Profilowanie w e-commerce a ochrona danych osobowych

Przeczytaj także: Ochrona danych w sklepie internetowym. Co zmieniły nowe przepisy?

Profilowanie jest szczególnie pomocnym narzędziem dla przedsiębiorców z branży e-commerce, prowadzących sklepy internetowe czy świadczących usługi hostingowe. Podmioty te wykorzystują profilowanie do budowania długotrwałych relacji z klientami, m.in. poprzez tworzenie dedykowanych ofert dostosowanych do preferencji i zainteresowań klientów, bez konieczności ponoszenia wysokich kosztów na promocję.

Zagrożenia związane z profilowaniem dla działalności e-commerce

Prowadząc działalność handlową w Internecie, przedsiębiorcy powinni zwracać szczególną uwagę na zagrożenia pochodzące z sieci. Szczególnie istotnym zagrożeniem jest przechwycenie poufnych informacji finansowych i danych osobowych w transmisji sieciowej, przy składaniu zamówienia przez formularz czy dokonywaniu płatności online oraz włamanie do serwera, na którym postawiony jest sklep lub serwis internetowy i kradzież informacji, w tym danych osobowych.

Profilowanie – dokonanie oceny skutków

Właśnie na zagrożenia związane z nowymi technologiami, stosowanymi m.in. w e-commerce, zwraca uwagę Rozporządzenie UE o ochronie danych osobowych (dalej: Rozporządzenie). Kładzie ono nacisk na dokonanie oceny skutków przetwarzania danych osobowych w procesie planowania prowadzenia działalności gospodarczej. Zobowiązuje każdego przedsiębiorcę, jako administratora danych, do przeanalizowania wpływu działalności na ochronę danych osobowych, które przedsiębiorca zamierza przetwarzać.

- Oznacza to, że przedsiębiorca musi zorganizować swoją działalność (uwzględnić metody sprzedaży oferowanych produktów lub usług, tworzenia i utrzymywania relacji z klientami, relacje z kontrahentami, wdrożenie niezbędnych zabezpieczeń) stosownie do zagrożeń i kategorii danych osobowych – mówi Krystian Frydrych, specjalista od ochrony danych osobowych w firmie Rzetelna Grupa. - Organizacja działalności powinna być poparta przeprowadzeniem szacowania ryzyka (identyfikacja, analiza i ocena) naruszenia praw i wolności osób, których dane będą przetwarzane – dodaje.

Obowiązek dokonania oceny skutków przetwarzania ma szczególne znaczenie w kontekście profilowania.

- Ze względu na jego potencjalne skutki prawne lub inne dotkliwe następstwa dla osoby profilowanej, m.in. ograniczony dostęp do usług, jest szczególną kategorią przetwarzania danych osobowych, na którą przedsiębiorcy e-commerce powinni zwrócić szczególną uwagę – podkreśla Krystian Frydrych.

Przedsiębiorcy, w ramach obowiązku dokonania oceny skutków, przed rozpoczęciem działalności, są zobowiązani spełnić kluczowe obowiązki wynikające z Rozporządzenia i obowiązującej ustawy o ochronie danych osobowych (dalej: Ustawy), takie jak: wykazanie podstawy prawnej przetwarzania danych osobowych, poinformowanie osoby o zasadach i konsekwencjach profilowania oraz o prawie do uzyskania informacji, prawie do sprzeciwu i prawie do niepodlegania decyzjom podjętym wyłącznie w wyniku profilowania, a także opracowanie i wdrożenie zabezpieczeń organizacyjnych i technicznych proporcjonalnych do zagrożeń.

Prawne przesłanki profilowania - zgoda osoby profilowanej oraz uzasadniony interes

W praktyce, wyrażenie zgody następuje poprzez zaznaczenie odpowiedniego checkbox’a, zamieszczonego na stronie internetowej, w formularzu zamówienia lub kontaktowym.

- Odbieranie zgody w ten sposób, niesie za sobą pewne ryzyko. Trudno bowiem wykazać, że zgoda została wyrażona, jeżeli oprogramowanie sklepu lub serwisu nie ma technicznej możliwości rejestracji zaznaczonych checkbox’ów, co zdarza się bardzo często. W konsekwencji dochodzi do sytuacji, w której przedsiębiorca będzie musiał pozyskać zgodę drogą mailową, co przy dużej liczbie klientów może być czasochłonne i kłopotliwe. Dodatkowo, informowanie klientów o konieczności wyrażenia zgody na profilowanie lub prawo odmowy, może sprawić, że większość osób nie wyrazi zgody. Ten sposób może być zatem niepraktyczny i zbyt kosztowny dla przedsiębiorcy - mówi Krystian Frydrych.

Drugą przesłanką, którą przedsiębiorca może uwzględnić, jest uzasadniony interes (w Ustawie jest to „prawnie usprawiedliwiony cel”), w szczególności marketing bezpośredni własnych produktów i usług. Podobnego sformułowania brakuje jednak w Rozporządzeniu, co nie oznacza, że marketing bezpośredni nie będzie uwzględniany jako uzasadniony interes. Najważniejszym kryterium uznania uzasadnionego interesu jako przesłanki legalnego profilowania, będzie zagwarantowanie przestrzegania praw i wolności osób poddanych profilowaniu, m.in. przez wdrożenie zabezpieczeń zapewniających ochronę danych profilowanych osób.

- Przesłanka uzasadnionego interesu może być lepszym rozwiązaniem dla przedsiębiorców z sektora e-commerce ze względu na charakter działalności. W tym przypadku profilowanie może być narzędziem wspomagającym aktywność marketingową (programy lojalnościowe, programy sprzedażowe, wysyłka dedykowanych ofert), a co za tym idzie, zwiększającą sprzedaż produktów lub usług – ocenia specjalista z Rzetelnej Grupy. Oparcie profilowania na przesłance uzasadnionego interesu, pozwala dokonywać oceny danej osoby bez konieczności pozyskania jej zgody, z racji prowadzenia marketingu bezpośredniego własnych produktów lub usług. - Należy jednak pamiętać, że wysyłanie dedykowanych ofert stanowiących informację handlową, opracowanych na bazie wyników profilowania, może być dokonywane wyłącznie za zgodą na przesyłanie informacji handlowej, wynikającą z ustawy o świadczeniu usług drogą elektroniczną – reasumuje Frydrych.

Obowiązek informacyjny

Jednym z istotnych obowiązków dla zgodnego z przepisami Rozporządzenia przetwarzania danych, w tym profilowania, jest obowiązek informacyjny. Każdej osobie, której dane dotyczą, przedsiębiorca jest zobowiązany podać informacje o profilowaniu oraz o prawach do sprzeciwu lub niepodlegania decyzjom podjętym w wyniku profilowania. Obowiązek ten przedsiębiorca może spełnić poprzez informację pod formularzem zamówienia lub informację drogą mailową. Przy czym, należy spełnić wszystkie warunki dla klauzuli informacyjnej zgodnej z przepisami Rozporządzenia: podanie adresu siedziby i danych kontaktowych, celu przetwarzania oraz podstawę prawną, kategorie przetwarzanych danych, informacje o podmiotach lub kategoriach podmiotów, którym dane mogą być udostępnione, w tym o przekazaniu danych do państwa trzeciego oraz informacje o prawach osoby, której dane dotyczą, o prawie do cofnięcia zgody na przetwarzanie (profilowanie) i informacje o profilowaniu – zasadach prowadzenia i przewidywanych konsekwencjach dla podmiotu danych.

Przyszłość branży e-commerce w kontekście profilowania

Przez wzgląd na brak interpretacji przepisów, niepewna jest sprawa stosowania profilowania pod kątem osiągnięcia zamierzonych korzyści biznesowych. Najwcześniej za dwa lata przedsiębiorcy mogą ocenić czy warto skorzystać z profilowania dla rozwoju własnej działalności, uwzględniając konieczność zapewnienia zgodności z przepisami Rozporządzenia.