W rozporządzeniu można przeczytać, że profilowanie „oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.”
W definicji tej najważniejsze są dwie kwestie. Po pierwsze – automatyzacja. Jeśli dane są przeglądane i zestawiane automatycznie, bez udziału człowieka, wówczas można mówić o profilowaniu. Może ono prowadzić do tego, że pewnym osobom odmawia się udzielenia kredytu, albo nie bierze się ich pod uwagę podczas rekrutacji, ponieważ z automatu zostają wykreślone ze względu na pewne cechy.
Po drugie ważne są dane osobowe. Zgodnie z rozporządzeniem RODO, profilowanie będzie możliwe wyłącznie wówczas, gdy osoba, której dotyczą te dane, wyrazi na to zgodę i zostanie wyraźnie poinformowana, czemu takie profilowanie będzie służyć.
Taka zgoda będzie musiała zostać udzielona z pełną świadomością konsekwencji, które się z tym wiążą. Będzie musiała być wyraźna i świadoma, a co za tym idzie, niedopuszczalne będzie chociażby tak zwane domyślne udzielanie zgody, polegające na przykład na tym, że na formularzu odpowiednie okienko będzie już automatycznie zaznaczone.
Co więcej, firmy będą musiały również umożliwić osobom, których dotyczą te dane, wgląd w nie oraz odmowę wyrażenia zgody na profilowanie, bez jakichkolwiek konsekwencji.
Nim zacznie się zbierać dane z myślą o profilowaniu, konieczne więc będzie sprawdzenie, w jakim celu ma być ono przeprowadzane oraz jakie są kryteria i zasady, jakimi się rządzi. Informację o tym wszystkim trzeba będzie bowiem w sposób jasny i zrozumiały przedstawić osobie, która będzie poddana profilowaniu. Co więcej, przetwarzanie danych po wejściu RODO związane będzie z zasadą minimalizacji danych osobowych, która w skrócie polega na tym, że powinno się zbierać i wykorzystywać tylko niezbędną ilość informacji.
Myśląc o profilowaniu trzeba będzie mieć na uwadze również szereg praw osób, których dane będą analizowane, wprowadzonych w rozporządzeniu. Mowa między innymi o: prawie do uaktualniania tych informacji, swobodnego przenoszenia ich do innego administratora (na nośniku, który będzie umożliwiał ich swobodne odczytanie), czy prawie do bycia zapomnianym, a więc do wykasowania informacji na życzenie osoby, której dotyczą.
Warto przy tej okazji dodać, że dane osobowe, o których mowa, mogą zostać poddane pseudonimizacji, a więc „przetworzeniu danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, o ile takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Dowiedz się więcej o tym, czym jest anonimizacja i pseudonimizacja danych.