GIODO: profilowanie klientów tylko po powiadomieniu

Z dr. Wojciechem Rafałem Wiewiórowskim, Generalnym Inspektorem Ochrony Danych Osobowych, rozmawiamy o prawnych aspektach profilowania klientów i integracji danych.

GIODO: profilowanie klientów tylko po powiadomieniu
Coraz więcej firm korzysta z narzędzi Business Intelligence. Dla uzyskania skuteczności analiz łączy się dane z różnych źródeł, w tym dane dotyczące osób. Dzięki temu można uzyskać nowe, niedostępne w inny sposób lub trudno dostępne tradycyjnymi metodami informacje o ludziach. Jak tego typu praktyki mają się do zasad ochrony danych osobowych?

Łączenie danych z różnych źródeł, to jeden z najtrudniejszych problemów, z jakimi mamy do czynienia w kontekście ochrony danych osobowych i zapewnienia prywatności. W procesie data mining przetwarzane są dane pochodzące z dokumentów, do których firma, zgodnie z prawem, ma dostęp. Przetwarzanie nie odbywa się jednak na całym dokumencie, tylko odnosi się do pojedynczych danych wyłuskanych z tego dokumentu, z reguły bez kontekstu, w jakim dane zostały dostarczone. Dokument nie jest obrabiany jako całość, lecz traktowany jako baza, z której brane są do obróbki konkretne dane z poszczególnych pól.

Taka obróbka służy nie tylko wyłapywaniu nieoczywistych powiązań między danymi, ale daje też wiele możliwości przewidywania, prognozowania, robienia symulacji. To jeden z ważnych powodów dynamicznego rozwoju zastosowań narzędzi analitycznych. Stosując odpowiednie algorytmy i informacje statystyczne, można zakładać, że jeśli ktoś wykazuje np. cechę A, to prawdopodobnie przejawia też cechę B i cechę C. To nie oznacza, że tak jest na pewno, lecz że statystycznie najczęściej tak jest. Zatem łączy się dane prawdziwe z informacjami niepotwierdzonymi. To jest właśnie jedna z form profilowania, które coraz częściej stosują firmy dla osiągnięcia swoich rynkowych celów.

Czy profilowanie jest zgodne z obowiązującą w naszym kraju ustawą o ochronie danych osobowych?

Profilowanie może się odbywać na dwa sposoby. Pierwszy, o czym przed chwilą mówiłem, jest związany z owym dołączaniem do informacji, która dotyczy klienta, dodatkowych danych, statystycznie prawdziwych dla tego typu klientów i tworzenie na tej podstawie jego profilu.

Drugi polega na zbieraniu z bardzo różnych źródeł pozyskanych legalnie danych i tworzeniu na ich podstawie profilu osobowego klienta lub kandydata na klienta. Istotne jest przy tym to, że oprócz danych, które zostały zgromadzone o tej osobie przez konkretny podmiot (danego administratora danych osobowych), wykorzystuje się również informacje na jej temat zebrane w innym celu przez podmioty działające np. w tej samej grupie kapitałowej, a także informacje ogólnie dostępne, np. z serwisów społecznościowych czy forów internetowych. Na tej podstawie przygotowuje się sylwetkę klienta, czyli jego profil.

Tworzenie profili jest powtórnym przetwarzaniem zebranych danych osobowych połączonym z zestawieniem danych pozyskanych z innych źródeł. Jest ponadto realizowane w nowym, innym niż pierwotnie ustalono celu. Ustawa o ochronie danych osobowych nie odnosi się wprost do tych zagadnień, ale można uznać, że zestawianie danych o kliencie, dokonywane, by lepiej go scharakteryzować, jest związane z nowym celem przetwarzania danych osobowych. A każdy cel musi być przez administratora danych osobowych wyraźnie określony, zaś osoby, których dane dotyczą. muszą być poinformowane o przetwarzaniu ich danych dla tego nowego celu i powinny wyrazić na to zgodę.

Zatem podmiot, który dokonuje profilowania, musi dopełnić obowiązku informacyjnego wobec osób profilowanych co do nowego celu wykorzystywania ich danych osobowych. A osoby profilowane mają prawo wglądu do tych analiz, ich poprawienia bądź wniesienia sprzeciwu wobec takiego sposobu wykorzystywania ich danych.

Czy rzeczywiście tak się dzieje? Czy firmy w Polsce faktycznie informują swoich klientów, że robią ich profile?

Co prawda większość podmiotów stosujących metody Business Intelligence nie dopełnia tego obowiązku, ale mam nadzieję, że to się wkrótce zmieni. Zalecenia co do obowiązku informacyjnego wynikają wprost z w Rekomendacji CM/Rec (2010) 13 Komitetu Ministrów państw członkowskich Rady Europy w sprawie ochrony osób w związku z automatycznym przetwarzaniem danych osobowych podczas tworzenia profili. Jestem obecnie w sporze sądowym z firmą świadczącą usługi internetowe, która tworzy profile osób niebędących jej bezpośrednimi klientami na podstawie źródeł publicznie dostępnych. Nie poinformowała o tym osób, których to dotyczy. Firma uznaje moje argumenty przyznając, że ma taki obowiązek, lecz nie może się z niego wywiązać, bo nie wie, jak się z tymi ludźmi skontaktować.

Co się stanie, jeśli sąd podzieli tę linię obrony?

Jest to oczywiście możliwe, ale nawet jeśli sąd uwzględni te argumenty, nie będzie to oznaczało, że wszyscy mogą tak postępować, bo na przykład banki czy operatorzy telekomunikacyjni mają dane kontaktowe do swoich klientów.

Analizując kwestie profilowania, nie unikniemy też problemu dostępności i wykorzystywania danych pochodzących z sektora publicznego. W związku z nowelizacją ustawy o dostępie do informacji publicznej, która reguluje - bardzo liberalnie - zasady ponownego wykorzystywania informacji z sektora publicznego, do obiegu trafi duża ilość informacji, które mogą być wykorzystywane przez różne, w tym prywatne, podmioty. Trzeba jednak zrobić rozróżnienie między informacjami dostępnymi publicznie a informacjami otwartymi do swobodnego przetwarzania.

Jak te kwestie są traktowane na gruncie regulacji międzynarodowych i europejskich?

W listopadzie 2010 roku została zatwierdzona rekomendacja Komitetu Ministrów państw członkowskich Rady Europy w sprawie ochrony osób w związku z automatycznym przetwarzaniem danych osobowych podczas tworzenia profili. Zgodnie z tym dokumentem, profilowanie jest związane ze zmianą celu przetwarzania danych osobowych, więc wiąże się z koniecznością dopełnienia obowiązku informacyjnego. Będę dążył do tego, by firmy go realizowały. Jest to jedyna metoda ochrony ludzi przed nieuprawnionym użyciem dostępnych publicznie informacji na ich temat.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200