CZY FIRMA MARKETINGOWA, KTÓRA KUPIŁA BAZĘ DANYCH OSOBOWYCH OD INNEGO PODMIOTU, POWINNA POWIADOMIĆ KAŻDĄ OSOBĘ O TYM, ŻE PRZETWARZA JEJ DANE?

Nie od dziś wiadomo, że nasze dane osobowe są towarem, który coraz częściej staje się przedmiotem obrotu gospodarczego. W Polsce handel danymi osobowymi będzie legalny jeśli zostaną spełnione warunki wskazane w ustawie o ochronie danych osobowych.

Zastępca Europejskiego Inspektora Ochrony Danych w Brukseli – Wojciech Wiewiórowski tłumaczy:

Handel danymi osobowymi i zawierającymi je bazami danych jest legalny – mówił dr Wojciech Rafał Wiewiórowski. – Trzeba mieć tylko podstawę prawną, żeby te dane przetwarzać, a więc m.in. oddawać je, sprzedawać lub współdzielić z innymi podmiotami – wyjaśniał.

Podstawą uprawniającą do udostępniania lub sprzedaży danych może być np. zgoda osoby, której dane dotyczą.

Do Generalnego Inspektora Ochrony Danych Osobowych bardzo często wpływają skargi od osób, z którymi kontaktuje się jakaś nieznana im firma. Tymczasem po przeprowadzeniu postępowania wyjaśniającego niejednokrotnie okazuje się, że wszystko jest zgodne z prawem, bowiem skarżący sami, np. wypełniając formularz na potrzeby promocji, konkursu czy otrzymania karty lojalnościowej, sami wyrazili zgodę na obrót ich danymi osobowymi.

GIODO przestrzegał więc, by czytać dokładnie dokumenty, które podpisujemy, w tym zamieszczone na nich klauzule zgody na przetwarzanie danych osobowych, aby mieć świadomość, na co się godzimy. Zdarza się bowiem, że niektóre podmioty, by pozyskać nasze dane osobowe, stosują praktyki nie tyle sprzeczne z prawem, co nieetyczne.

GIODO przypomniał, że wyrażoną zgodę w każdej chwili można odwołać, lecz jeśli nasze dane zostały sprzedane, z żądaniem takim musimy zwrócić się osobno do każdego podmiotu, który je nabył, co może być uciążliwe.

Sprzedaż bazy danych a prawo

Sprzedaż bazy danych powoduje udostępnienie danych. Administrator danych udostępnia dane osobowe drugiemu podmiotowi, który również staje się administratorem danych.

Obowiązki wynikające z zakupu bazy danych

W przypadku zakupu bazy danych, w odniesieniu do nabytych danych, administrator powinien spełnić obowiązki nałożone przez ustawę o ochronie danych osobowych. Pierwszym z nich jest zapewnienie podstawy prawnej. W odniesieniu do danych osobowych wykorzystywanych przez firmy marketingowe będziemy mieli do czynienia, najczęściej z danymi zwykłymi.

W związku z tym Administrator powinien spełnić przesłankę z art. 23 ustawy o ochronie danych osobowych.

Art. 23. 1) Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

  1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
  2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
  3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
  4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
  5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

2) Zgoda, o której mowa w ust. 1 pkt 1, może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania.

By przetwarzać dane w celach marketingowych Administrator danych może  wykorzystać zgodę osoby, której dane dotyczą lub usprawiedliwiony interes administratora danych.

Obowiązek informacyjny administratora danych

Firma, która zebrała dane nie od osób, których dane dotyczą jest zobowiązana do wykonania obowiązku informacyjnego z art. 25 ustawy o ochronie danych osobowych.

Musi on być przy tym wykonany bezpośrednio po utrwaleniu zebrania danych. W zakresie tego obowiązku powinna była poinformować wspomniane wyżej osoby:

  1. o adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swego zamieszkania oraz imieniu i nazwisku,
  2. celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
  3. źródle danych,
  4. prawie wglądu do swoich danych oraz ich poprawiania,
  5. o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
    Źródło danych, podobnie jak każda informacja podana w przypadku powyższego obowiązku musi być na tyle skonkretyzowana, aby pozwoliła je zindywidualizować.

Powyższa wykładnia art. 23 ust. 1 pkt 5 i art. 25 ust. 1 ustawy sprawia, że czynność zakupu danych osobowych jest czynnością o dużym charakterze ryzyka. Jednakże celem ustawy nie jest ochrona interesów zawodowych i gospodarczych nabywcy danych, lecz prawo do ochrony danych osobowych. Wyważenie tych interesów wymaga zabezpieczenia każdego z nich.

Osoba, której dane dotyczą musi mieć więc możliwość zaprotestowania przeciwko posługiwaniu się jej danymi przez inną firmę, której danych tych nie przekazywała.

W przypadku zbierania danych osób nie od osoby od której one pochodzą administrator danych obowiązany jest do podania pełnej nazwy podmiotu, jego adresu i siedziby, bowiem podanie skrótu, który w sposób niepełny określa zbywcę danych narusza przepis art. 25 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych /Dz.U. 2002 nr 101 poz. 926 ze zm./.
(wyrok NSA OSK 507/04)

Ostatnim obowiązkiem jest odpowiednie zabezpieczenie przetwarzanych danych osobowych i rejestracja zbioru danych.

Sankcje za niedopełnienie obowiązku informacyjnego

Niedopełnienie obowiązku informacyjnego ustanowionego w art. 25 ustawy o ochronie danych osobowych grozi Administratorowi odpowiedzialnością karną.

art. 54 Osoba, która – administrując zbiorem danych – nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Na potwierdzenie warto przytoczyć również stanowisko Wojewódzkiego Sądu Administracyjnego w Warszawie, który w wyroku z dnia 22 stycznia 2004 r. (sygn. akt II SA 2665/2002):

„Firma, która nabyła zbiór danych osobowych od innego administratora danych, powinna powiadomić klientów, że posiada ich dane, oraz dać im czas, aby mieli szansę wnieść sprzeciw na ich przetwarzanie do celów marketingowych. Niedotrzymanie tych warunków łamie przepisy o ochronie danych osobowych.

Podsumowanie

W marketingu bazy danych osobowych są podstawą biznesu. Pomagają dotrzeć z ofertą do przyszłych klientów. Wprawdzie handel danymi osobowymi w Polsce nie jest zakazany, ale ustawa o ochronie danych osobowych nałożyła na administratorów danych obowiązki, których spełnienie gwarantuje każdej osobie prawo do wyrażenia sprzeciwu ich przetwarzania do celów marketingowych.

Czy prowadzisz sklep internetowy?

 

Czy sprzedajesz produkty online lub na Allegro?