Aki használ okostelefont, kér hitelt, előfizet kábeltévére, regisztrál közösségi oldalon, keres állást vagy ingatlant közvetítők segítségével – azaz végez a mindennapi élet körébe tartozó tevékenységeket –, arról nagy valószínűség szerint profil készül. A profilunk leír minket – szokásainkat, egészségünket –, tehát számos személyes adatot tartalmaz, ami rendkívül értékes lehet a fogyasztóval kapcsolatot kereső vállalkozásoknak. Mivel a profilalkotásra már iparágak épültek, mindenképpen hasznos, hogy az új, 2018. május 25-étől alkalmazandó európai uniós adatvédelmi rendelet (GDPR) külön kitér arra, milyen módon használhatja fel bárki a természetes személyek adatait e körben.

A GDPR szerint a profilalkotás a személyes adatok automatizált kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják.

Tipikus példaként említeném a banki hitelbírálatot, amelynek során számos olyan adatot gyűjtenek be egy magánszemély vonatkozásában, amely alapján megjósolható fizetési képessége, hajlandósága. Szintén a profilalkotásra épül a közösségi oldalakon megjelenő, személyre szabott reklám is, hiszen a felhasználó kattintásai, oldallátogatásai alapján egy algoritmus segítségével meghatározható, hogy mely tartalmak érdeklik jobban az illetőt.

Mivel a profilalkotás olyan módon használhatja a természetes személyek adatait, amire nem is gondolnak, ezért fontos, hogy a jogalkotó beépített bizonyos korlátokat a rendeletbe. Így a tisztességes és átlátható adatkezelés elvének megfelelően minden esetben tájékoztatni kell az érintettet arra vonatkozóan, hogy az adatait felhasználják-e profilalkotáshoz. Továbbá az érintett bármikor visszajelzést kérhet, hogy történik-e „profilozás” őrá vonatkozóan, és ha igen, ez ellen tiltakozhat is. Vagyis, minden esetben, ha igénybe vesz egy szolgáltatást, megilleti a természetes személyt az a jog, hogy a szükségszerű minimumnál többre ne használják adatait. A gyakorlatban sokszor előfordul, hogy magát a terméket – például egy applikációt – csak akkor tudja érdemben használni az érintett, ha annak teljes adatkezelési szabályzatához – és így a profilalkotáshoz is – hozzájárul, pedig ez nem jogszerű. Gondoljunk csak azokra a térképes keresőszolgáltatásokra, ahol hozzáférést lehet vagy kell adni a képgalériához, naptárhoz, GPS-hez, majd két hét múlva olyan értesítést kap a felhasználó – akarata ellenére –, ami a közelében lévő, érdeklődési körébe tartozó, közelgő eseményre invitálja. Nos, ezek az alkalmazások – az érintettek tudatos vagy rutinszerű hozzájárulása alapján – mind a profilalkotás eszközével élnek.

Még inkább figyelemreméltó, ha a profilalkotás alapján az ember életét befolyásoló döntés is születik, ráadásul automatizált adatkezelés alapján. A rendelet szerint az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené. Nem minden esetben élhet ezzel a lehetőséggel az érintett: ha például kifejezetten hozzájárult a profilalkotáshoz, akkor csak azt kérheti, hogy az adatkezelő részéről emberi beavatkozás történjen, álláspontját kifejezze és a döntéssel szemben kifogást nyújtson be. Így például a munkaerő-közvetítő cégek a jövőbeli tevékenységük során minden esetben be kell, hogy építsék az eljárásrendjükbe annak lehetőségét, hogy az álláskereső személyek (automatizált adatkezelésen alapuló) elutasításuk okáról érdeklődjenek és ezzel kapcsolatban emberi felülvizsgálatot kérjenek – hiszen akár karrierjük megtorpanásához is vezethet egy rosszul paraméterezett függvény.

A profilalkotás témája rengeteg kérdést vet fel, amellyel az Európai Unió adatvédelmi munkacsoportja áthatóan foglalkozik. Ennek keretében tavaly októberben kiadott egy iránymutatást, amelynek tanulmányozásával a társaságok átfogó képet kaphatnak a terület összetettségéről. Az alábbiakban az iránymutatásba is belefoglalt pár érdekes példával szeretném szemléltetni, hogy milyen kérdések merülhetnek fel, ha egy vállalkozás profilt alkot:

-           a kizárólag automatizált adatkezelésre alapuló döntéshozatal kapcsán előírt szigorú szabályokat nem lehet megkerülni azzal, hogy természetes személy eljárását formailag beilleszti a cég a folyamatba, mert minden esetben tartalmilag kell azt megvizsgálni, hogy a természetes személynek volt-e végső ráhatása a döntésre;

-           azt, hogy milyen mértékben érinti az adott személyt az automatizált adatkezelésen alapuló döntés, mindig egyénre szabva kell vizsgálni. Ha például egy anyagi nehézségekkel küzdő személy online szerencsejátékra vonatkozó reklámokat kap, az az ő életét jelentős mértékben érintheti, mert könnyen további adósságokat generálhat, de egy átlagos fogyasztót várhatóan nem tud ilyen mértékben befolyásolni;

-           a döntéshozatal akkor is lehet negatív hatással egy érintettre, ha nem (csak) az ő adatai automatizált felhasználásával született, előfordulhat ugyanis, hogy egy személy hitelkártya-limitjét nem a saját törlesztési előzményei miatt csökkentik, hanem azért, mert a környezetében lakó, ugyanabban az üzletben vásárló hitelkártya-tulajdonosok fizetési hajlandósága alacsony.

Azoknál a vállalkozásoknál, amelyeknél előfordul az automatizált adatkezelés, kötelező hatásvizsgálatot végezni, azaz felmérni, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Erre vonatkozóan az adatvédelmi munkacsoport fenti iránymutatása hasznos útmutatót tartalmaz, felsorolva a főbb szempontokat, amiket figyelembe kell venni az eljárás kialakítása során.