Profilowanie klientów a RODO. Gdzie kończy się analityka a zaczyna naruszenie.
Share
Większość firm boi się słowa "profilowanie" bardziej niż potrzeba. RODO nie zakazuje analizowania zachowań klientów. Zakazuje konkretnej, wąskiej kategorii decyzji. Różnica jest zasadnicza – i warto ją znać zanim wyłączysz połowę swojego marketingu "dla bezpieczeństwa".
Jest takie słowo które potrafi wywołać panikę w każdym dziale marketingu.
"Profilowanie."
Wystarczy że ktoś je wypowie na spotkaniu z prawnikiem albo IOD i natychmiast pojawia się seria pytań. Czy możemy segmentować klientów? Czy możemy rekomendować produkty? Czy musimy zbierać zgodę na każdy algorytm? Czy jesteśmy narażeni na karę?
W większości przypadków odpowiedź brzmi: nie, nie, nie i nie.
Nie dlatego że RODO jest łagodne. Dlatego że RODO reguluje bardzo konkretny rodzaj profilowania – i ten rodzaj to nie jest to co robi 90% polskich firm gdy mówią że "profilują klientów."
Czym profilowanie jest według RODO – dosłownie
Art. 4 pkt 4 RODO definiuje profilowanie jako "dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się."
Brzmi szeroko. I w pewnym sensie jest szerokie – bo definicja profilowania w RODO faktycznie obejmuje dużo.
Ale tutaj jest kluczowy rozdział który większość firm pomija czytając przepisy.
RODO nie zakazuje profilowania jako takiego. RODO reguluje wyłącznie profilowanie które prowadzi do zautomatyzowanego podejmowania decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na osobę fizyczną.
To jest art. 22 RODO. I to jest przepis który faktycznie nakłada poważne obowiązki.
Wszystko inne – analityka, segmentacja, rekomendacje, personalizacja – podlega ogólnym zasadom RODO jak każde inne przetwarzanie danych. Ma wymagać podstawy prawnej, być proporcjonalne, minimalizować dane. Ale nie wywołuje tych szczególnych obowiązków z art. 22.
Algorytm rekomendacji to nie jest profilowanie w rozumieniu art. 22
Wróćmy do przykładu z tytułu.
Klient kupuje kosiarkę. System e-commerce analizuje historię zakupów podobnych klientów i wyświetla mu propozycję sekatorów, rękawiczek ogrodniczych i nawozów. Kupił kosiarkę – pewnie ma ogród – pewnie przyda mu się sekator.
Czy to jest profilowanie według RODO? Technicznie tak – jest zautomatyzowane, przetwarza dane osobowe, ocenia preferencje klienta.
Czy nakłada na firmę obowiązki z art. 22? Nie.
Dlatego że rekomendacja produktu nie wywołuje skutków prawnych ani nie wpływa istotnie na życie tej osoby. Klient może ją zignorować. Może nie kliknąć. Nic mu się nie przydarzy jeśli algorytm się myli albo propozycja go nie interesuje. Nie straci pracy. Nie dostanie wyższej raty kredytu. Nie zostanie odmówiony przy wynajmie mieszkania.
Decyzja o wyświetleniu reklamy sekatorów jest decyzją systemu. Ale jej skutek dla klienta jest zerowy jeśli klient jej nie zaakceptuje.
To jest kluczowa różnica między profilowaniem w potocznym rozumieniu a profilowaniem regulowanym przez art. 22 RODO.
Co jest tym "istotnym wpływem" który RODO faktycznie reguluje
Art. 22 RODO dotyczy sytuacji gdzie zautomatyzowana decyzja wywołuje skutki prawne lub w podobny sposób istotnie wpływa na osobę.
Europejska Rada Ochrony Danych w wytycznych wskazuje konkretne przykłady. Scoring kredytowy który decyduje czy ktoś dostanie pożyczkę. Automatyczna rekrutacja która odrzuca kandydata bez udziału człowieka. Wycena ubezpieczenia oparta wyłącznie na algorytmie. Decyzja o zwolnieniu pracownika oparta na systemie monitoringu produktywności bez weryfikacji przez człowieka.
Wspólny mianownik jest jeden: decyzja zapada automatycznie, bez rzeczywistego udziału człowieka, i jej skutki są poważne dla osoby której dotyczy.
Poważne to znaczy takie które wpływają na jej prawa, sytuację ekonomiczną, dostęp do usług, wolność lub podobne dobra. Wyświetlona reklama sekatorów do tej kategorii nie należy. Odmowa kredytu generowana przez algorytm – już tak.
Trzy warunki które muszą być spełnione jednocześnie
Żeby art. 22 RODO w ogóle wchodził w grę, muszą być spełnione łącznie trzy elementy.
Po pierwsze: decyzja musi być zautomatyzowana. To znaczy że zapada bez rzeczywistego udziału człowieka w procesie decyzyjnym. Człowiek który "zatwierdza" decyzję algorytmu klikając OK bez analizy nie jest prawdziwym uczestnikiem procesu. Ale człowiek który faktycznie weryfikuje wyniki algorytmu i ma realną możliwość ich zmiany – jest. I to wyłącza art. 22.
Po drugie: decyzja musi wywoływać skutki prawne lub w podobny sposób istotnie wpływać na osobę. Wyświetlenie reklamy – nie. Odmowa kredytu – tak. Wyższa składka ubezpieczenia – tak. Odrzucenie aplikacji o pracę – tak. Sugestia produktu który możesz kupić ale nie musisz – nie.
Po trzecie: decyzja musi dotyczyć osoby fizycznej. Decyzje dotyczące firm i podmiotów prawnych są poza zakresem art. 22.
Jeśli choćby jeden z tych warunków nie jest spełniony – art. 22 nie ma zastosowania. Pozostają ogólne zasady RODO ale bez specjalnych wymogów dla zautomatyzowanego podejmowania decyzji.
Co w praktyce robi większość firm – i dlaczego to nie jest problem z art. 22
Segmentacja klientów na grupy na podstawie historii zakupów. Personalizacja treści na stronie internetowej. Rekomendacje produktów oparte na podobieństwie zachowań. Email marketing z różną treścią dla różnych segmentów. Scoring leadów w CRM który wskazuje sprzedawcom na kogo warto zadzwonić. Analiza koszyków porzuconych i automatyczne przypomnienia.
Wszystkie te działania spełniają definicję profilowania z art. 4 RODO. Żadne z nich – przy standardowej implementacji – nie spełnia warunków z art. 22.
Dlaczego? Bo żadne z nich nie podejmuje decyzji która istotnie wpływa na życie klienta. Klient dostaje inne maile, inne rekomendacje, inne treści na stronie. Może je zignorować. Może wypisać się z newslettera. Może nie kupić rekomendowanego produktu. Nic mu się nie stanie.
Kiedy zwykła analityka staje się problemem z art. 22
Linię przekraczasz gdy algorytm zaczyna podejmować decyzje a nie tylko sugerować.
Automatyczny system który odrzuca wnioski o pożyczkę bez udziału człowieka – art. 22 wchodzi w grę. Scoring który decyduje komu wysłać ofertę premium a komu standard bez możliwości zmiany przez pracownika – art. 22 wchodzi w grę. System który automatycznie blokuje konto klienta na podstawie analizy zachowań bez weryfikacji człowieka – art. 22 może ale nie musi wchodzić w grę.
Ale uwaga na pozorną pułapkę: samo używanie algorytmu do wspomagania decyzji człowieka nie jest automatycznie art. 22. Jeśli algorytm rekomenduje a człowiek decyduje – to jest narzędzie analityczne, nie zautomatyzowane podejmowanie decyzji w rozumieniu RODO.
Kluczowe pytanie brzmi: czy człowiek w tym procesie ma realną możliwość podjęcia innej decyzji niż ta którą sugeruje algorytm? Czy naprawdę analizuje wynik czy tylko klika "zatwierdź"?
To rozróżnienie jest fundamentem Human in the Loop o którym pisałem przy okazji AI Act. I tu widać jak te dwa przepisy – RODO i AI Act – nakładają się na siebie przy automatyzacji procesów biznesowych.
Jakie obowiązki nakłada art. 22 gdy faktycznie ma zastosowanie
Jeśli Twoja firma faktycznie stosuje zautomatyzowane podejmowanie decyzji które istotnie wpływa na osoby fizyczne – masz konkretne obowiązki.
Musisz poinformować osobę o tym że taka decyzja zapada automatycznie, o logice tego przetwarzania i o znaczeniu oraz przewidywanych konsekwencjach dla tej osoby. To jest obowiązek informacyjny który musi trafić do klauzuli informacyjnej w sposób zrozumiały – nie jako trzecia strona prawniczego tekstu.
Musisz zapewnić osobie prawo do uzyskania interwencji ludzkiej, do wyrażenia własnego stanowiska i do zakwestionowania decyzji. To jest prawo do odwołania się od decyzji algorytmu do człowieka.
Do zasady – art. 22 zakazuje podejmowania takich decyzji chyba że jest to niezbędne do zawarcia lub wykonania umowy, dozwolone prawem Unii lub państwa członkowskiego lub opiera się na wyraźnej zgodzie osoby. Zgoda tu ma szczególne wymagania – musi być wyraźna, specyficzna dla tego celu, i odwoływalna.
Praktyczna mapa dla działu marketingu i compliance
Zanim zaangażujesz IOD do analizy każdego algorytmu w firmie – zadaj sobie trzy pytania.
Pierwsze: czy ta decyzja jest w pełni zautomatyzowana czy człowiek ma w niej realny udział? Jeśli człowiek naprawdę weryfikuje – nie jesteś w art. 22.
Drugie: czy decyzja wywołuje skutki prawne lub poważnie wpływa na życie osoby? Odmowa kredytu, wyższe ubezpieczenie, odrzucenie kandydatury – tak. Wyświetlenie reklamy, rekomendacja produktu, treść emaila – nie.
Trzecie: czy dotyczy osoby fizycznej? Decyzje o firmach – poza zakresem art. 22.
Jeśli na którekolwiek z tych pytań odpowiedź brzmi "nie" – jesteś w obszarze ogólnych zasad RODO. Potrzebujesz podstawy prawnej dla przetwarzania danych, musisz spełnić obowiązek informacyjny i przestrzegać minimalizacji danych. Ale nie stoją przed Tobą szczególne wymagania art. 22.
Dlaczego firmy tak bardzo boją się profilowania
Odpowiedź jest prosta: bo prawnicy i konsultanci przez lata RODO używali słowa "profilowanie" bez rozróżnienia między jego definicją z art. 4 a szczególnym reżimem z art. 22.
Efekt jest taki że działy marketingu dostają zakaz "profilowania klientów" który w praktyce zakazuje im segmentacji, personalizacji i rekomendacji. Czyli zakazuje podstawowych narzędzi nowoczesnego marketingu cyfrowego.
To jest przykład compliance który zamiast zarządzać ryzykiem – paraliżuje organizację.
Dobry IOD rozróżnia te dwie kategorie i pomaga biznesowi działać skutecznie w ramach przepisów – zamiast budować mury które RODO nigdy nie wymagało.
Algorytm rekomendujący sekatory komuś kto kupił kosiarkę nie jest problemem RODO.
Problem zaczyna się gdy algorytm odmawia komuś kredytu na tę kosiarkę.
I warto wiedzieć gdzie przebiega ta granica.
FAQ – pytania które dostaję najczęściej
Czy muszę zbierać zgodę na rekomendacje produktów w sklepie internetowym?
Nie – jeśli rekomendacja to tylko wyświetlenie propozycji którą klient może zignorować. Potrzebujesz podstawy prawnej dla przetwarzania danych (najczęściej uzasadniony interes administratora) i musisz o tym poinformować w klauzuli. Zgody wymagałbyś gdybyś wchodził w pełny reżim art. 22 – czyli gdyby algorytm podejmował decyzje istotnie wpływające na klienta bez udziału człowieka. Rekomendacja sekatorów tym nie jest.
Czysto teoretycznie możemy powiedzieć, że bardzo inwazyjne i szeroko zakrojone analizowanie człowieka na podstawie danych sprzedażowych lub z cookies może wykraczać poza uzasadniony interes i wymagać zgody ale....w praktyce takie decyzje i sytuacje się nie zdarzają chyba że jesteście kolosem social media.
Mamy scoring leadów w CRM. Czy to profilowanie wymagające zgody?
Scoring który mówi sprzedawcy "ten lead jest gorący, zadzwoń" to narzędzie wspomagające człowieka – nie zastępujące go. Dopóki decyzja o kontakcie, ofercie i warunkach leży po stronie sprzedawcy – jesteś poza art. 22. Gdybyś automatycznie wysyłał różne oferty cenowe różnym klientom wyłącznie na podstawie algorytmu bez weryfikacji człowieka – sytuacja zaczyna być inna ale wciąż nie wywołuje to na człowieku aż tak istotnego wpływu.
Używamy Google Analytics i Meta Pixel. Czy to profilowanie?
Tak – w rozumieniu definicji z art. 4 RODO. Ale nie w rozumieniu art. 22. Żadne z tych narzędzi nie podejmuje za Ciebie decyzji które istotnie wpływają na użytkownika. Problem z Analytics i Pixel leży gdzie indziej – w podstawie prawnej przetwarzania danych (zgoda vs. uzasadniony interes) i w transferze danych poza UE. To osobne zagadnienia, ale nie art. 22.
Wysyłamy różne ceny różnym segmentom klientów. Czy to narusza RODO?
Sama segmentacja cenowa nie jest automatycznie naruszeniem RODO – ale to jeden z tych przypadków gdzie warto się zatrzymać. Jeśli różnicujesz ceny na podstawie cech osobistych które mogą być proxy dla danych wrażliwych (lokalizacja która sugeruje pochodzenie etniczne, historię zdrowotną, sytuację finansową) – ryzyko rośnie. Jeśli segmentujesz na podstawie historii zakupów i lojalności – to standardowa praktyka handlowa. Kluczowe jest żebyś był w stanie wyjaśnić logikę segmentacji i żeby nie prowadziła do dyskryminacji.
Nasz system automatycznie blokuje konta przy podejrzeniu fraudu. Czy to wymaga zgody?
Tu art. 22 może wejść w grę – bo blokada konta istotnie wpływa na klienta. Jednak RODO przewiduje wyjątek: zautomatyzowane decyzje są dozwolone gdy są niezbędne do zawarcia lub wykonania umowy albo gdy opierają się na przepisach prawa. Zapobieganie fraudom mieści się w tych wyjątkach – pod warunkiem że klient ma możliwość zażądania interwencji człowieka i zakwestionowania blokady. Brak tej możliwości to realny problem compliance.
Czy muszę wpisywać w klauzuli informacyjnej że "stosujemy profilowanie"?
Jeśli stosujesz profilowanie w rozumieniu art. 4 – nie do końca, najczęściej w formie wyjaśnienia celu przetwarzania wraz z podstawą prawną. Wystarczy zdanie które wyjaśnia że analizujesz zachowania użytkowników w celu personalizacji treści i rekomendacji, na jakiej podstawie prawnej i z jakim skutkiem dla użytkownika. Jeśli wchodzisz w art. 22 – musisz dodatkowo poinformować o logice algorytmu, znaczeniu decyzji i prawach klienta do odwołania.
Podsumowanie
RODO nie jest wrogiem analityki ani marketingu opartego na danych.
Jest wrogiem konkretnej rzeczy: sytuacji w której algorytm podejmuje za człowieka decyzje które realnie wpływają na jego życie – bez możliwości odwołania, bez wyjaśnienia logiki i bez szansy na interwencję człowieka.
Wszystko co jest poniżej tej granicy – segmentacja, rekomendacje, personalizacja, scoring – to normalne przetwarzanie danych osobowych które wymaga podstawy prawnej, obowiązku informacyjnego i minimalizacji. Ale nie wymaga zgody na "profilowanie" ani specjalnych procedur z art. 22.
Największy błąd który popełniają firmy to traktowanie całej analityki marketingowej jak problemowego profilowania. Efekt jest taki że wyłączają narzędzia które RODO dopuszcza i zostają z marketingiem sprzed 2010 roku.
Drugi błąd to przeciwieństwo pierwszego – ignorowanie art. 22 tam gdzie faktycznie ma zastosowanie. Automatyczne decyzje kredytowe, rekrutacyjne, ubezpieczeniowe bez Human in the Loop to realny obszar ryzyka który regulatorzy coraz częściej sprawdzają.
Granica między tymi dwoma światami przebiega dokładnie tam gdzie skutki dla człowieka stają się poważne.
Rekomendacja sekatorów – nie jest poważna.
Odmowa kredytu na tę kosiarkę – już jest.
Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.