Rozwój technologii sprzyja zbieraniu danych osobowych przez przedsiębiorstwa, które następnie je wykorzystują w swojej działalności. Technologia zmieniła życie społeczne i gospodarkę na dotąd niespotykaną skalę.
Jakie ramy w tym zakresie stworzyło RODO?
Zautomatyzowane podejmowanie oraz profilowanie to przejawy AI (sztucznej inteligencji) skodyfikowane w RODO. Profilowanie zostało określone w art. 4 pkt 4 RODO jako: dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Do profilowania zaliczyć można wszystkie techniki przewidywania, kim jest określony użytkownik portalu/sklepu, w oparciu o historię jego internetowej aktywności. Przykładem profilowania jest badanie preferencji zakupowych i podpowiedź ze strony sklepu internetowego jakie inne towary będą dla nas odpowiednie oraz dopasowywanie reklam w przeglądarce internetowej pod względem odwiedzanych wcześniej stron.
Z kolei zautomatyzowane podejmowanie decyzji to podejmowanie decyzji bez uczestnictwa człowieka, gdzie zautomatyzowany jest nie tylko sam proces analityczny, ale też ostateczne rozstrzygnięcie w danej kwestii. Zautomatyzowanym podejmowaniem decyzji będą więc nie prace lub usługi wykonywane za pomocą automatycznych analiz, ale prace lub usługi wykonywane bez udziału ludzi. Przykładem zautomatyzowanego podejmowania decyzji może być ocena zdolności kredytowej przez system AI banku.
Oba powyższe przypadki doznają ograniczeń narzucanych przez RODO. Stosowanie AI w celu automatyzacji profilowania lub podejmowania decyzji jest dopuszczalne, jednakże firmy używające na co dzień AI będą też miały obowiązki, tak jak każdy inny administrator, czyli odpowiednie zabezpieczenie danych.
Istotne jest także prawidłowe określenie czasu przechowywania (przetwarzania) zebranych danych. Ponadto ochrona danych musi być realizowana domyślnie (privacy by default), a także być uwzględniana już na etapie projektowania systemu (privacy by design).
Aby dowiedzieć się więcej – jak skutecznie wdrożyć RODO – zapraszamy do kontaktu z Nami.
