Big data a profilovanie ľudí na komerčné účely

Pri spracúvaní Big data na komerčné účely prestáva byť konotácia osobných údajov ako nového platidla digitálnej ekonomiky iba kaviarenskou frázou a stáva sa skutočnosťou. Komerčný potenciál Big data je neuveriteľný, čoho dôkazom je aj fakt, že korporácie stojace za najúspešnejšími sociálnymi sieťami a internetovými vyhľadávačmi sú súčasnými víťazmi na stupňoch globálnej ekonomiky.

Čo sú to Big Data?

Big Data a profilovanie dotknutej osoby je možné zjednodušene vysvetliť ako spracúvanie veľkého množstva (nielen osobných údajov) týkajúceho sa rozličných jedincov, ktoré primárne pozostáva z analýzy a kombinovania týchto dát prostredníctvom zložitých algoritmov za účelom hľadania presne definovaných vzťahov, resp. medzi vzťahov, čoho výsledkom sú profily aplikovateľné na skupiny jednotlivcov, ktoré sú rozdelené na vopred definované kategórie jednotlivcov alebo na skupiny jednotlivcov, podľa predpokladaného budúceho správania sa týchto skupín.

Pojem Big Data je tiež možné interpretovať ako „obrovské množstvo dát rôzneho typu získavaných s vysokou rýchlosťou z vysokého počtu rôznych typov zdrojov. Big Data sa vyznačujú 4 charakteristikami: objem, rôznorodosť (napríklad videá, tweety, dáta zo senzorov), rýchlosť (spracovávanie tokov dát v reálnom čase) a hodnovernosť (s  množstvom zbieraných dát sa spája neistota o ich presnosti). Spracovávanie takého množstva rôznorodých dát zbieraných v reálnom čase si vyžaduje nové nástroje a metódy ako výkonné procesory, nové softvérové riešenia a algoritmy.“[1]

Súčasťou Big Data tak môžu aj nemusia byť osobné údaje, avšak aj keď súčasťou Big Data na začiatku nie sú osobné údaje je potrebné zobrať do úvahy, či v dôsledku analýzy dát a tzv. data miningu nevzniknú také datasety, ktorých súčasťou budú informácie, ktoré by mohli byť využiteľné (alebo zneužiteľné) na priamu či nepriamu identifikáciu konkrétnych ľudí (i.e. osobné údaje by vznikli až na základe výsledkov analýzy Big Data).

Napríklad analýzou dát z rôznych senzorov a navigácie moderných aút je možné získať obrovské množstvo dát, vrátane profilu vodičského správania majiteľa určitého typu auta, čo môže byť veľmi cenným údajom pre poisťovne pri nastavovaní hodnôt poistného rizika, pričom však nemusí ísť ešte o osobné údaje. Ak by však tento dataset obsahoval aj údaj na základe, ktorého by bolo možné priamo (napr. osobné ID údaje) či nepriamo (napr. EČV) identifikovať aj majiteľa takéhoto konkrétneho vozidla a dataset by sa použil na stanovenie výšky poistného, či iné ovplyvnenie poistných podmienok, či okolností zmluvného vzťahu poisťovne a konkrétneho človeka, bolo by potrebné prípad posúdiť ako spracúvanie osobných údajov.

Čo je to profilovanie dotknutej osoby?

Profilovanie dotknutej osoby pri spracúvaní jej osobných údajov nie je žiadnou novinkou. Avšak stará regulácia ochrany osobných údajov (smernica 95/46/ES transponovaná do nášho aktuálneho národného zákona o ochrane osobných údajov) túto skutočnosť zohľadňovala iba minimálne[2] pri zakotvení práva dotknutej osoby namietať a nepodrobiť sa takým rozhodnutiam prevádzkovateľa, ktoré by boli založené výlučne na základe úkonov plne automatizovaného spracúvania osobných údajov (napr. softvérom vyhodnotené správanie užívateľa a obmedzenie alebo znemožnenie využívania služby).

Nová regulácia ochrany osobných údajov – Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len ako „GDPR“) ide pri úprave a regulácii profilovania pochopiteľne oveľa viac do hĺbky.

Podľa článku 4 ods. 4 GDPR je profilovanie legálne definované ako „akákoľvek forma automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby, predovšetkým analýzy alebo predvídania aspektov dotknutej fyzickej osoby súvisiacich s výkonnosťou v práci, majetkovými pomermi, zdravím, osobnými preferenciami, záujmami, spoľahlivosťou, správaním, polohou alebo pohybom.“

V bežnej praxi je tak možné podľa nášho názoru považovať za profilovanie dotknutej osoby napr.:

  • spracúvanie osobných údajov na účely tzv. behaviorálnej reklamy, ktorá je založená na predpokladoch záujmov dotknutej osoby v dôsledku jej online správania (napr. návštevy webu s určitým obsahom, vyhľadávanie kľúčových slov, prejavenie sympatie s obsahom na sociálnej sieti a pod.) a ukladania určitého typu súborov cookies do prehliadača alebo zariadenia využívaného dotknutou osobou ako aj využívanie údajov majúcich väzbu k zariadeniu dotknutej osoby (napr. IP, príp. MAC adresa, typ zariadenia, typ pripojenia), príp. geolokalizácia tohto zariadenia dotknutej osoby pri dosahovaní efektívnejšieho cielenia reklamného obsahu v reálnom čase;
  • spracúvanie osobných údajov poisťovňou na účely analýzy poistného rizika alebo identifikovanie potenciálnych poistných podvodov;
  • spracúvanie osobných údajov veriteľom (napr. bankou alebo iným oprávneným subjektom) pri preverovaní bonity záujemcu o úver (napr. prostredníctvom údajov z elektronických registrov údajov o spotrebiteľských úveroch);
  • spracúvania osobných údajov povinnou osobou s využitím sofistikovaných a interne vyvinutých AML programov využívaných vo finančnom sektore na účely ochrany pred legalizáciou príjmov z trestnej činnosti a financovaním terorizmu;
  • spracúvanie dát registrovaného užívateľa tzv. „zdravotnými appkami“ a ich ukladanie a automatizované vyhodnocovanie na cloudových úložiskách prevádzkovateľa;
  • vytváranie tzv. psychogramov voliča na účely politického marketingu;
  • vylúčenie uchádzača o zamestnanie v dôsledku aplikovania plne automatizovaného vyhodnocovania prijatých životopisov v elektronickej forme, ktoré sa postupne začína využívať vo väčších HR agentúrach v prvej fáze obsadzovania pracovného miesta na odfiltrovanie nevhodných uchádzačov pri väčších počtoch prijatých životopisov.

Samozrejme vyššie uvedený výklad je iba príkladmý a slúži na lepšie predstavenie toho, čo je v praxi potrebné považovať za profilovanie dotknutej osoby.

Interakcia profilovania a Big data ako zdroja osobných údajov

Existuje veľa príkladov analýz data setov, ktoré nebudú využívať a ani generovať žiadne osobné údaje (napr. údaje o počasí a celosvetovej klíme, údaje o hustote dopravy, či GPS dáta lodných kontajnerov určených na prevoz tovaru apod.), ale zároveň existuje aj mnoho datasetov využívaných v rámci analýzy tzv. Big data, ku ktorým je potrebné pristupovať ako k osobným údajom (napr. dáta zo zdravotníckych monitorovacích prístrojov priradených alebo priraditeľných ku konkrétnemu pacientovi, prevádzkové a lokalizačné údaje spracúvané mobilnými operátormi, či rozsiahle dáta analyzujúce spotrebiteľské správanie člena bežného retailového vernostného programu).[3]

V prípade, ak ten kto rozhodne o analýze Big data (vymedzí účel spracúvania dát) a súčasťou alebo výsledkom datasetov budú dáta právne kvalifikované ako osobné údaje dôjde nevyhnutne k aplikácii GDPR. Subjekt, ktorý rozhodol o takejto analýze Big data získa postavenie prevádzkovateľa, čo je spojené so vznikom veľkého množstva regulačných povinností.

Ak takýto prevádzkovateľ pri analýze Big data využije externých partnerov (napr. špecializované marketingové spoločnosti alebo nové typy technologicko-analyticko-poradenských organizácií schopných analyzovať Big data pomocou vlastných unikátnych algoritmov, HR agentúry, prevádzkovateľov rôznych elektronických úverových registrov), ktorí vykonajú profilovanie dotknutej osoby de facto namiesto prevádzkovateľa, tak tieto subjekty budú mať spravidla postavenie sprostredkovateľov a tiež budú musieť pri zabezpečovaní ochrany osobných údajov splniť časť regulačných povinností.

Prevádzkovateľ a sprostredkovateľ zároveň budú musieť takéto spracúvanie osobných údajov dostatočne právne legitimizovať spôsobom, ktorý presne stanovuje regulácia definovaním požiadaviek na obsahové náležitosti súvisiaceho zmluvného vzťahu (aktuálne § 8 ods. 4 Zákona o ochrane osobných údajov, od 25. mája 2018 článok 28 ods. 3 GDPR).

V týchto prípadoch bude zároveň vykonávanie spracovateľských operácii s dátami mať povahu profilovania podľa GDPR, čo je spojené so vznikom ďalších osobitných regulačných povinností.

GDPR a regulovanie profilovania

Z úvodných (nenormatívnych) ustanovení GDPR[4], , ktoré poskytujú bližšie vysvetlenie normatívneho obsahu vlastného znenia GDPR je možné identifikovať, viacero zaujímavých bodov, ktoré je pri dosahovaní žiaducich compliance štandardov potrebné implementovať do praxe, keďže je viac než isté, že dozorné orgány to budú od konca mája roku 2018 od prevádzkovateľov a sprostredkovateľov vyžadovať. Dôležité je vypichnúť to, že regulátori budú považovať profilovanie za vysoko rizikové spracúvanie osobných údajov, čo je spojené so zvýšenou reguláciou i rizikom vyšších sankcií.[5]

Samozrejme určujúce je primárne samotné normatívne znenie GDPR, z ktorého vyplývajú explicitne stanovené povinnosti, ktoré sa týkajú legálneho profilovania dotknutých osôb.

V nasledujúcom výklade preto uvedieme „To do list“, ktorý odporúčame splniť každej firme, ktorá uvažuje o využití profilovania (a Big data) na podporu alebo zefektívnenie svojho biznisu alebo interných činností.

Čo znamená spracúvanie Big Data pre bežného človeka?

V dnešnom svete nie je možné existovať bežným spôsobom bez toho, aby ste po sebe nezanechávali obrovské množstvo digitálnych stôp prepojiteľných s Vašou identitou (napr. používanie platobnej karty, nakupovanie a surfovanie po internete, prevádzkové a lokalizačné údaje týkajúce sa využívania Vášho telefónu, použitie vernostnej karty pri nákupe v supermarkete atď.), a to aj bez toho, aby ste boli aktívnym a registrovaným užívateľom sociálnej siete, kde na dennej báze dotvárate svoj profil vyjadrovaním sympatií, nesympatií, či pridávaním rôzneho obsahu a komentárov.

Skrátka stačí normálne žiť a Vaše údaje sa nevyhnutne dostávajú v rozličnej forme do rozličných databáz, s ktorými je možné pracovať a prípadne ich aj predať niekomu pre koho môžu byť zaujímavým zdrojovým (referenčným rámcom) pre dataset určený na Big data analýzu, ktorej zmyslom môže byť politický marketing, komerčné účely a potenciálne aj identifikácia nepohodlných názorov a ich perzekúcia zo strany štátnej moci, ktorá nie všade na svete dáva sama sebe limity ukotvené v podstate liberálnej demokracie a systéme základných ľudských práv, vrátane práva na ochranu súkromia.

Možno ste zachytili, že jeden poľský psychológ vyvinul v r. 2014 metódu, ktorá je schopná už na základe 70 „lajkov“ vytvoriť lepší profil Vašej osoby, akoby to dokázali Vaši najbližší priatelia a 250 „lajkov“ lepšie ako Váš dlhoročný životný partner. Táto metóda sa samozrejme postupne zdokonalila a podľa známeho komentátora Mariána Leška dokonca viedla k zvoleniu Donalda Trumpa za amerického prezidenta.[6]

Leško vo svojom komentári vyslovil znepokojivý, bohužiaľ však nie nerealistický názor, že:

„… nielen vlády, ale aj súkromné spoločnosti môžu v nie príliš vzdialenej budúcnosti vedieť o obyvateľstve oveľa viac, ako si vieme predstaviť. A nebudú na to potrebovať špeciálne informačno-technické prostriedky či príslušníkov tajnej služby. Náš dôkladný psychologický profil získajú bez nášho vedomia a súhlasu. V demokratickom a právnom štáte to bude znamenať, že ústavné právo na súkromie, čiže „právo na ochranu pred neoprávneným zhromažďovaním… údajov o svojej osobe“ zostane iba na papieri. A je veľmi pravdepodobné, že psychografické dáta, ktoré získajú, využijú na to, aby na veľké skupiny osôb pôsobili individualizovane, a preto účinnejšie.“

GDPR má občanom EÚ poskytnúť voči takýmto praktikám predpoklad pre účinnú právnu ochranu. Predpoklad preto, lebo bez iniciatívy a obozretnosti dotknutej osoby sprevádzanej kompetenčne a odborne dostatočne vybaveným dozorným orgánom vynucujúcim v praxi princípy GDPR, pôjde naozaj iba o neživý právny text na proklamatívne upokojovanie verejnosti politikmi. Do značnej miery je preto na každom z nás, ako bude pristupovať k využívaniu svojich osobných údajov a k ich ochrane.

GDPR posilňuje možnosti právnej ochrany bežných ľudí aj tým, že im umožňuje nielen začať správne konanie voči prevádzkovateľovi, či sprostredkovateľovi prostredníctvom dozorného orgánu (Úradu na ochranu osobných údajov), z čoho de facto ľudia nič nemajú, ale GDPR zároveň otvára aj možnosť podať od toho nezávislú žalobu na súd, ktorej predmetom môže byť aj uplatnenie rôznych subjektívnych nárokov konkrétneho človeka, čo môže byť spojené aj s požadovaním odškodnenia v peniazoch.

 

Interakcia Aplikácia GDPR
1.    Spracúvanie Big data Nie
2.    Súčasťou datasetu spracúvaného v rámci Big data sú osobné údaje Áno
3.    Súčasťou datasetu spracúvaného v Big data nie sú osobné údaje, ale výsledkom analýzy Big data bude vznik nových dát právne kvalifikovateľných ako osobné údaje Áno
4.    Pri analýze datasetov podľa bodov 2 a 3 nevyhnutne dôjde k tzv. profilovaniu v zmysle článku 4 ods. 4 GDPR Áno

 

Z vyššie uvedených interakcií je možné vyvodiť záver, že každé využitie Big data by malo byť osobitne posúdené z hľadiska prítomnosti alebo neprítomnosti dát, ktoré by mohli byť právne kvalifikované ako osobné údaje.

Záver

Využívanie Big data môže predstavovať kľúčovú výhodu, nový komerčný potenciál či veľký priestor pre tvorbu inovácií Vášho biznisu. Ak je však súčasťou datasetu informácia, ktorú treba považovať za osobný údaj alebo v dôsledku analýzy Big data dôjde k vytvoreniu dát využiteľných na priamu, či nepriamu identifikáciu konkrétnych ľudí dôjde k robustnej aplikácii regulačných pravidiel na ochranu osobných údajov.

Nová európska legislatíva považuje tieto aktivity za rizikové spracúvanie osobných údajov, takže splniť príslušné povinnosti dá zabrať aj väčším firmám. Ignorovanie týchto povinností je spojené s rizikom sankcií, ktoré sa ukladajú až do výšky 10 miliónov alebo 20 miliónov EUR podľa charakteru konkrétne porušenej povinnosti.

 

 

[1] Ministerstvo financií SR. Strategická priorita Riadenie údajov a „Big data“ verzia 1.2. Dostupné na internete: www.informatizacia.sk/index/open_file.php?ext_dok=22727 [online].[cit 27.02.2017].

[2] Pozri viac napr. v § 28 ods. 2 zákona č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

[3] Bližšie pozri napr. Information Commisioner´s Office: Big data and data protection. Dostupné na internete: https://ico.org.uk/media/for…/big-data-and-data-protection.pdf. [online].[cit 27.02.2017].

[4] Bližšie pozri najmä úvodné ustanovenie č. 24, č. 63, č. 66 a č. 70 až č. 75 GDPR.

[5] Bližšie pozri úvodné ustanovenie č. 75 GDPR.

[6] LEŠKO, M.: Bomba politického marketingu už dvakrát vybuchla. Dostupné na internete: https://www.etrend.sk/trend-archiv/rok-2017/cislo-9/bomba-politickeho-marketingu-uz-dvakrat-vybuchla.html.  [online].[cit 02.03.2017].