzm. „(…)formę zautomatyzowanego przetwarzania danych (…)”. Oznacza to, że wykorzystywanie danych do oceny określonych cech lub zachowań osoby fizycznej przez człowieka nie będzie w świetle RODO traktowane jak profilowanie. Tu należy jednak zwrócić uwagę, że udział człowieka nie może ograniczać się wyłącznie do replikowania zaleceń wygenerowanych przez automat. Aby profilowanie nie miało charakteru zautomatyzowanego, człowiek musi mieć realną możliwość podjęcia decyzji o przypisaniu danej osoby do danego profilu.

Profilowaniem w świetle RODO nie będzie również przypisywanie do określonych profili całych grup osób. W świetle definicji, dotyczy „(…) danych osobowych osoby fizycznej (…)”.

Pojęcie zostało opisane wprost w następujących przepisach RODO:

 • 4 pkt 4 – zawarta tam jest definicja profilowania;
 • 13 ust. 4 pkt f – w zakresie objęcia profilowania obowiązkiem informacyjnym;
 • 15 ust. 1 lit h – w zakresie prawa do informacji o dokonywanym profilowaniu;
 • 21 – w zakresie prawa do sprzeciwu względem profilowania
 • 22 – w zakresie prawa do żądania niepodlegania decyzji opartych na profilowaniu.

Oprócz tego dodać należy, że do profilowania mają zastosowanie także ogólne zasady RODO – np. prawo do bycia zapomnianym czy prawo do sprostowania.

Niektóre ograniczenia wywnioskować należy również z motywów – czyli nie mających charakteru normatywnego interpretacji zawartych w preambule Rozporządzenia. Dotyczy to w szczególności ochrony danych dzieci. Przykładowo motyw 38 wskazuje, że tworzenie profili osobowych dzieci dla celów marketingowych powinno podlegać szczególnej ochronie.

INFORMOWANIE I UZYSKIWANIE ZGODY NA PROFILOWANIE

Pierwszą konsekwencją przytoczonych przepisów jest rozszerzony obowiązek informowania o tym, iż administrator na podstawie profilowania podejmuje zautomatyzowane decyzje oraz, jakie są reguły podejmowania takich decyzji, a także, jakie konsekwencje dla osoby, której dane są przetwarzane się z tym wiążą. Część normatywna RODO nie określa obowiązku informowania czy tym bardziej pozyskiwania zgody – choć niektórzy interpretatorzy wskazują w tym kontekście na treść motywu 60, które zaleca takie działania. Motyw ten nie znalazł jednak bezpośredniego odzwierciedlenia w normatywnej części RODO. Tak więc można przyjąć, że jeżeli administrator profiluje dane wyłącznie w celach statystycznych czy rozwojowych lub wyłącznie na wewnętrzne potrzeby i nie wiąże się to z żadnym procesem decyzyjnym względem osoby, której dane są przetwarzane, nie ma również obowiązku informować o tym działaniu lub uzyskiwać zgody w tym zakresie.

W RODO nie do końca wyjaśnione, jak należy rozumieć pojęcie „wykorzystanie do celów podejmowania decyzji”. Do czasu, kiedy kwestia ta nie zostanie dookreślona przez oficjalne interpretacje oraz orzecznictwo sądowe,  zalecałbym przyjęcie najszerszej, a co za tym idzie najbezpieczniejszej interpretacji.

 

Chcesz pozyskiwać wartościowe leady zgodnie z RODO i zdobywać klientów?

 

Za decyzję opartą na profilowaniu może być uznana każde działanie lub zaniechanie, którego efektem jest podjęcie określonej aktywności skierowanej do osoby, której dane podlegały profilowaniu lub dotyczące zakresu jej praw i obowiązków.

Opierając się na omawianym wcześnie przykładzie mojej osoby, „decyzją” będzie przygotowanie oferty rabatowej dedykowanej dla prawników. Decyzją będzie również podwyższenie mi wyceny składki OC ze względu na to, iż osoby zajmujące się danymi osobowymi statystycznie powodują więcej wypadków (mam nadzieję, że to abstrakcyjny przykład). Decyzją będzie również zaniechanie wysyłki określonych ofert do mnie – np. ze względu na zaliczenie mnie do profilu „ojców”, jak również decyzja o wysyłaniu ofert dotyczących literatury zajmującej się zagadnieniami danych osobowych.

I w takim wypadku RODO wymaga, abym miał wiedzę czy dany podmiot korzysta z profilowania względem moich danych, jakie dane są używane, jak zostałem „sprofilowany” czy też jaki jest cel profilowania danych.

Różne są zdania do wyrażenia zgody na profilowanie. Wymóg taki nie został wpisany w RODO wprost. Pośrednio na istnienie takiego obowiązku może wskazywać treść motywu 72 „profilowanie podlega przepisom niniejszego rozporządzenia dotyczącym przetwarzania danych osobowych, takim jak przepisy określające podstawy prawne przetwarzania lub zasady ochrony danych”, ale jak już wspomniałem – motywy nie mają charakteru normatywnego. Pośrednio komentatorzy wywodzą obowiązek informowania o automatycznym podejmowaniu decyzji opartych na profilowaniu również z treści z art. 22. Należy tu wskazać, że również WG29, czyli podmiot dokonujący interpretacji przepisów o ochronie danych osobowych, a za nim duża część komentatorów, stoi na stanowisku, iż automatyczne podejmowanie decyzji w oparciu o profilowanie, aby było legalne, powinno być poprzedzone uzyskaniem wyraźnej zgody w tym zakresie. Wynika to z interpretacji treści art. 22 ust. 1 RODO, zgodnie z którym osoba, której dane dotyczą, ma prawo do niepodlegania decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołuje wobec niej skutki prawne, od którego wyjątek stanowi sytuacja uzyskania zgody.  W mojej jednak opinii – taka interpretacja nie znajduje odzwierciedlenia w treści tegoż artykułu, ponieważ „prawo do niepodlegania profilowaniu” nie jest równoznaczne z „zakazem profilowania” i wymaga aktywności danej osoby w celu realizacji tego prawa. Przy takiej interpretacji, odrębna zgoda dotycząca profilowania nie jest niezbędna, o ile w sposób prawidłowy wypełniony został obowiązek informacyjny. Podobnie jednak, jak większość komentatorów, zgadzam się z opinią, że w związku z treścią art. 9 RODO wyraźna zgoda na automatyczne podejmowanie decyzji konieczna jest w przypadku, gdy profilowane są dane wrażliwe. Może się również zdarzyć, że pozyskanie zgody będzie działaniem korzystnym dla administratora ze względu na konsekwencje wynikające z prawa do niepodlegania profilowaniu, co nieco szerzej omówione zostanie w dalszej części.

PRAWO DO NIEPODLEGANIA PROFILOWANIU, SPRZECIW, INFORMOWANIE I SPROSTOWANIE

RODO przewiduje prawo każdej osoby do niepodlegania decyzjom opierającym się wyłącznie na profilowaniu (art. 22) jeżeli decyzja ta wywołuje wobec niej skutki prawne lub wpływa na nią w inny sposób. Od tego prawa przewidziano wyjątki – kiedy decyzja jest niezbędna do zawarcia lub wykonania umowy lub została dozwolona na poziomie prawa powszechnie obowiązującego lub osoba, której dane podlegają profilowaniu wyraziła na to zgodę. Warunkiem koniecznym dla zapewnienia realizacji tego prawa jest, aby osoba której proces ten dotyczy o tym wiedziała. Realizacja tego warunku opiera się bądź to na prawidłowo zrealizowanym obowiązku informacyjnym, bądź uzyskaniu zgody w tym zakresie.

Realizacja tego prawa będzie polegała na złożeniu przez osobę uprawnioną żądania zaniechania podejmowania automatycznych decyzji opartych na profilowaniu. Wniosek taki należy niezwłocznie zrealizować, z wyłączeniem sytuacji, w których prawo to zostało wyłączone – np. poprzez wcześniejsze wydanie zgody.

Pojawia się w tym kontekście pytanie, czy zgoda na profilowanie może stanowić część umowy. W mojej opinii – tak. Wynika to z treści art.  7 ust. 2, który generalnie przewiduje możliwość wyrażenia zgody w oświadczeniu dotyczącym także innych kwestii.

Pojawia się pytanie czy określone działanie można uzależnić od złożenia zgody na profilowanie lub od niewycofywania tej zgody? Odpowiedź na to pytanie nie jest jednoznaczna. W mojej ocenie – jest to dopuszczalne. Przepisy RODO nie wyłączają w żadnym miejscu wprost takiego prawa. Jeżeli więc przyjmiemy, że dana oferta wynika ze zautomatyzowanego procesu profilowania, to oczywistym jest, że zaprzestanie takiego procesu na podstawie żądania osoby uprawnionej spowoduje brak możliwości korzystania z oferty. Wracając do mojego przykładu – jeżeli dzięki sprofilowaniu mnie jako „profesjonalnego prawnika”, skrypt księgarni automatycznie przyznaje mi rabat na książki prawnicze, to po złożeniu żądania w zakresie niepodlegania decyzjom opartym na profilowaniu – uprawnienie to zostanie mi odebrane. Podobnie w przypadku decyzji o zniżce w ubezpieczeniu AC opartej na automatycznej analizie stylu jazdy opartej na GPS. Jeżeli ubezpieczony wycofa zgodę na wykorzystanie tych danych do podejmowania decyzji – wówczas prawidłowym będzie cofnięcie ulg czy zniżek, jakie z tego tytułu otrzymywał – choć warto tu wspomnieć, że w zakresie przetwarzania danych osobowych przez firmy ubezpieczeniowe przyjęte zostaną prawdopodobnie szczególne rozwiązania o charakterze ustawowym, które tę problematykę mogą uregulować w sposób odmienny.

W art. 21 RODO przewidziane zostało prawo sprzeciwu wobec przetwarzania danych – dotyczy również profilowania. Po otrzymaniu sprzeciwu, należy niezwłocznie zaprzestać profilowania – także na potrzeby wewnętrzne, „chyba że wykaże on [administrator] istnienie ważnych, prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.”

To ostatnie wyłączenie, opisane w RODO nie dotyczy profilowania na potrzeby marketingu bezpośredniego, w którym to zakresie osoba podlegająca profilowaniu może wnieść sprzeciw w każdych okolicznościach i w każdym czasie. W innych okolicznościach, realizacja prawa do sprzeciwu nie ma charakteru bezwzględnego i w tym zakresie możliwa jest odmowa – o ile zaistnieją przesłanki, uzasadniające dalsze profilowanie danych osobowych.

O prawie tym bezwzględnie należy poinformować przy wypełnianiu obowiązków informacyjnych.

Z prawem do informacji o przetwarzanych danych wiąże się również prawo do ich sprostowania – dotyczy to także danych wywnioskowanych w oparciu o profilowanie. Posługując się wcześniejszym przykładem – fakt kupowania przeze mnie dziecięcych książek nie musi oznaczać, że jestem ojcem. Być może często daje takie prezenty moim licznym bratankom. Uzyskując informację, iż system sprofilował mnie automatycznie jako „ojca” – co przecież może mieć konsekwencje np. w zakresie dostępu do ofert kierowanych do osób bezdzietnych, powinienem mieć możliwość sprostowania tej informacji.

W zakresie realizacji prawa do przenoszenia danych, stoję na stanowisku, iż profile mu nie podlegają. Informacje uzyskane w trakcie profilowania nie należą bowiem ani do kategorii danych pozyskanych wprost, ani do kategorii danych „zaobserwowanych”. Są to dane oparte o wnioskowanie na podstawie powyższych informacji. Sposób tego wnioskowania może stanowić know-how i aktywa przedsiębiorcy, który dokonuje profilowania. Wnioski te nie muszą też odpowiadać rzeczywistości (jak choćby we wskazanym wyżej przykładzie). Tak więc realizując prawo do przenoszenia danych, w mojej opinii można pominąć dane o profilowaniu, choć informacji takich nie powinno pomijać się przy realizacji prawa osoby, której dane przetwarzamy, do informacji.

Rola administratora danych osobowych

Pojęcie administratora danych osobowych ujęto art. 4 pkt 7 rozporządzenia, zgodnie z nim jest to podmiot, organ lub osoba, która decyduje o środkach i celach przetwarzania danych. Przy profilowaniu administrator ma obowiązek przestrzegania zasad ujętych w Rozporządzeniu, zgodnie z którymi profilowanie należy przeprowadzać

 • w danych okolicznościach i kontekście,
 • zapewniając odpowiednie bezpieczeństwo, w tym ochronę przed utratą,

nieautoryzowaną modyfikacją danych lub nieuprawnionym dostępem,

 • z uwzględnieniem możliwości korekty ewentualnych nieprawidłowości
 • z możliwie maksymalnym wykluczeniem ryzyka błędu.

Podsumowując artykuł, należy sobie zadać pytanie, czy dziś można prowadzić efektywne kampanie marketingowe bez profilowania danych? Odpowiedź brzmi – nie! Praktycznie personalizacja ofert czy przekazów baz, a nawet funkcji w systemach, wykorzystuje profilowanie, aby dostarczyć komfort użytkowania danego serwisu. Należy podkreślić, że segmentacja na bazie profili daje wiele korzyści nie tylko samym reklamodawcom, ale również odbiorcom, którzy dostają konkretną wartość informacyjną w treściach, jakie otrzymują. Dopasowanie oferty do klienta zwiększa efektywność marketingu, a pośrednio sprzedaż wielu firm. To, co jest ważne, to to, że dobra segmentacja danych prowadzi do większej interakcji z odbiorcą np. w realizowanych kampaniach mailingowych. Nie muszę chyba mówić, że to przekłada się na podniesienie reputacji Twojej domeny, z której np. wysyłasz komunikaty reklamowe.

 

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie pozyskiwania klientów zgodnie z RODO? Testuj bezpłatnie na platformie i skontaktuj się z nami przez chat.

 

Testuj bezpłatnie 

 

Źródła:

 1. RODO, Ogólne Rozporządzenie o Ochronie Danych
 2. W29, WP 251, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679;
 3. RODO Ogólne Rozporządzenie o Ochronie Danych – komentarz, E.Bielak-Jomaa, D. Lubasz (red.)
 4. Przetwarzanie danych osobowych – kryteria profilowania – Rzeczpospolita, 24 marca 2017, Maria Guzewska, Izabela Kowalczuk-Pakuła
Autor artykułu
CEO | Prezes Zarządu

Przeczytaj więcej z tej kategorii

0 0 głosy
Oceń artykuł
Subscribe
Powiadom o
guest
2 komentarzy
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
Miko

Dzień dobry
Z tekstu wynika, że „decyzją” będzie przygotowanie dedykowanej oferty rabatowej, czy zwiększenie składki OC. Wydaje się to dość logiczne. Co jednak w sytuacji, gdy ktoś serwuje reklamy w AdWords do wszystkich użytkowników swojej strony, zakładając tylko że osoby mające wcześniej kontakt ze stroną o danej tematyce z większym prawdopodobieństwem dokonają na niej zakupu? Nie występuję różnicowanie ze względu na ich specyficzne cechy. Każdy kto odwiedził stronę widzi taką samą reklamę. Czy takie działanie to już profilowanie, czy jeszcze nie?
Z góry dziękuję za pomoc.

Tomasz Dziobiak

takie działanie jest profilowaniem. dlatego warto przygotować odpowiednią zgodę i poinformować, użytkownika o tym, że taki proces w obszarze strony będzie realizowany.

Przewiń do góry