Karty lojalnościowe pozwalają na gromadzenie informacji o klientach, którzy kupując off-line i płacąc gotówką wymykali się dotychczas analizom marketingowym. Karty pozwalają nie tylko dopełnić statystyczny obraz preferencji konsumentów, uzupełnić dane gromadzone przy użyciu plików cookies, zaplanować strategie sprzedaży, czy przygotować odpowiednio dobrany przekaz reklamowy, ale przede wszystkim pozwalają stworzyć profil określonego klienta. W efekcie, przy zastosowaniu odpowiednich algorytmów, połączenie informacji zgromadzonych w ramach programu lojalnościowego z danymi o kliencie uzyskanymi z innych źródeł, w tym również z informacjami statystycznymi, pozwala na prognozowanie zachowania konsumenta w przyszłości. Z punktu widzenia biznesowego uważa się, że profilowanie może przynieść same korzyści.
Nie można jednak zapominać, że przetwarzanie, gromadzenie i udostępnianie danych o obywatelach stanowi ograniczenie prawa do prywatności oraz autonomii informacyjnej. Art. 47 Konstytucji RP1 formułuje prawo do „ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu prywatnym”. Prawo do prywatności oraz ochrona autonomii informacyjnej nie mają charakteru absolutnego, jednak ograniczenia tych praw muszą spełniać wymogi stawiane przez art. 31 ust 3. Konstytucji RP i realizować przesłankę niezbędności gromadzenia informacji o obywatelach w demokratycznym państwie prawnym wyrażoną w art. 51 ust. 2 Konstytucji.
Profilowanie, jako operacja na danych związanych z osobami fizycznymi, podlega przepisom dotyczącym ochronie danych osobowych, choć obecna ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: UODO)2 nie reguluje w sposób szczególny tego zagadnienia, odnosząc się jedynie do aspektu automatyzmu podejmowania decyzji.
Warto wyjaśnić, że zgodnie z UODO za dane osobowe uznaje się „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej” poza sytuacjami, gdy do określenia tożsamości danej osoby wymagane są działania związane z nadmiernymi kosztami, pracą lub czasem (art. 6 ust 1 i 3 UODO). Ustawa reguluje również podstawowe zasady przetwarzania danych, konstytuuje uprawnienia podmiotu danych, obowiązki administratora, zasady przekazywania danych do innych państw. Zgodnie z art. 26a UODO , zakazane jest podejmowanie ostatecznych rozstrzygnięć w indywidualnej sprawie, na podstawie danych osobowych, jeżeli treść takiego rozstrzygnięcia jest wyłącznie wynikiem operacji na tych danych, prowadzonych w systemie informatycznym.
W świetle ogólnych zasad przetwarzania danych osobowych należy wskazać, iż zestawianie danych o konkretnym kliencie uzyskanych z różnych źródeł, dokonywane aby lepiej go scharakteryzować, stanowi nowy cel przetwarzania danych osobowych, którego najczęściej nie obejmują udzielane przez klientów zgody, ani klauzule informacyjne. Administratorzy danych powinni więc dopełnić obowiązku informacyjnego szczególnie w zakresie nowego celu wykorzystania danych osobowych, a często również uzyskać zgodę podmiotu danych, szczególnie w sytuacji wykorzystywania w analizie danych publicznie dostępnych np. na portalach społecznościowych. W praktyce jednak większość podmiotów tego obowiązku nie wypełnia.
Środowiska naukowe oraz organizacje pozarządowe zwracają uwagę na problemy , które powstają w wyniku szerokiego stosowania profilowania: stosowanie tej metody jest obarczone dużym prawdopodobieństwem występowania błędów, nie jest transparentne dla podmiotu danych, może prowadzić do dyskryminacji i utrwalania stereotypów, szczególnie gdy w trakcie profilowania uwzględnione zostaną takie cechy jak płeć, wiek, pochodzenie etniczne, czy stan zdrowia.
Profilowanie jako metoda kategoryzowania osób na podstawie wybranych cech oraz antycypowania na tej podstawie ich zachowań oraz preferencji jest jednym z kluczowych problemów dyskutowanych w trakcie trwającej od 2012 roku europejskiej reformy danych osobowych. Zgodnie z projektem rozporządzenia ogólnego o ochronie danych osobowych (dalej RODO) 4 „profilowanie” oznacza wszelką formę automatycznego przetwarzania danych mającego służyć ocenie niektórych aspektów osobistych tej osoby fizycznej lub też analizie bądź przewidzeniu zwłaszcza wyników w pracy, sytuacji ekonomicznej, miejsca przebywania, zdrowia, preferencji osobistych, wiarygodności lub zachowania tej osoby fizycznej (art. 4 ust. 3a RODO).
Projekt RODO dopuszcza profilowanie opierające się na automatycznym przetwarzaniu danych jedynie w ściśle określonych sytuacjach, przykładowo: w trakcie zawierania lub wykonywania umowy, na podstawie innych przepisów prawa, po uzyskaniu zgody podmiotu danych.
Profilowanie, które będzie wywoływać skutki prawne dotyczące podmiotu danych lub będzie miało równie istotny wpływ na interesy, prawa lub wolności tego podmiotu danych, nie będzie mogło opierać się wyłącznie lub głównie na automatycznym przetwarzaniu. Konieczne będzie zapewnienie oceny ze strony człowieka, w tym wyjaśnienia decyzji podjętej po takiej ocenie (art. 20 ust. 5 RODO). Zakazane będzie profilowanie skutkujące dyskryminacją osób ze względu na ich rasę lub pochodzenie etniczne, poglądy polityczne, religię bądź przekonania, przynależność do związków zawodowych, orientację seksualną bądź tożsamość płciową lub skutkuje środkami mającymi taki efekt (art. 20 ust. 3 RODO).
Projekt RODO kładzie nacisk na dopełnienie przez podmiot dokonujący profilowania obowiązku informacyjnego względem osób profilowanych w zakresie m.in. istnienia profilowania, środków opartych na profilowaniu, przewidywanym wpływie profilowania na podmiot danych, prawa dostępu do danych, ich korygowania i usuwania, prawa do złożenia sprzeciwu wobec profilowania, prawo do wniesienia skargi do właściwego organu do spraw ochrony danych oraz do wszczęcia postępowania sądowego, a także prawo do rekompensaty i odszkodowania w związku z niezgodnymi z prawem operacjami przetwarzania.
Jaki będzie ostateczny zakres regulacji RODO w przedmiocie profilowania – trudno w tej chwili wyrokować. Warto jednak pamiętać, aby tworząc programy lojalnościowe oraz strategie marketingowe poświęcić więcej uwagi zagadnieniom ochrony danych osobowych.