1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Zautomatyzowane podejmowanie decyzji i profilowanie RODO – kiedy jest legalne?
Wyszukiwanie...

Zautomatyzowane podejmowanie decyzji i profilowanie RODO – kiedy jest legalne?

Spis treści

Zautomatyzowane przetwarzanie danych i profilowanie RODO są dziś powszechnie stosowane w marketingu, rekrutacji, ocenie zdolności kredytowej czy systemach ubezpieczeń. Choć technologie te zwiększają efektywność, mogą też budzić poważne wątpliwości prawne. Dlatego ważne jest, aby każdy przedsiębiorca, instytucja czy dział IT rozumieli, kiedy takie działania są zgodne z RODO i jakie obowiązki się z nimi wiążą. W tym poradniku krok po kroku pokażemy, jak ocenić legalność automatycznego podejmowania decyzji – w tym profilowania – na gruncie prawa unijnego.

🧩 Czym jest zautomatyzowane podejmowanie decyzji i profilowanie?

Zanim ocenisz, czy możesz legalnie stosować automatyczne decyzje lub profilowanie, musisz wiedzieć, z jakimi pojęciami masz do czynienia.

Zautomatyzowane przetwarzanie danych

Zgodnie z art. 4 pkt 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych, zarówno w sposób zautomatyzowany, jak i niezautomatyzowany, np. zbieranie, przechowywanie, porządkowanie czy usuwanie danych.

Zautomatyzowane przetwarzanie to przetwarzanie danych przy pomocy systemów informatycznych bez udziału człowieka. Typowym przykładem są systemy scoringowe czy chatboty podejmujące decyzje bez nadzoru człowieka.

Profilowanie

Zgodnie z art. 4 pkt 4 RODO, profilowanie to:

„dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej”.

Profilowanie może obejmować ocenę wydajności pracy, zdrowia, preferencji, lokalizacji, wiarygodności finansowej, zachowań itd.

🧩 Kiedy art. 22 RODO ma zastosowanie?

RODO nie zakazuje automatycznego przetwarzania ani profilowania – jednak ogranicza możliwość wydawania decyzji wyłącznie na podstawie takich działań, jeśli:

✔ decyzja wywołuje skutki prawne wobec osoby, której dane dotyczą (np. odmowa kredytu),
istotnie wpływa na tę osobę w inny sposób (np. brak dostępu do usług, automatyczne odrzucenie CV).

📜 Art. 22 ust. 1 RODO stanowi:

„Osoba, której dane dotyczą, ma prawo nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa”.

🧩 Kiedy automatyczna decyzja jest dopuszczalna?

Mimo generalnego zakazu, art. 22 ust. 2 RODO przewiduje trzy wyjątki, kiedy takie decyzje są legalne:

  1. Niezbędność do zawarcia lub wykonania umowy z osobą, której dane dotyczą (np. automatyczne przyznanie oferty online).
  2. Dozwolone przepisami prawa, które przewidują środki ochrony praw, wolności i interesów danej osoby (np. przepisy prawa bankowego).
  3. Wyraźna zgoda osoby, której dane dotyczą.

Każdy z tych przypadków musi być jasno udokumentowany przez administratora danych.

🧩 Przykłady praktyczne

🧩 Przykład 1: Automatyczne odrzucenie kredytu

🧑‍💼 Bank „Kredyto” korzysta z algorytmu oceniającego zdolność kredytową klienta. W przypadku złego wyniku, system automatycznie odrzuca wniosek.

❗ Jeśli decyzja nie jest przeglądana przez pracownika, to mamy do czynienia z decyzją opartą wyłącznie na automatyzacji, co oznacza, że musi być spełniony jeden z wyjątków z art. 22 ust. 2 RODO.

🧩 Przykład 2: Personalizowane oferty ubezpieczeniowe

🏢 Firma ubezpieczeniowa „Bezpieczni.pl” stosuje profilowanie klientów, by przedstawić im dopasowane oferty. Decyzję ostatecznie podejmuje konsultant.

✅ Taka decyzja nie jest wydawana wyłącznie przez system, więc nie podlega art. 22 RODO.

🧩 Czy częściowa automatyzacja też podlega ograniczeniom?

Nie. Jeśli decyzja podejmowana jest z udziałem człowieka, nawet jeżeli korzysta on z wyników profilowania czy automatycznych analiz – to art. 22 RODO nie ma zastosowania.

💡 Warto w tym miejscu podkreślić, że częściowa automatyzacja procesów jest w pełni dopuszczalna i nie wymaga spełnienia szczególnych przesłanek.

🧩 Kiedy przetwarzanie NIE podlega art. 22 RODO?

Pamiętaj, że nie każde zautomatyzowane działanie wymaga oceny zgodności z art. 22 RODO. Ograniczenia NIE dotyczą:

  • przetwarzania tradycyjnego (np. ręcznego),
  • decyzji wspomaganych przez człowieka,
  • profilowania bez skutków prawnych lub istotnego wpływu.

🧩 Czym jest zautomatyzowane podejmowanie decyzji i profilowanie?

Zanim ocenisz, czy możesz legalnie stosować automatyczne decyzje lub profilowanie, musisz wiedzieć, z jakimi pojęciami masz do czynienia.

Zautomatyzowane przetwarzanie danych

Zgodnie z art. 4 pkt 2 RODO, przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych, zarówno w sposób zautomatyzowany, jak i niezautomatyzowany, np. zbieranie, przechowywanie, porządkowanie czy usuwanie danych.

Zautomatyzowane przetwarzanie to przetwarzanie danych przy pomocy systemów informatycznych bez udziału człowieka. Typowym przykładem są systemy scoringowe czy chatboty podejmujące decyzje bez nadzoru człowieka.

Profilowanie

Zgodnie z art. 4 pkt 4 RODO, profilowanie to:

„dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej”.

Profilowanie może obejmować ocenę wydajności pracy, zdrowia, preferencji, lokalizacji, wiarygodności finansowej, zachowań itd.

🧩 Kiedy art. 22 RODO ma zastosowanie?

RODO nie zakazuje automatycznego przetwarzania ani profilowania – jednak ogranicza możliwość wydawania decyzji wyłącznie na podstawie takich działań, jeśli:

✔ decyzja wywołuje skutki prawne wobec osoby, której dane dotyczą (np. odmowa kredytu),
istotnie wpływa na tę osobę w inny sposób (np. brak dostępu do usług, automatyczne odrzucenie CV).

📜 Art. 22 ust. 1 RODO stanowi:

„Osoba, której dane dotyczą, ma prawo nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa”.

🧩 Kiedy automatyczna decyzja jest dopuszczalna?

Mimo generalnego zakazu, art. 22 ust. 2 RODO przewiduje trzy wyjątki, kiedy takie decyzje są legalne:

  1. Niezbędność do zawarcia lub wykonania umowy z osobą, której dane dotyczą (np. automatyczne przyznanie oferty online).
  2. Dozwolone przepisami prawa, które przewidują środki ochrony praw, wolności i interesów danej osoby (np. przepisy prawa bankowego).
  3. Wyraźna zgoda osoby, której dane dotyczą.

Każdy z tych przypadków musi być jasno udokumentowany przez administratora danych.

🧩 Przykłady praktyczne

🧩 Przykład 1: Automatyczne odrzucenie kredytu

🧑‍💼 Bank „Kredyto” korzysta z algorytmu oceniającego zdolność kredytową klienta. W przypadku złego wyniku, system automatycznie odrzuca wniosek.

❗ Jeśli decyzja nie jest przeglądana przez pracownika, to mamy do czynienia z decyzją opartą wyłącznie na automatyzacji, co oznacza, że musi być spełniony jeden z wyjątków z art. 22 ust. 2 RODO.

🧩 Przykład 2: Personalizowane oferty ubezpieczeniowe

🏢 Firma ubezpieczeniowa „Bezpieczni.pl” stosuje profilowanie klientów, by przedstawić im dopasowane oferty. Decyzję ostatecznie podejmuje konsultant.

✅ Taka decyzja nie jest wydawana wyłącznie przez system, więc nie podlega art. 22 RODO.

🧩 Czy częściowa automatyzacja też podlega ograniczeniom?

Nie. Jeśli decyzja podejmowana jest z udziałem człowieka, nawet jeżeli korzysta on z wyników profilowania czy automatycznych analiz – to art. 22 RODO nie ma zastosowania.

💡 Warto w tym miejscu podkreślić, że częściowa automatyzacja procesów jest w pełni dopuszczalna i nie wymaga spełnienia szczególnych przesłanek.

🧩 Kiedy przetwarzanie NIE podlega art. 22 RODO?

Pamiętaj, że nie każde zautomatyzowane działanie wymaga oceny zgodności z art. 22 RODO. Ograniczenia NIE dotyczą:

  • przetwarzania tradycyjnego (np. ręcznego),
  • decyzji wspomaganych przez człowieka,
  • profilowania bez skutków prawnych lub istotnego wpływu.

🧩 Szczególne kategorie danych a decyzje zautomatyzowane

RODO wyjątkowo restrykcyjnie podchodzi do przetwarzania tzw. szczególnych kategorii danych osobowych, do których zalicza się m.in.:

  • dane ujawniające pochodzenie rasowe lub etniczne,
  • poglądy polityczne, przekonania religijne lub światopoglądowe,
  • przynależność do związków zawodowych,
  • dane genetyczne i biometryczne (dla celów identyfikacji),
  • dane dotyczące zdrowia, życia seksualnego lub orientacji seksualnej.

📜 Zgodnie z art. 9 ust. 1 RODO, co do zasady nie wolno ich przetwarzać w celu podejmowania decyzji wyłącznie w sposób zautomatyzowany.

🧩 Kiedy można profilować na podstawie szczególnych danych?

Dopuszczalne są tylko dwa wyjątki:

  1. Wyraźna zgoda osoby, której dane dotyczą (art. 9 ust. 2 lit. a RODO),
  2. Niezbędność przetwarzania w ważnym interesie publicznym, na podstawie prawa (art. 9 ust. 2 lit. g RODO).

‼️ W obu przypadkach administrator musi wdrożyć odpowiednie środki ochrony praw, wolności i interesów osoby, której dane dotyczą – np. prawo do interwencji ludzkiej i możliwość zakwestionowania decyzji.

🧩 Obowiązki administratora przy legalnym przetwarzaniu

Nawet jeśli decyzja zautomatyzowana jest dozwolona, administrator musi zadbać o dodatkowe zabezpieczenia:

📌 Zgodnie z art. 22 ust. 3 RODO, należy zapewnić osobie:

  • możliwość uzyskania interwencji człowieka,
  • prawo do wyrażenia własnego stanowiska,
  • prawo do zakwestionowania decyzji.

Administrator powinien też poinformować osobę o logice podejmowania decyzji, jej znaczeniu oraz możliwych konsekwencjach.

🧩 Przykład praktyczny

🧩 Przykład 3: System scoringowy w rekrutacji

Firma „WorkScan” wdrożyła algorytm, który na podstawie CV i aktywności online ocenia kandydata. System samodzielnie odrzuca osoby z niskim wynikiem.

📌 Jeśli system działa w pełni automatycznie, a dane dotyczące np. przynależności związkowej lub stanu zdrowia są brane pod uwagę, decyzja może być nielegalna, chyba że osoba wyraziła na to wyraźną zgodę lub przemawia za tym ważny interes publiczny.

⚠️ Kiedy zautomatyzowane decyzje są niedopuszczalne?

Jeśli nie zachodzi żadna z przesłanek z art. 22 ust. 2 RODO lub decyzja dotyczy szczególnych kategorii danych bez podstawy prawnej – administrator musi zrezygnować z automatyzacji.

📄 W przeciwnym razie mamy do czynienia z naruszeniem RODO, które może prowadzić do poważnych konsekwencji.

⚠️ Odpowiedzialność i sankcje za naruszenie art. 22 RODO

Zgodnie z art. 83 ust. 5 RODO, naruszenie przepisów dotyczących praw osób fizycznych (w tym art. 22) może skutkować:

  • administracyjną karą pieniężną do 20 milionów euro,
  • albo – w przypadku przedsiębiorstwa – do 4% całkowitego rocznego światowego obrotu (stosuje się wartość wyższą).

🔐 Dlatego tak istotna jest dokładna analiza, zanim firma wdroży systemy podejmujące decyzje w sposób automatyczny.

✅ Podsumowanie: Co musisz wiedzieć o zautomatyzowanym podejmowaniu decyzji?

✔ Nie każda automatyzacja jest zabroniona – tylko taka, która całkowicie eliminuje udział człowieka i istotnie wpływa na osobę fizyczną.

✔ Tylko trzy przesłanki legalizują takie działania: umowa, zgoda osoby, przepis prawa.

✔ Jeśli przetwarzane są dane wrażliwe (np. o zdrowiu, pochodzeniu), konieczna jest zgoda osoby lub interes publiczny i dodatkowe zabezpieczenia.

✔ Osoba fizyczna ma prawo do interwencji ludzkiej, wyrażenia opinii oraz zakwestionowania decyzji.

✔ Naruszenie przepisów może skutkować wysokimi karami finansowymi.

📚 Podstawa prawna

  • art. 4 pkt 2 i pkt 4, art. 7, art. 9 ust. 1 i 2, art. 22 ust. 1–3, art. 83 ust. 5 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO)

🔖 Tematy porad zawartych w poradniku:

  • zautomatyzowane decyzje RODO
  • profilowanie a prawo
  • automatyczne przetwarzanie danych osobowych
  • zgoda na profilowanie
  • RODO art. 22 zastosowanie

📎 Przydatne linki:

Ostatnia aktualizacja: 03.04.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: