Profilowanie jest zagadnieniem związanym z takimi pojęciami jak Big data czy Internet rzeczy i będzie nabierało coraz większego znaczenia wraz z rozwojem technologicznym, w szczególności sztucznej inteligencji. Jest wykorzystywane w marketingu, rekrutacji, czynnościach bankowych i innych sytuacjach, kiedy zestawienie dużej ilości danych pomaga podjąć odpowiednie decyzje.
Profilowanie zwykłe
Rodo definiuje profilowanie w art. 4 pkt 4 rodo, jako zautomatyzowane przetwarzanie polegające na zestawianiu danych osoby i wyciąganie wniosków na jej temat. Celem profilowania jest więc ocena osoby, prognoza jej zachowania, wyborów itd. Przetwarzanie to musi być zautomatyzowane. Rodo nie zawiera definicji zautomatyzowanego przetwarzania. Automatyka jest dziedziną, która zajmuje się procesami przemysłowymi czy technologicznymi bez udziału człowieka albo z jego ograniczonym udziałem. O częściowo lub całkowicie zautomatyzowanym przetwarzaniu mówi też art. 2 rodo, wyznaczający zakres zastosowania rozporządzenia. Zautomatyzowane przetwarzanie będzie zwykle polegało na przetwarzaniu elektronicznym (z udziałem komputera), co nie wyklucza analogowych automatów.
W Wytycznych WP251 G29 przytacza następujące etapy profilowania:
- zbieranie danych;
- zautomatyzowaną analizę w celu określenia korelacji;
- wykorzystywanie korelacji do celów stworzenia charakterystyki obecnego lub przyszłego zachowania danej osoby fizycznej.
Profilowanie jest więc przetwarzaniem pomocnym administratorowi w podjęciu decyzji dotyczącej podmiotu danych. Jest to profilowanie zwykłe, które można oprzeć na podstawie art. 6 ust. 1 lit. f rodo. Wobec takiego profilowania osoba może wnieść sprzeciw na podstawie art. 21 ust. 1 rodo. Profilowanie takie nie jest elementem (etapem) automatycznego procesu decyzyjnego, stanowi automatyczną ocenę, ale nie kończy się decyzją automatu.
Profilowanie kwalifikowane
Profilowanie kwalifikowane prowadzi automatycznie do podjęcia decyzji bez udziału (kontroli) człowieka, czyli jest automatyczną oceną połączoną z automatyczną decyzją. W tym wypadku to algorytm podejmuje decyzje. Algorytm jest pewnym ścisłym przepisem, który korzystając z danych wejściowych wytwarza dane wyjściowe. Obrazowo podaje się jako przykład algorytmu przepis kucharski – z góry określone składniki, połączone w określonej kolejności, mają dać określony efekt. Algorytm może być wpisany w program komputerowy, czy mówiąc inaczej program komputerowy jest algorytmem zrozumiałym dla maszyny, bo wyrażonym odpowiednim językiem programowania. Przy czym o profilowaniu można mówić kiedy mamy do czynienia z zaawansowanym algorytmem, zdolnym do analizy i wyciągania wniosków.
Taki stan faktyczny podpada pod zakres zastosowania (hipotezę) art. 22 rodo, który stanowi, że co do zasady osoba ma prawo nie podlegać automatycznemu podejmowaniu decyzji, która wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa. Od zasady tej istnieją trzy wyjątki przewidziane w art. 22 ust. 2 rodo, tj. gdy automatycznie podjęta decyzja:
a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
Wyraźna zgoda
Wyraźna zgoda nie musi stanowić pisemnego i podpisanego oświadczenia woli, może to być oświadczenie ustne, jak zauważa G29 w Wytycznych dotyczących zgody (WP259, s. 21). Należy jednak sądzić, że w przeciwieństwie do zgody zwykłej, wyraźna jednak nie powinna być jakimkolwiek jednoznacznym zachowaniem, tylko wypowiedzią właśnie.
Art. 22 ust. 1 w zw. z art. 4 pkt 4 – stosunek krzyżowania
Art. 22 rodo wprowadza zakaz podejmowania decyzji w wyniku zautomatyzowanego przetwarzania, w tym profilowania. Oznacza to, że profilowanie jest pojęciem węższym, które zawiera się w zautomatyzowanym podejmowaniu decyzji, tak przynajmniej sugeruje redakcja przepisu. Z definicji profilowania wynika, że nie musi kończyć się automatyczną decyzją, więc mamy tu stosunek krzyżowania, przy czym art. 22 dotyczy dwóch pierwszych zbiorów zdarzeń prawnych:
- automatyczna decyzja
- automatyczna ocena + automatyczna decyzja = profilowanie kwalifikowane
- automatyczna ocena = profilowanie zwykłe
Przykłady
W Wytycznych WP251 (s. 8), jak się zdaje chcąc na siłę podać przykład odróżniający automatyczną decyzję od automatycznej decyzji zawierającej profilowanie (profilowania kwalifikowanego), podano błędny przykład rzekomo automatycznej decyzji dokonywanej przez osobę nakładającą mandaty na podstawie dowodów z fotoradaru. Ani zrobienie zdjęcia przez fotoradar, ani tym bardziej skorzystanie z tego zdjęcia i wypisanie mandatu, nie podlega hipotezie art. 22 rodo. Nawet gdyby radar robił zdjęcie, a następnie aplikacja generowała mandat i wysyłała do osoby na maila, bez udziału człowieka, przepis nie miałby zastosowania. Przepis ten dotyczy sytuacji gdy algorytm podejmuje decyzję po przeprowadzeniu własnego procesu decyzyjnego, a nie tylko powiela (wykonuje) decyzję podjętą przez człowieka. To jaka prędkość jest dopuszczalna na danym terenie gdzie stoi radar, wynika z decyzji ustawodawcy a nie radaru. Gdyby radar porównywał aktualną pogodę, wiek samochodu, doświadczenie kierowcy, dochody kierowcy i inne jeszcze czynniki i na tej podstawie decydował o wysokości mandatu (korzystałby ze swobody decyzyjnej zakreślonej widełkami przepisu kodeksu wykroczeń), to wtedy zdarzenie prawne podlegałoby hipotezie normy.
Kilka zdań dalej, niejako w ramach rekompensaty, G29 podaje prawidłowy przykład na automatyczną decyzję:
decyzja w sprawie udzielenia kredytu jest podejmowana za pomocą algorytmu i automatycznie przekazywana danej osobie fizycznej, której dotyczy, nie podlegając wcześniej żadnej znaczącej ocenie przez człowieka.
Decyzja, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu
Z tego względu należy wątpić czy w ogóle możliwe jest podjęcie automatycznej decyzji bez profilowania (zaawansowanego algorytmu). Decyzja z natury rzeczy musi być poprzedzona procesem decyzyjnym (automatyczna ocena), który polega na zestawianiu informacji i wyciąganiu wniosków, co jest zbieżne z definicją profilowania. Bez profilowania (procesu decyzyjnego, automatycznej oceny) automat może powielić (wykonać) decyzję podjętą przez człowieka, ale na pewno nie o taką sytuację chodzi w przepisie. Nawet sama nazwa instytucji prawnej uregulowanej w art. 22 rodo brzmi: Zautomatyzowane podejmowanie decyzji, ang. Automated individual decision-making. Ponadto zasadniczy fragment przepisu brzmi: decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu. Jeśli to człowiek przeprowadza proces decyzyjny (np. prawodawca realny zastanawia się, konsultuje z ekspertami, jaka prędkość jest dopuszczalna na danym terenie i w związku z tym kiedy zrobić zdjęcie), a następnie prosty algorytm tylko ją powiela (wykonuje) co do konkretnego kierowcy, to to jest decyzja, która opiera się wyłącznie na ludzkim rozważaniu, następnie powielona (wykonana) przez zautomatyzowane przetwarzanie.
Prowadzi to do wniosku, że przepis jest błędnie zredagowany, bo automatyczną decyzję, która z natury rzeczy musi być poprzedzona automatyczną oceną (inaczej nie jest decyzją tylko odruchem), odróżnia od automatycznej decyzji poprzedzonej automatyczną ocenę (profilowaniem).
Stanowisko G29
Jednak ze względu na stanowisko G29, lepiej z ostrożności traktować działanie prostych algorytmów, które wykonują zadane czynności (jak zrobienie zdjęcia przez radar), jako decyzję, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, i stosować art. 22 rodo, co powinno znaleźć wyraz w klauzuli informacyjnej.
Zabezpieczenie osoby
Współcześnie algorytm nie podejmuje decyzji w taki sposób jak człowiek, bo żeby zaprojektować taki algorytm, najpierw ludzkość musiałaby rozumieć jak działa mózg człowieka. Z tego powodu (odhumanizowanie, nieuwzględnianie zniuansowanych sytuacji życiowych) art. 22 ust. 3 rodo przewiduje zabezpieczenie dla osoby, której dane dotyczą, w postaci możliwości kwestionowania decyzji algorytmu i przeniesienia decyzji niejako do ludzkiej instancji, w drodze wystąpienia o ponowne rozpatrzenie wydanej decyzji. Czyli ten zaprogramowany proces decyzyjny algorytmu, musi być poddany ocenie (kontroli) człowieka, uwzględniającej dodatkowe czynniki, a w szczególności jeden – ludzkie spojrzenie. Konkretnie przepis mówi o trzech uprawnieniach do:
- uzyskania interwencji ludzkiej,
- wyrażenia własnego stanowiska,
- zakwestionowania tej decyzji.
Choć są one rozbite na trzy, jest to właściwie jedno uprawnienie do zakwestionowania decyzji, w drodze wyrażenia własnego stanowiska i uzyskania interwencji ludzkiej. Uprawnienia te korespondują z obowiązkiem informacyjnym administratora, zgodnie z którym należy opisać zasady automatycznego podejmowania decyzji, czyli mniej więcej co bierze pod uwagę algorytm. Takie działanie algorytmu osoba może podważyć, wyrażając własne stanowisko, które będzie polegało na uzasadnieniu dlaczego w jej konkretnym przypadku uniwersalnie ustawiony algorytm wydał nieadekwatną decyzję, co do której istnieje podejrzenie, że ado by jej nie wydał jeśli oceniałby samodzielnie. Wyrażanie własnego stanowiska jest nieadekwatne w przypadku powielania decyzji przez prosty algorytm, ponieważ byłaby to polemika z samym administratorem, np. twierdzenie, że w terenie zabudowanym powinna obowiązywać prędkość 70 km/h a nie 50, albo mandat za przekroczenie powinien wynosić 50 a nie 500 zł. To jest stanowisko, które może być brane pod uwagę w czasie podejmowania decyzji przez człowieka (np. prawodawcę w czasie konsultacji społecznych), a nie na etapie jej powielania przez automat.
Prawo do sprostowania
Warto zauważyć, że skoro ta decyzja jest wynikiem nieprawidłowości danych (np. błędnie zrobione zdjęcie przez radar) to można kwestionować już samą nieprawidłowość tych danych na podstawie art. 5 ust. 1 lit. d w zw. z art. 16 rodo, w drodze żądania sprostowania (tzw. uprawnienia korekcyjne). Przepisy rodo mogę mieć przy tym zastosowanie jeśli nie są wyłączone przez przepisy szczególne np. kpa czy innych postępowań.
Jest to również argument za tym, że art. 22 rodo dotyczy zaawansowanych algorytmów, które podejmują decyzje, bo dla sytuacji kiedy prosty algorytm błędnie powielił decyzję człowieka, jest właśnie tryb sprostowania.
Formą zabezpieczenia osoby, której dane dotyczą jest również położenie nacisku na obowiązek informacyjny dotyczący automatycznych decyzji. Art. 13 ust. 2 lit. f oraz art. 14 ust. 2 lit. g rodo nakazują administratorowi opisać na czym polega takie przetwarzanie i jakie będą skutki dla osoby. Zgodnie z art. 15 ust. 1 lit. h rodo, taka informacja musi również pojawić się na etapie dostępu do danych. Choć w przepisach tych wyraźnie nie jest to napisane, należy w klauzuli informacyjnej zamieścić również informację o uprawnieniach z art. 22 ust. 3, na tym bowiem polega wdrożenie środków ochrony – osoba musi przede wszystkim wiedzieć, z jakich uprawnień może skorzystać.
Podsumowanie
Podsumowując profilowanie kwalifikowane to proces decyzyjny podejmowany przez algorytm zaprojektowany w taki sposób, że jego decyzja opiera się na takiej ilości kryteriów, że jest nieprzewidywalna dla administratora, nie ma tym samym pewności, że za każdym razem będzie osiągała założony cel administratora, i dlatego wymaga następczej kontroli na wniosek osoby, której dane dotyczą.
Zgodnie z art. 35 ust. 3 lit. a rodo, ze względu na ryzyko dla osoby, jakie ze sobą niesie, automatyczna ocena czynników osobowych będąca podstawą decyzji wymaga oceny skutków dla ochrony danych. Przepis nie mówi, że podstawą decyzji ma być wyłącznie automatyczna ocena, także będzie miał zastosowanie również kiedy w ocenę włączy się człowiek, czyli kiedy człowiek będzie się wspomagał automatyczną oceną.
Na marginesie można dodać, że zwrot w tym profilowaniu, również w art. 35 ust. 3 lit. a budzi podobne wątpliwości jak w art. 22 ust. 1 rodo. Otóż przepis mówi o ocenie, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, a przecież ocena, która opiera się na zautomatyzowanym przetwarzaniu jest właśnie profilowaniem.
Przepisy
Artykuł 2 Materialny zakres stosowania
1. Niniejsze rozporządzenie ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych.
Artykuł 4 Definicje
Na użytek niniejszego rozporządzenia:
4) „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
Artykuł 21 Prawo do sprzeciwu
1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
Artykuł 22 Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie
1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja:
a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
3. W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.
4. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
(71) Osoba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji – mogącej obejmować określone środki – która ocenia jej czynniki osobowe, opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób znacząco na nią wpływa, jak na przykład automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. Do takiego przetwarzania zalicza się „profilowanie” – które polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa. Niemniej podejmowanie decyzji na podstawie takiego przetwarzania, w tym profilowania, powinno być dozwolone, w przypadku gdy jest to wyraźnie dopuszczone prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, w tym do celów monitorowania i zapobiegania – zgodnie z uregulowaniami, standardami i zaleceniami instytucji Unii lub krajowych podmiotów nadzorujących – oszustwom i uchylaniu się od podatków oraz do zapewniania bezpieczeństwa i niezawodności usług świadczonych przez administratora, lub gdy jest niezbędne do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem, lub gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę. Przetwarzanie takie powinno zawsze podlegać odpowiednim zabezpieczeniom, obejmującym informowanie osoby, której dane dotyczą, prawo do uzyskania interwencji człowieka, prawo do wyrażenia własnego stanowiska, prawo do uzyskania wyjaśnienia co do decyzji wynikłej z takiej oceny oraz prawo do zakwestionowania takiej decyzji. Takie przetwarzanie nie powinno dotyczyć dzieci.
Aby zapewnić rzetelność i przejrzystość przetwarzania wobec osoby, której dane dotyczą, mając na uwadze konkretne okoliczności i kontekst przetwarzania danych osobowych, administrator powinien stosować odpowiednie matematyczne lub statystyczne procedury profilowania, wdrożyć środki techniczne i organizacyjne zapewniające w szczególności korektę czynników powodujących nieprawidłowości w danych osobowych i maksymalne zmniejszenie ryzyka błędów, zabezpieczyć dane osobowe w sposób uwzględniający potencjalne ryzyko dla interesów i praw osoby, której dane dotyczą, oraz zapobiec m.in. skutkom w postaci dyskryminacji osób fizycznych z uwagi na pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania, przynależność do związków zawodowych, stan genetyczny lub zdrowotny lub orientację seksualną, lub przetwarzaniu skutkującemu środkami mającymi taki efekt.
Artykuł 35 Ocena skutków dla ochrony danych
3. Ocena skutków dla ochrony danych, o której mowa w ust. 1, jest wymagana w szczególności w przypadku:
a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
Art. 13 2. Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.