Profilowanie danych osobowych to jedno z najważniejszych zagadnień, które pojawiło się wraz z wejściem w życie RODO. Choć w potocznym rozumieniu często utożsamia się je wyłącznie z marketingiem, w rzeczywistości dotyczy ono wielu branż – od bankowości i ubezpieczeń, przez medycynę, aż po administrację publiczną. Warto zrozumieć, czym różni się profilowanie zwykłe od profilowania kwalifikowanego, ponieważ wiąże się to z odmiennymi obowiązkami administratorów i odmiennymi prawami osób, których dane dotyczą.
Definicja profilowania zwykłego
Podstawową definicję znajdziemy w art. 4 pkt 4 RODO, zgodnie z którym:
„Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.”
👉 Z tej definicji wynika, że funkcją profilowania jest:
- identyfikacja danej osoby,
- analiza jej zachowania lub cech,
- przewidywanie przyszłych działań tej osoby.
Trzy przesłanki profilowania zwykłego
Aby dane działanie uznać za profilowanie zwykłe, muszą być spełnione trzy warunki:
- Dotyczy danych osobowych – a więc nie chodzi o dane anonimowe.
- Stanowi zautomatyzowane przetwarzanie – choć może być częściowo wspierane przez człowieka.
- Prowadzi do oceny czynników osobowych – czyli np. wiarygodności finansowej, stanu zdrowia, zainteresowań czy lokalizacji.
Co nie jest profilowaniem?
Nie każde zautomatyzowane działanie na danych oznacza profilowanie.
Przykład:
Firma transportowa „FastBus” analizuje strukturę swoich klientów i dzieli ich jedynie według płci, aby sprawdzić, czy wśród pasażerów dominują mężczyźni czy kobiety. To zwykła statystyka – nie ma tu oceny cech konkretnej osoby, więc nie jest to profilowanie w rozumieniu RODO.
Formy profilowania
Profilowanie może przyjmować różne postacie:
- Niezautomatyzowane – bazuje głównie na działaniach człowieka (np. pracownik analizuje ręcznie dane klientów). Takie działania nie mieszczą się w definicji art. 4 pkt 4 RODO.
- Częściowo zautomatyzowane – część procesu odbywa się algorytmicznie, np. komputer grupuje klientów według zachowań zakupowych, ale ostateczne decyzje podejmuje człowiek.
- Całkowicie zautomatyzowane – proces opiera się wyłącznie na algorytmach. System nie tylko analizuje dane, ale też wyciąga wnioski i klasyfikuje osoby do określonych kategorii, bez udziału człowieka.
⚠️ W tym ostatnim przypadku wkraczamy w regulacje art. 22 RODO, dotyczące profilowania kwalifikowanego.
Ocena czynników osobowych – jak ją rozumieć?
Wyliczenie zawarte w art. 22 RODO nie jest katalogiem zamkniętym. Oceniane mogą być m.in.:
- sytuacja ekonomiczna,
- zdrowie,
- preferencje,
- wiarygodność,
- zachowania,
- lokalizacja.
Celem takiej oceny jest zazwyczaj zakwalifikowanie osoby do określonej grupy lub kategorii.
⚠️ Ważne: sama prosta kategoryzacja danych bez wyciągania dodatkowych wniosków nie jest profilowaniem.
Profilowanie kwalifikowane – kiedy w grę wchodzi art. 22 RODO?
Choć zwykłe profilowanie to tylko analiza i ocena danych osobowych w celach predykcyjnych lub marketingowych, to profilowanie kwalifikowane jest już działaniem szczególnie ryzykownym z punktu widzenia praw jednostki.
Definicja w art. 22 ust. 1 RODO
Osoba, której dane dotyczą, ma prawo:
„…do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa.”
👉 W praktyce oznacza to, że profilowanie staje się kwalifikowane, jeśli spełnione są dwa warunki łącznie:
- Decyzja jest podjęta wyłącznie automatycznie, bez udziału człowieka,
- Wywołuje skutek prawny (np. odmowa zawarcia umowy) albo w istotny sposób wpływa na sytuację danej osoby (np. odmowa dostępu do usługi, obniżenie oceny wiarygodności).
Przykład profilowania kwalifikowanego
Pani Karolina stara się o pożyczkę w banku. System informatyczny, opierając się na jej historii zakupów online, danych z Biura Informacji Kredytowej oraz analizie zachowań w mediach społecznościowych, automatycznie odmawia przyznania kredytu. Pani Karolina nie ma możliwości rozmowy z konsultantem ani odwołania się od tej decyzji.
To klasyczny przypadek profilowania kwalifikowanego – decyzja jest automatyczna i istotnie wpływa na prawa i obowiązki klientki.
Zautomatyzowane podejmowanie decyzji a profilowanie
RODO rozróżnia dwie kategorie:
- zautomatyzowane podejmowanie decyzji – decyzja zapada automatycznie, ale niekoniecznie na podstawie oceny cech osobowych,
- profilowanie kwalifikowane – szczególny przypadek automatycznej decyzji, który zawsze opiera się na ocenie czynników osobowych.
Przykład:
- Fotoradar: system automatycznie wystawia mandat kierowcy. To automatyczna decyzja, ale nie jest profilowaniem, bo nie ocenia cech osobowych.
- Fotoradar + analiza historii wykroczeń: jeśli wysokość kary zależy od wcześniejszych przewinień danego kierowcy, mamy już do czynienia z profilowaniem.
Obowiązki administratora przy profilowaniu kwalifikowanym
Jeśli przedsiębiorca stosuje kwalifikowane profilowanie, osoba, której dane dotyczą, zyskuje dodatkowe prawa:
- prawo do interwencji człowieka – administrator musi zapewnić możliwość weryfikacji decyzji przez pracownika,
- prawo do wyrażenia własnego stanowiska – osoba może przedstawić swoje argumenty,
- prawo do zakwestionowania decyzji – czyli swoiste „odwołanie się” od decyzji algorytmu.
Te mechanizmy mają na celu zminimalizowanie ryzyka, że rozwój technologii i algorytmów naruszy prawa jednostki.
Kiedy profilowanie kwalifikowane jest dopuszczalne?
Co do zasady jest ono zakazane, ale art. 22 ust. 2 RODO przewiduje trzy wyjątki. Automatyczne decyzje oparte na profilowaniu mogą być legalne, jeśli:
- Są niezbędne do zawarcia lub wykonania umowy
👉 np. system automatycznie zatwierdzający mikropożyczki w aplikacji fintech, jeśli bez tego zawarcie umowy byłoby niemożliwe. - Są dopuszczone na podstawie prawa UE lub prawa krajowego
👉 np. obowiązek stosowania systemów antyfraudowych przez banki w celu przeciwdziałania praniu pieniędzy. - Opierają się na wyraźnej zgodzie osoby, której dane dotyczą
👉 np. użytkownik aplikacji finansowej świadomie zgadza się na automatyczną ocenę zdolności kredytowej, aby szybciej uzyskać decyzję.
Szczególna ochrona danych wrażliwych
Dane określone w art. 9 ust. 1 RODO (np. dotyczące zdrowia, przekonań religijnych, orientacji seksualnej) mogą być wykorzystane do profilowania tylko wyjątkowo – gdy:
- osoba wyraziła wyraźną zgodę, lub
- przetwarzanie jest niezbędne ze względu na ważny interes publiczny (art. 22 ust. 4 RODO).
Przykład:
Szpital korzysta z systemu analizującego wyniki badań pacjentów i automatycznie wskazującego grupę ryzyka chorób serca. Taki system może być legalny, jeśli przetwarzanie odbywa się w oparciu o przepisy prawa lub zgodę pacjenta.
Podsumowanie – różnice między profilowaniem zwykłym a kwalifikowanym
- Profilowanie zwykłe – to każda forma zautomatyzowanego przetwarzania danych służąca ocenie czynników osobowych (np. preferencji zakupowych). Nie wywołuje ono jednak skutków prawnych ani nie wpływa istotnie na sytuację osoby.
- Profilowanie kwalifikowane – występuje wtedy, gdy decyzja jest podejmowana wyłącznie automatycznie i wywołuje skutki prawne lub w podobny sposób istotnie oddziałuje na osobę (np. odmowa kredytu, odmowa zawarcia umowy ubezpieczenia).
👉 Dla przedsiębiorcy oznacza to, że jeśli stosuje narzędzia algorytmiczne wpływające na prawa lub obowiązki klientów, musi:
- przewidzieć udział człowieka w procesie decyzyjnym,
- umożliwić klientowi zakwestionowanie decyzji,
- zapewnić pełną przejrzystość działań,
- w przypadku danych wrażliwych – mieć dodatkową podstawę prawną (zgoda lub interes publiczny).
Zestawienie porównawcze – profilowanie zwykłe vs. kwalifikowane
| Kryterium | Profilowanie zwykłe | Profilowanie kwalifikowane |
|---|---|---|
| Podstawa prawna | art. 4 pkt 4 RODO | art. 22 RODO |
| Cel | analiza, prognoza, klasyfikacja (np. preferencje zakupowe) | podjęcie decyzji o skutkach prawnych lub istotnym wpływie na osobę |
| Udział człowieka | możliwy, często obecny | całkowity brak udziału człowieka |
| Skutek prawny / istotny wpływ | brak | zawsze występuje |
| Dopuszczalność | co do zasady dopuszczalne | co do zasady zakazane, chyba że: umowa, przepis prawa, zgoda |
| Przykład | personalizacja reklam w sklepie online | automatyczna odmowa kredytu bez możliwości odwołania |
Kluczowe wskazówki dla przedsiębiorców 📌
- Jeśli korzystasz z systemów opartych na sztucznej inteligencji lub algorytmach, zawsze sprawdź, czy Twoje działania mieszczą się jeszcze w definicji profilowania zwykłego, czy już kwalifikowanego.
- W przypadku profilowania kwalifikowanego zapewnij interwencję człowieka – inaczej narazisz się na naruszenie RODO.
- Przy danych wrażliwych (zdrowie, religia, poglądy polityczne) stosuj szczególną ostrożność – w większości przypadków potrzebna będzie wyraźna zgoda lub przepis prawa.
- Pamiętaj o prawie sprzeciwu – osoba zawsze może zakwestionować Twoje działania.
Podstawa prawna
- art. 4 pkt 4 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)
- art. 22 ust. 1–4 – RODO
- art. 9 ust. 1 – RODO
Tematy porad zawartych w poradniku
- profilowanie danych osobowych RODO
- różnice między profilowaniem zwykłym a kwalifikowanym
- automatyczne podejmowanie decyzji RODO
- prawa osoby wobec profilowania
Przydatne linki urzędowe
- Urząd Ochrony Danych Osobowych: https://uodo.gov.pl/
- Tekst RODO (EUR-Lex): https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Ministerstwo Cyfryzacji: https://www.gov.pl/web/cyfryzacja