Prawnicy i sądy
GIODO: trzeba informować klienta o tworzeniu jego profilu

GIODO: trzeba informować klienta o tworzeniu jego profilu

Katarzyna Żaczkiewicz-Zborska

Zmiany w prawie

Data dodania: 05.06.2011

Gdy mówi się, że przetwarzanie informacji przez instytucje finansowe mogłyby być uznane za naruszenie danych szczególnie wrażliwych, to zalicza się do nich m.in. profilowanie osoby mówi Wojciech Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych. Pojawiła się także rekomendacja Rady Europy w tej sprawie. Stanowi ona, że mimo, iż instytucja posiada legalnie zebrane dane, to w momencie zestawienia ich w profil osobowościowy, powinna odrębnie poinformować osobę o tym, że podlega ona dodatkowej czynności, jaką jest profilowanie.

Rozmowa z dr Wojciechem Rafałem Wiewiórowskim, Generalnym Inspektorem Ochrony Danych Osobowych

- Na czym polega profilowanie klientów przez instytucje finansowe?

- Profilowanie klientów przez banki czy instytucje ubezpieczeniowe jest szczególnym sposobem przetwarzania danych. Może być ono prowadzone na dwa sposoby. Pierwszy polega na zbieraniu z bardzo różnych źródeł pozyskanych legalnie danych i tworzeniu na ich podstawie profilu osobowego klienta lub kandydata na klienta. Istotne jest przy tym to, że na te potrzeby oprócz danych, które zostały zgromadzone o tej osobie przez konkretny bank czy firmę ubezpieczeniową, wykorzystuje się również informacje na jej temat zebrane w innym celu przez podmioty działające w tej samej grupie kapitałowej, a także informacje ogólnie dostępne, np. serwisów społecznościowych czy forów internetowych. Na tej podstawie przygotowuje się sylwetkę klienta, czyli jego profil, co umożliwia bankowi bądź instytucji ubezpieczeniowej przygotowanie precyzyjnej oferty skierowanej do tego klienta lub ocenę jego zdolności kredytowej czy ryzyka ubezpieczeniowego.

- Do czego mogą posłużyć instytucji finansowej dane z facebooka?

- Jeśli ktoś na Facebooku chwali się, że uprawia sporty ekstremalne, a nie podaje tej informacji w ankiecie firmy ubezpieczeniowej, to dla ubezpieczyciela taka informacja może być bardzo cenna. Może to bowiem wskazywać, że zawieranie umowy z tego typu klientem jest niebezpieczne. Wpisy w Internecie mogą też stanowić potwierdzenie lub zaprzeczenie informacji, które zostały zebrane przez daną instytucję finansową.

- Jak jeszcze można profilować klientów?

- Drugie rozumienie słowa „profilowanie” polega na dołączaniu do informacji, która dotyczy klienta, dodatkowych danych, statystycznie prawdziwych dla tego typu klientów. Jeśli klient wykazuje np. cechę A, to statystycznie rzecz ujmując, prawdopodobnie przejawia też cechę B i cechę C. To nie oznacza, że tak jest na pewno, lecz to, że statystycznie najczęściej tak jest. Zatem kompletuje się informacje niepotwierdzone.

- Proszę o przykład.

- Jeśli np. klient ma czwórkę dzieci, to znaczy, że być może zechce mieć ich więcej. Z kolei jeśli np. osoba ma 38 lat i od 10 lat pozostaje w związku małżeńskim, a nie ma dzieci, to najprawdopodobniej nie chce ich mieć lub nie może. To są przykłady uzupełniania informacji w zasadzie neutralnych o informacje niezawierające cech neutralności a jednocześnie poważnie ingerujących w prywatność tej osoby.

- Czyli zaczyna być daną wrażliwą?

- Tak, chociaż nie w znaczeniu ustawy o ochronie danych osobowych, która wprost stanowi, co to są dane wrażliwe. Lepiej zatem powiedzieć, że informacje te przestają być neutralne.

- Kiedy zbieranie takich danych zaczyna być nielegalne?

- Taka działalność zaczyna być ryzykowna od samego początku. Trzeba pamiętać, że w Europie trwa dyskusja na temat doprecyzowania przepisów i określenia w nich nie tylko pojęcia „wrażliwe dane osobowe”, ale również pojęcia „wrażliwe sposoby przetwarzania danych osobowych”. Gdy mówi się, że niektóre działania na danych mogłyby być uznane za szczególnie wrażliwe, to zalicza się do nich m.in. profilowanie osoby.

Pojawiła się także rekomendacja Rady Europy, która bardzo wiele obowiązków odnoszących się dotychczas do przetwarzania danych osobowych przesuwa na sam proces ich przetwarzania. Mówi ona o tym, że mimo iż instytucja posiada legalnie zebrane dane, to w momencie zestawienia ich w profil osobowościowy, powinna odrębnie poinformować osobę o tym, że podlega ona dodatkowej czynności, jaką jest profilowanie. Jest to szczególnie istotne przy dodawaniu informacji statystycznie prawdziwych. Osoba profilowana musi mieć bowiem możliwość sprawdzenia, czy to, co na jej temat „domniemuje” bank lub ubezpieczyciel, jest prawdą.

- To znaczy, że należy wpisać taki obowiązek do ustawy?

- Rada Europy twierdzi, że obowiązku informacyjnego należy dopełnić także wówczas, gdy tworzony jest profil osobowościowy klienta. Jest to bowiem powtórne przetworzenie jego danych zebranych w innym celu połączone z zestawieniem danych z innych źródeł. Obowiązek informacyjny powinien być spełniony m.in. dlatego, że zmienia się cel przetwarzania danych, a osoba, której dane są w ten sposób przetwarzane zyskuje możliwość skorzystania ze swoich praw do ochrony danych osobowych, np. prawa wniesienia sprzeciwu wobec nowego sposobu wykorzystywania danych lub prawa ich poprawienia.

Zmiany w prawie

Data dodania: 2011-06-05

Żeby widzieć komentarze musisz:

być zalogowanym do Facebooka
mieć zaakceptowaną politykę prywatności (pliki cookies)
korzystać z przeglądarki Chrome