Wojciech Wiewiórowski - Z pojedynczych danych osobowych w sieci i śladów aktywności internautów powstają specjalne profile, które pokazują ich osobowość i ulubione produkty.
Dotychczas profilowanie kojarzyło się z poszukiwaniem sprawców przestępstw. Dzisiaj okazuje się, że zestawiane są różnego rodzaju dane dotyczące przypadkowych obywateli dla celów handlowych. Na czym polega to zjawisko?
Takie informacje zbiera się dziś za pomocą automatycznych technik przetwarzania danych. Danej osobie przypisuje się profil, czyli charakteryzujący go zestaw danych, po to by sprecyzować jego preferencje. Zbieranie, a następnie wykorzystywanie danych może mieć miejsce w różnych sytuacjach, dla różnych celów i dotyczyć różnych rodzajów danych. Mogą to być przykładowo dane o naszym poruszaniu się w sieci i sposobie formułowania zapytań. W grę wchodzą tutaj także dane dotyczące nawyków konsumenckich, dane o aktywności fizycznej, stylu życia i zachowaniu, w tym informacje geolokalizacyjne.
Profile są wykorzystywane dla różnych celów, w tym do świadczenia usług powszechnie akceptowanych i cenionych przez społeczeństwo, konsumentów i gospodarkę, jak np. usługi bankowe czy e-handel. Przedsiębiorcy chcą wiedzieć o nas wszystko, by dzięki temu dostosować nowe produkty do naszych preferencji, wiedzieć, gdzie i do kogo kierować swoje oferty. Nie kieruje więc nimi z zasady chęć naruszania naszej prywatności, a raczej chęć jak najlepszego dostosowania oferty do naszych oczekiwań.
Skąd są czerpane takie informacje?
Dane pochodzą przede wszystkim z portali społecznościowych, stron naszych pracodawców, informacji z prasy elektroniczej, ale również z systemów wideonadzoru, systemów identyfikacji za pomocą fal radiowych (RFID). Takie dane pobrane zwykle od kilku użytkowników są przetwarzane przez specjalistyczne oprogramowanie w celu przeliczenia, porównania i korelacji statystycznej oraz stworzenia profili, które mogą być wykorzystywane na rozmaite sposoby i w różnych innych celach.
Profile przypisane osobom, których dane dotyczą, umożliwiają tworzenie nowych danych osobowych, innych niż te, które sama osoba, której dane dotyczą, podała administratorowi lub których znajomości przez administratora może w uzasadniony sposób się spodziewać.
Tworzenie profili, które – jak pan powiedział – mogą być nowymi danymi osobowymi internautów, może odbywać się bez ich wiedzy. Czy nie jest to zbyt duża ingerencja w prywatność?
Brak przejrzystości, a nawet wiedzy o tworzeniu profili, a także brak dokładności wynikający często z automatycznego wiązania różnego rodzaju danych rzeczywiście mogą powodować poważne zagrożenia dla praw i wolności obywateli. Techniki profilowania podkreślające powiązania pomiędzy danymi szczególnie chronionymi i innymi danymi mogą doprowadzić do wytworzenia nowych danych szczególnie chronionych dotyczących osoby identyfikowanej lub możliwej do zidentyfikowania. Wiąże się z tym szczególnie wysokie ryzyko dyskryminacji i ataków na ich prawa osobiste i godność.
Jak tworzenie profili internatów na podstawie ogólnodostępnych danych jest uregulowane w prawie?
Komitet Ministrów Rady Europy 23 listopada 2010 r. przyjął rekomendację w sprawie ochrony osób w związku z automatycznym przetwarzaniem danych osobowych podczas tworzenia profili, w której wskazał, że pożądane jest prawne uregulowanie kwestii profilowania w odniesieniu do ochrony danych osobowych, które pozwoli na ochronę podstawowych praw i wolności obywateli. Podkreślono, że każdy powinien znać zasady kierujące profilowaniem. Dodatkowo wskazać należy, że zgodnie z ogólnymi zasadami ochrony danych osobowych zbieranie i wykorzystywanie danych osobowych internautów powinno odbywać się w sposób rzetelny, zgodny z prawem, proporcjonalny i w określonym, uzasadnionym celu.



Czy osoba, której dane są zestawiane, musi zawsze o tym wiedzieć?
Zbieranie i przetwarzanie danych osobowych w związku z tworzeniem profili może być prowadzone jedynie wtedy, gdy jest to przewidziane i dozwolone przepisami prawa. Osoba, której dane dotyczą, lub jej pełnomocnik musi wyrazić na stworzenie profilu świadomą i dobrowolną zgodę. Profilowanie musi odbywać się również w określonym celu. Może być to między innymi niezbędne dla wykonania umowy, której stroną jest internauta, lub gdy jest to konieczne dla realizacji zadania wykonywanego w interesie publicznym bądź dla wykonania oficjalnych uprawnień przysługujących administratorowi. Może też się zdarzyć, że profilowanie będzie robione w uprawnionym interesie osoby, której dane dotyczą.
Jakie obowiązki informacyjne względem internautów ma podmiot zajmujący się profilowaniem?
Podczas zbierania danych osobowych w związku z tworzeniem profili administrator powinien podać osobom, których dane dotyczą, informacje dotyczące wykorzystania ich danych w związku z tworzeniem profili. Internauta powinien znać również cele, dla których prowadzone jest profilowanie, oraz tożsamość administratora zbioru danych umożliwiającą jego lokalizację. Musi także uzyskać informacje na temat istnienia odpowiednich zabezpieczeń.
Co jeśli administrator będzie tłumaczył się, że nie mógł uzyskać takiej zgody na tworzenie profilu, a dane były ogólnodostępne?
Zbieranie i wykorzystywanie danych osobowych w związku z tworzeniem profili osób, które nie są w stanie samodzielnie wyrazić dobrowolnej i świadomej zgody, powinno być z zasady zakazane. Dopuszczalne jest to jednak, gdy odbywa się to w uzasadnionym interesie osoby, której dane dotyczą, lub w interesie publicznym, pod warunkiem istnienia odpowiednich zabezpieczeń prawnych.
To na administratorze spoczywa obowiązek udowodnienia, że osoba, której dane dotyczą, udzieliła świadomie zgody na profilowanie.
Czy osoba, która uzyska informacje o tworzeniu jej profilu, może żądać jego skasowania?
Osoby, których dane dotyczą, muszą mieć zawsze możliwość bezpiecznego poprawiania, usuwania lub blokowania swoich danych osobowych w przypadku, gdy profilowanie związane z przetwarzaniem danych osobowych wykonywane jest niezgodnie z przepisami prawa krajowego wdrażającymi postanowienia rekomendacji przyjętej przez Komitet Ministrów Rady Europy 23 listopada 2010 r.
Konferencja na UW
Dzisiaj na Uniwersytecie Warszawskim odbędzie się konferencja naukowa „Prywatność, a ekonomia. Ochrona danych osobowych w obrocie gospodarczym”.