1801
0
Podcast

PDB #213 -Jak profilować zgodnie z prawem

.Piotr Kantorowski
.Piotr Kantorowski
24 listopada, 2025 · 3 min read
1801
0

Wizerunek i jego ochrona – co musisz wiedzieć, by działać legalnie?

Przecież w internecie jest dziś mnóstwo danych o naszych klientach. Skoro tak, to czy nie możemy – mając do dyspozycji sztuczną inteligencję – podsuwając im dokładnie takie produkty, w takich cenach, jakie chcemy, sprawić, by kupili je już w najbliższym miesiącu? Brzmi kusząco, prawda?

Odpowiadając na to retoryczne pytanie – tak, dzisiejsze narzędzia rzeczywiście pozwalają na bardzo precyzyjne spersonalizowanie produktów, usług i reklam. Tak bardzo, że trudno im się oprzeć. Ale… czy takie działania są zawsze zgodne z prawem? Odpowiedź – jak pewnie się domyślacie – brzmi: nie zawsze. Dziś opowiem o tym, jak legalnie profilować dane klientów.

Czym jest profilowanie w świetle RODO

Zacznijmy od podstaw. Sam termin „profilowanie” większości z nas kojarzy się z RODO, a coraz częściej także z AI Actem. Warto jednak sięgnąć do definicji zawartej w RODO. Profilowanie to dowolna forma zautomatyzowanego przetwarzania danych osobowych, która polega na wykorzystaniu tych danych do oceny niektórych cech osoby fizycznej – w szczególności do analizy lub prognozy dotyczącej jej sytuacji ekonomicznej, zdrowia, preferencji, zainteresowań czy zachowania.

Definicja brzmi dość hermetycznie, ale w uproszczeniu chodzi o to, że na podstawie danych, które posiadamy, system dokonuje ich analizy i wyciąga określone wnioski. Jeśli działasz w e-commerce i chcesz podpowiadać klientom produkty, które mogą ich zainteresować, to – najprawdopodobniej – prowadzisz profilowanie danych.

Oczywiście można być także po drugiej stronie – czyli podlegać profilowaniu. Wystarczy, że korzystasz z mediów społecznościowych. Tam niemal każdy z nas ma tę funkcję włączoną – chyba że świadomie ją wyłączył.

Rodzaje profilowania – zwykłe i kwalifikowane

Wyróżniamy dwa podstawowe typy profilowania: zwykłe oraz kwalifikowane.

Zwykłe profilowanie ma miejsce wtedy, gdy dane są przetwarzane w sposób zautomatyzowany, ale system pełni jedynie funkcję pomocniczą. Kluczowe decyzje podejmuje człowiek, a skutki dla osoby profilowanej nie są istotne.

Przykładowo, gdy ZUS zapowiedział wykorzystanie AI do wskazywania podmiotów do kontroli, podkreślano, że urzędnicy i tak ostatecznie zweryfikują wyniki – więc nie jest to w pełni zautomatyzowane profilowanie.

Natomiast profilowanie kwalifikowane występuje, gdy system działa całkowicie automatycznie, a jego decyzje wywołują skutki prawne lub istotnie wpływają na daną osobę. Co istotne, nie musi chodzić o sytuacje ekstremalne – już samo wyświetlanie określonych reklam może zostać uznane za istotny wpływ.

Profilowanie a prawo – kiedy jest dopuszczalne

W przypadku zwykłego profilowania można je prowadzić na dowolnej podstawie przewidzianej w RODO, przy zachowaniu ogólnych zasad przetwarzania danych.

Inaczej jest przy profilowaniu kwalifikowanym. Osoba, której dane dotyczą, ma prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, które wywołuje wobec niej skutki prawne lub podobnie istotne. Takie profilowanie jest dopuszczalne jedynie, gdy:

  1. jest niezbędne do zawarcia lub wykonania umowy,
  2. istnieje wyraźna podstawa prawna (np. ustawowa),
  3. osoba wyraziła zgodę.

To ostatnie jest najczęstsze w praktyce. Jeśli więc widzicie na stronie komunikat o tym, że „dla waszej większej satysfakcji firma będzie dostarczać spersonalizowane oferty”, a obok przycisk „Wyrażam zgodę” – to właśnie w ten sposób wyrażacie zgodę na profilowanie.

Prawo do cofnięcia zgody i nadzór człowieka

W przypadku profilowania opartego na zgodzie, możecie ją w każdej chwili cofnąć. Administrator danych musi zapewnić mechanizmy, które umożliwią zrealizowanie tego prawa, oraz zagwarantować udział człowieka w procesie decyzyjnym – tak, by ostatecznie to człowiek, a nie system, rozpatrywał indywidualne przypadki.

AI Act i DSA – nowe obowiązki przy profilowaniu

Warto pamiętać, że AI Act wprowadza zakaz stosowania systemów uznanych za niedopuszczalne. Dotyczy to m.in.:

  • systemów scoringu społecznego,
  • systemów rozpoznawania emocji w miejscu pracy lub edukacji,
  • niekontrolowanego tworzenia baz danych biometrycznych.

Z kolei Digital Services Act (DSA) nakłada dodatkowe ograniczenia. Platformy internetowe nie mogą wyświetlać reklam opartych na szczególnych kategoriach danych osobowych (np. zdrowotnych, dotyczących poglądów politycznych czy orientacji seksualnej).
DSA zakazuje też profilowania osób niepełnoletnich oraz nakazuje, by systemy rekomendacji oferowały przynajmniej jedną opcję bez wykorzystania profilowania.

Jak podejść do profilowania w praktyce

Aby działać zgodnie z prawem, przedsiębiorca powinien:

  1. Zidentyfikować, czy i jakie profilowanie stosuje.
  2. Określić, czy jest ono zwykłe, czy kwalifikowane.
  3. Zapewnić odpowiednią podstawę prawną przetwarzania.
  4. Ocenić ryzyko (obowiązkowo przy profilowaniu kwalifikowanym).
  5. Poinformować użytkowników o sposobie profilowania i ich prawach.
  6. Sprawdzić zgodność z AI Act i DSA, jeśli wykorzystywana jest sztuczna inteligencja.
  7. Umożliwić realizację praw użytkowników, w tym sprzeciw wobec zautomatyzowanego profilowania.

Doceniasz tworzone przeze mnie treści?

Postaw kawę 😉

Piotr Kantorowski
RADCA PRAWNY

Przedsiębiorcom służę pomocą w kwestiach związanych z prawem własności intelektualnej szczególnie w obszarze digital marketingu i IT. Tworzę też umowy tak, aby oddawały Twoje plany biznesowe i zabezpieczały firmę w najwyższym stopniu. Jeśli trzeba pomagam też poprowadzić spory korporacyjne lub z kontrahentami.

Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.

Bezpłatna konsultacja