Zautomatyzowane decyzje profilujące a RODO (art. 22).

Coraz częściej decyzje dotyczące naszego życia zapadają szybciej, niż zdążymy się nad nimi zastanowić. Kredyt przyznany albo odrzucony. Reklama „idealnie dopasowana”. Oferta, której nigdy nie widzimy, bo algorytm uznał, że „to nie dla nas”. W wielu takich sytuacjach nie decyduje człowiek, tylko system informatyczny. I właśnie w tym miejscu pojawia się art. 22 RODO – przepis, który w teorii jest znany, a w praktyce bywa ignorowany albo źle rozumiany.

RODO mówi jasno: każdy ma prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, jeśli taka decyzja wywołuje wobec niego skutki prawne albo w podobny sposób istotnie na niego wpływa. Kluczowe są tu dwa słowa: wyłącznie oraz istotnie. To one wyznaczają granice stosowania tego przepisu.

Zautomatyzowana decyzja to taka, w której nie ma realnego udziału człowieka. Nie wystarczy, że gdzieś w tle „ktoś mógłby spojrzeć”. Człowiek musi faktycznie analizować sprawę i mieć możliwość zmiany wyniku. Jeśli system sam zbiera dane, sam je analizuje i sam wydaje werdykt – wchodzimy w obszar art. 22 RODO. I nie ma znaczenia, czy mówimy o banku, firmie ubezpieczeniowej, platformie rekrutacyjnej czy serwisie internetowym.

Profilowanie z kolei to nic innego jak tworzenie cyfrowego portretu człowieka. RODO definiuje je szeroko: chodzi o ocenę lub prognozę zachowań, preferencji, sytuacji finansowej, zdrowia, wiarygodności czy zainteresowań. W praktyce oznacza to, że jeśli algorytm analizuje Twoje dane, by przewidzieć, jaki jesteś i co zrobisz – to już jest profilowanie. Nawet jeśli odbywa się „w tle” i bez Twojej wiedzy.

Problem zaczyna się wtedy, gdy z takiego profilu wynika decyzja, która naprawdę coś zmienia. Odmowa zawarcia umowy. Gorsze warunki finansowe. Automatyczna selekcja CV. To nie są drobnostki. To decyzje, które mogą mieć bardzo realne konsekwencje prawne i życiowe. I właśnie przed tym ma chronić art. 22 RODO.

Oczywiście RODO nie wprowadza całkowitego zakazu automatyzacji. Prawo byłoby wtedy oderwane od rzeczywistości. Dopuszcza trzy wyjątki. Po pierwsze – gdy zautomatyzowana decyzja jest niezbędna do zawarcia lub wykonania umowy. Po drugie – gdy wynika wprost z przepisów prawa. Po trzecie – gdy opiera się na wyraźnej zgodzie osoby, której dane dotyczą. Ale diabeł, jak zwykle, tkwi w szczegółach.

„Niezbędność” nie oznacza wygody administratora. To, że algorytm jest szybszy i tańszy, nie czyni go automatycznie legalnym. Zgoda natomiast musi być rzeczywiście świadoma i dobrowolna. Checkbox ukryty w regulaminie, którego nikt nie czyta, raczej nie spełnia tych warunków. A mimo to wciąż spotykamy takie praktyki.

RODO daje osobie, której dane dotyczą, konkretne prawa. Można domagać się interwencji człowieka, wyrazić własne stanowisko i zakwestionować decyzję. I to nie są puste hasła. Administrator powinien mieć procedury, które pozwalają te prawa realnie zrealizować. Inaczej ryzykuje nie tylko skargę do organu nadzorczego, ale też utratę zaufania użytkowników.

Coraz częściej mówi się też o problemie tzw. „czarnej skrzynki”, czyli algorytmów, których działania nie da się łatwo wyjaśnić. System „wie”, ale nie potrafi powiedzieć dlaczego. Z punktu widzenia prawa to sytuacja bardzo niewygodna. Bo jak wyjaśnić decyzję, skoro nawet jej twórcy nie potrafią wskazać jasnych kryteriów? Tymczasem RODO wymaga przejrzystości. A przejrzystość i nieprzeniknione algorytmy nie zawsze idą w parze.

W tym kontekście nie można pominąć szerszego obrazu. Unia Europejska coraz wyraźniej zmierza w stronę odpowiedzialnej automatyzacji. RODO było pierwszym krokiem. Kolejnym jest AI Act, który ma uzupełnić ochronę tam, gdzie algorytmy zaczynają realnie wpływać na prawa i wolności człowieka. Kierunek jest jasny: technologia ma służyć ludziom, a nie podejmować decyzje ponad ich głowami.

Z perspektywy prawnika widać jedno – art. 22 RODO to przepis, który zyskuje na znaczeniu z każdym rokiem. Im więcej automatyzacji, tym większe ryzyko nadużyć. A im większe ryzyko, tym większa potrzeba kontroli. Nie po to, by blokować rozwój technologii, ale po to, by zachować równowagę między efektywnością a prawami jednostki.

Podsumowując, zautomatyzowane decyzje profilujące nie są same w sobie złe. Problem pojawia się wtedy, gdy stają się nieprzejrzyste, niekontrolowane i pozbawione ludzkiego elementu. RODO – a zwłaszcza art. 22 – przypomina, że nawet w świecie algorytmów człowiek nie może być sprowadzony do zestawu danych. I to jest jedna z tych zasad, o których naprawdę warto pamiętać.

Paweł Janicki

Radca prawny IP LL.M.