"Coraz częściej działalność instytucji finansowych i ubezpieczeniowych oraz różnego rodzaju firm marketingowych polega na zbieraniu danych z różnych legalnych źródeł, zestawianiu ich i wyciąganiu szczególnych wniosków na podstawie tak sprofilowanego zestawu danych dotyczących osoby" - tłumaczył GIODO w środę na konferencji prasowej.
Taka działalność ma - według GIODO - dwie formy: tworzenie profilu konkretnej osoby na potrzeby działalności marketingowej, przygotowywania oferty albo zbadania zdolności kredytowej oraz przypisanie do takiego zestawu danych domniemań wynikających ze statystyki.
"Do danych, które są w jakimś stopniu obiektywne, ponieważ albo zostały zebrane zgodnie z prawem, albo przekazane przez samą osobę, której to dotyczy, dołącza się dane, które statystycznie powinny się sprawdzać co do takiej osoby" - mówi GIODO i podkreśla, że takie przypuszczenia mogą okazać się nieprawdziwe.
Dlatego Wiewiórowski zapowiada, że będzie badał zasadność tworzenia profili, a także to, czy na pewno istnieje wystarczająca podstawa prawna do tego rodzaju działalności oraz czy osoba, dla której tworzony jest profil, jest o tym informowana. GIODO chce przeprowadzić kontrole w instytucjach finansowych, a w przypadku nieprawidłowości - wydawać decyzje zakazujące przetwarzania danych lub nakazujące zmianę sposobu przetwarzania, a także prawidłowe informowanie klientów. Według GIODO należy się zastanowić, czy wyjaśnienie problemu profilowania powinno być dokładniej sprecyzowane w ustawie o ochronie danych osobowych.
Osobnym problemem, który budzi zainteresowanie GIODO, jest przekazywanie danych klientów wewnątrz grup kapitałowych. Jak mówi Wiewiórowski, instytucje finansowe są zdania, że dane przekazane do jednego podmiotu, mogły być swobodnie przetwarzane przez inne elementy grupy. GIODO widzi to jednak inaczej. "Swobodny przepływ danych pomiędzy różnymi podmiotami w ramach tej samej grupy kapitałowej nie jest możliwy, jeżeli nie ma do tego szczególnej podstawy prawnej" - ocenia Wiewiórowski. Taką podstawą - jego zdaniem - może być np. wyraźna zgoda danej osoby.
Zwraca uwagę, że dane trafiają do instytucji finansowych w konkretnym celu - najczęściej chodzi o wypełnienie umowy, która została zawarta przez klienta. "Stworzenie profilu osobowego klienta jest odrębnym celem od tego, dla którego dane zostały przekazane" - podkreśla Wiewiórowski. Dodaje też, że cel zbierania danych powinien być określony w zgodzie klienta. Ponadto, przy niektórych rodzajach przetwarzania ustawa o ochronie danych osobowych zakazuje domniemywania tego celu z innego oświadczenia.
Jak powiedział w środę GIODO, Rada Europy w zeszłym roku wydała rekomendację dotyczącą ochrony danych osobowych przy tworzeniu profili. Wskazuje w niej na to, że każda sytuacja, gdy tworzy się profil, powinna być potraktowana jako osobny proces, o którym osoba powinna zostać poinformowana i powinna mieć dostęp do tego, w jaki sposób jej dane są przetwarzane i jakie efekty to przynosi.
Wiewiórowski zwraca też uwagę, że instytucje finansowe wykorzystują metody kryminalistyczne służące pierwotnie do profilowania przestępców. "Słowo +zbrodniarz+ zostało zamienione tutaj na słowo +klient+, a słowo +śledztwo+ na +działania marketingowe+" - mówi.
W środę na UKSW odbyła się konferencja naukowa poświęcona ochronie danych osobowych na rynkach finansowych. To część zainicjowanej przez GIODO dyskusji nad zmianą prawa ochrony danych osobowych. Wiewiórowski chce, by w nowej kadencji do Sejmu trafił projekt zmian w przepisach lub przynajmniej tezy do niego.(PAP)
GIODO bada profilowanie klientów przez banki i firmy ubezpieczeniowe
Generalny inspektor ochrony danych osobowych Wojciech Wiewiórowski zapowiada zbadanie, w jakim stopniu banki i firmy ubezpieczeniowe mają prawo tworzyć profile klientów. Jego zdaniem należy wyjaśnić m.in., czy istnieje do tego wystarczająca podstawa prawna.