Profilowanie to zbieranie danych o Kliencie na podstawie jego zachowań w internecie zarejestrowanych przez tzw. ciasteczka i automatyczne przetwarzanie ich w celach marketingowych. W Polsce definicję profilowania oraz jego warunki po raz pierwszy uregulowano wraz z wejściem w życie RODO. Rozporządzenie o ochronie danych osobowych, które ma na celu zapewnienie użytkownikom ochrony w sieci, nie zabranie praktyk tworzenia profilu Klienta, ale nakazuje zachowanie należytej ostrożności przez osoby przetwarzające dane oraz nakłada wymóg uzyskania zgody na profilowanie przez osobę, której dane mają być przetwarzane. Dodatkowo uprawnia do ingerencji osoby w zgromadzone o niej dane oraz do ich zmodyfikowania lub usunięcia ich na jej życzenie.
Profilowanie zgodne z RODO a sprzedaż w sklepie internetowym
Profilowanie to proces powszechnie wykorzystywany przez firmy działające w Internecie. Dane o potencjalnym Kliencie tj. wiek, płeć, miejsce zamieszkania, źródło i wielkość dochodu, lista zainteresowań i preferencji, działania na stronie oraz informacje o ostatnich zakupach to niezwykle cenne dla przedsiębiorcy informacje. Dane te pozwalają marketerom na budowanie profilu konsumenta, stworzenie spersonalizowanej oferty, która z większym prawdopodobieństwem go zainteresuje, co zwiększa szanse na sprzedaż, przy jednoczesnym ograniczeniu nakładów na działania marketingowe. Niektóre dane pozwalają również przewidzieć przyszłe potrzeby Klienta.
Profilowanie zgodnie z RODO jest legalne jednak wcześniej należy dopełnić obowiązek informacyjny wynikający z tego rozporządzenia, mianowicie pozyskać zgodę osoby, której dane będą przetwarzane w określonych celach, które muszą być jasno określone. Dodatkowo należy poinformować stronę o przysługujących jej prawach w związku z profilowaniem. Przedsiębiorcy oraz specjaliści ds. marketingu muszą jasno i precyzyjnie przedstawić zakres analizy lub prognozy aspektów oraz stosowane kryteria. Obowiązek informacyjny funkcjonuje bez względu na podstawę prawną przetwarzania danych osobowych. Należy pamiętać że przepisy RODO zabraniają tworzenia profilu Klienta i podejmowania działań sprzedażowych w oparciu o dane wrażliwe, chyba że wyrazi na to zgodę. Takie dane posiadają np. przychodnie oraz apteki. Wprowadzenie RODO ma duży wpływ na branżę e-commerce. Klienci, którzy są świadomi że ich dane będą profilowane mogę krytycznie podchodzić do tej kwestii i niechętnie dzielić się swoimi danymi i wyrażać zgodę na ich przetwarzanie. W konsekwencji liczba potencjalnych Klientów, do których właściciele sklepów internetowych mają prawo legalnie wysłać spersonalizowaną ofertę może się zmniejszyć.
Rola administratora danych w profilowaniu
Administrator odpowiedzialny jest za zlecenie zadań, które wykonuje procesor. Korzystanie z usług outsourcingowych jest naturalnym elementem obrotu gospodarczego a powierzanie danych osobowych przez administratora jest działaniem popularnym i występującym dość powszechnie. Przed rozpoczęciem działań musi zostać podpisana umowa, która deklaruje zgodę na przetwarzanie danych. W takiej umowie powinny znajdować się następujące punkty:
- określenie podmiotu,
- okres trwania umowy,
- charakter i cel przetwarzania,
- to jakie prawa i obowiązki ma administrator,
- rodzaje danych osobowych i kategorii osób, których te dane dotyczą,
- inny ewentualny instrument prawny podlegający prawu Unii lub prawu państwa członkowskiego.
Rozporządzenie o Ochronie Danych Osobowych jasno definiuje, że administrator powinien powierzyć obowiązek przetwarzania danych osobowych tylko i wyłącznie takim podmiotom, które deklarują wystarczające gwarancję wdrożenia środków organizacyjnych i technicznych. Dzięki takiemu rozwiązaniu przetwarzanie danych będzie w pełni zgodne z obowiązującymi przepisami rozporządzenia, czyli odpowiednio chroniło prawa osób, których te dane dotyczą. Na żądanie organu nadzorczego, administrator musi udowodnić, że podmiot, któremu zostało powierzone zadanie w pełni spełnia wymagania.
Rola administratora danych jest bardzo ważna. Podczas realizacji zadań muszą zostać przestrzegane wszelkie obowiązujące zasady i powinno odbywać się:
- z zachowaniem wdrożenia wszelkich, niezbędnych środków technicznych, które zabezpieczają utratę lub nieautoryzowaną modyfikację,
- z zachowaniem określonego kontekstu i okoliczności,
- z możliwością korygowania nieprawidłowości,
- z ograniczeniem ryzyka popełnionych błędów,
- z zapobieganiem dyskryminacji.
Przetwarzanie danych wyłącznie na polecenie administratora
Ważną kwestią jest fakt, że procesor nie jest właścicielem powierzonych danych. Ta regulacja dotyczy przekazania danych osobowych do podmiotu trzeciego lub organizacji międzynarodowej, wyjątkiem jest sytuacja w której obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, pod który podlega dany podmiot.
Treść RODO jasno informuje, że jeżeli podmiot przetwarzający, ma w zamiarach skorzystać z pomocy podwykonawców, konieczna jest zgoda administratora danych. Takie postanowienie może zostać również zawarte w treści umowy pomiędzy stronami, gdzie sporządzony zostanie odpowiedni zapis. Zapis powinien uwzględniać, że administrator wyraża zgodę aby Procesor korzystał z usług i pomocy innych podmiotów. Administrator powinien zostać poinformowany o takim fakcie z wyprzedzeniem aby mógł rozważyć taką możliwość i ewentualnie się sprzeciwić, jeżeli z jakichś przyczyn nie będzie mógł wyrazić zgody.
Wyznaczenie przedstawiciela
Wyznaczenie przedstawiciela jest konieczne w przypadku kiedy Procesor nie posiada jednostki organizacyjnej w Unii Europejskiej, która zajmuje się przetwarzaniem danych osobowych znajdujących się w Unii Europejskiej a wykonywane czynności wiążą się głównie z oferowaniem usług lub towarów osobom z odpowiednim nadzorowaniem zachowań zgodnych z Rozporządzeniem o Ochronie Danych Osobowych w takiej sytuacji niezbędnym działaniem jest ustalenie przedstawiciela. Wyjątkiem jest sytuacja, w której przetwarzanie danych ma charakter sporadyczny i nie obejmuje swoim zasięgiem przetwarzania konkretnych kategorii danych osobowych oraz przetwarzania danych dotyczących wyroków naruszenia prawa. W takich sytuacjach musi występować prawdopodobieństwo iż realizowane działania są przyczyną realnego ryzyka naruszenia praw lub wolności osób fizycznych. Regulacja ta dotyczy obu stron umowy.
RODO ma duże znaczenie w przypadku profilowania czyli zbierania danych o Kliencie na podstawie zachowań w internecie. Cały proces musi ściśle przestrzegać obowiązujących przepisów i być w pełni zgodny z Rozporządzeniem o Ochronie Danych Osobowych.