Marketing a ochrona danych osobowych – zakup bazy danych

Ostatnim elementem jaki pozostał do omówienia z „działki” marketingu jest proces związany z zakupem bazy danych na potrzeby marketingowe. Na rynku możemy znaleźć całą masę ofert przeróżnych baz danych. Powstaje jednak pytanie do czego możemy wykorzystać zakupione dane osobowe i jak je wykorzystać legalnie. Na początku omówimy w skrócie wykorzystanie zakupionej bazy danych pod kątem wymogów z ustawy o ochronie danych osobowych. W drugiej części artykułu odwrócimy rolę i omówimy jak przygotować bazę danych do sprzedaży.

Na początku należy wskazać, iż sprzedaż bazy danych wiąże się z udostępnieniem danych. Administrator danych udostępnia dane osobowe drugiemu podmiotowi, który również staje się administratorem danych. W przypadku zakupu bazy danych, w odniesieniu do nabytych danych, powinniśmy spełnić obowiązki jakie są nałożone ustawą o ochronie danych osobowych.

Pierwszym elementem jest zapewnienie podstawy prawnej. W odniesieniu do danych osobowych wykorzystywanych na potrzeby marketingu będziemy mieli do czynienia, w zdecydowanej większości przypadków z danymi zwykłymi. Powinniśmy posiadać, więc przesłankę z art. 23 ustawy o ochronie danych osobowych. Na potrzeby przetwarzania danych w celach marketingowych możemy wykorzystać zgodę osoby, której dane dotyczą lub usprawiedliwiony interes administratora danych. Rozważania na temat zastosowania tych dwóch przesłanek zostały poczynione we wcześniejszym artykule .

Oprócz posiadania odpowiedniej podstawy prawnej, z punktu widzenia podmiotu nabywającego bazę danych powinniśmy również zabezpieczyć swoje interesy w umowie. Postanowienia umowne mówiące o tym, iż dane zostały pozyskane legalnie i podmiot sprzedający ma podstawę ich dalszego udostępniania są w mojej ocenie jak najbardziej mile widziane.

Po pozyskaniu danych osobowych powinniśmy spełnić obowiązek informacyjny. Biorąc pod uwagę okoliczność, iż dane zostały pozyskane od podmiotu trzeciego, należy spełnić obowiązek informacyjny z art. 25 ust. 1 ustawy o ochronie danych osobowych. Klauzula obowiązku informacyjnego może być wysłana maile, pocztą lub smsem. Zgodnie z orzecznictwem sądów na początku powinniśmy (przed wysłaniem ofert marketingowej) wysłać wyłącznie klauzule obowiązku informacyjnego i „dać” czas na wniesienie sprzeciwu osobom , których dane dotyczą.

Ostatnim elementem jest odpowiednie zabezpieczenie przetwarzanych danych osobowych i rejestracja zbioru danych (o ile taki zbiór nie został zarejestrowany wcześniej).

 

Marketing a ochrona danych osobowych – źródła powszechnie dostępne

We wcześniejszych artykułach na temat marketingu omówiliśmy kwestie związane z klauzulą zgody oraz wykorzystaniem prawnie usprawiedliwionego interesu. W poniższym artykule postaram się omówić zagadnienia związane z pozyskiwaniem danych ze źródeł powszechnie dostępnych – oczywiście wszystko w celach marketingowych.

W obecnych czasach wiele danych osobowych jest zamieszczanych w internecie. Mamy portale społecznościowe, spisy i ewidencje (Centralna Ewidencja Działalności Gospodarczej oraz Krajowy Rejestr Sądowy) itp.. Wydaje się, że dane osobowe są podane na tacy, wystarczy je tylko wziąć i zacząć przetwarzać we własnych celach np. marketingowych.
Jednakże jeżeli ktoś np. osoba fizyczna prowadząca działalność gospodarczą zamieściła swoje dane w internecie (ponieważ miała taki obowiązek) czy jest to równoznaczne z zezwoleniem na przetwarzanie jej danych osobowych w każdym możliwym celu?
Zacznijmy więc analizę od początku. Jeżeli ze źródeł powszechnie dostępnych ściągniemy informacje na temat osoby fizycznej powinniśmy założyć, iż mamy do czynienia z danymi osobowymi. Mając dane osobowe i przetwarzając je na potrzeby naszej działalności gospodarczej powinniśmy stosować ustawę o ochronie danych osobowych.

Po pierwsze powinniśmy określić podstawę przetwarzania tych danych. Podstawy przetwarzania (zgoda i usprawiedliwiony interes) zostały omówione w poprzednich artykułach. W ramach przypomnienia wskaże tylko najważniejsze różnice pomiędzy tymi przesłankami. Zgoda jako podstawa przetwarzania danych jest bez wątpienia bezpieczniejsza, jednakże jeżeli poprosimy o jej wyrażenie możemy się spotkać z odmową. Oparcie przetwarzania danych na podstawie wyłącznie usprawiedliwionego interesu jest skuteczniejsze niż zbieranie zgód ale niesie z sobą ryzyko prawne, że naruszymy czyjeś prawa i wolności. Kwestia wyważenia skuteczności biznesowej i ryzyka prawnego należy w ostateczności do decyzji administratora danych. Nie należy również zapomnieć o zebraniu zgody na przesyłanie informacji handlowej drogą elektroniczną.

Drugim elementem jest konieczność spełnienia obowiązku informacyjnego. Biorąc pod uwagę okoliczność, iż dane nie zostały zebrane od osoby, której dane dotyczą, należy spełnić obowiązek informacyjny z art. 25 ust. 1 ustawy o ochronie danych osobowych. Klauzula obowiązku informacyjnego może być wysłana maile, pocztą lub smsem. Zakładam przy tym, iż posiadamy dane kontaktowe (numer telefonu lub adres e-mail).

Kolejnym elementem jest rejestracja zbioru danych w biurze Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie powinno obejmować wyłącznie dane zwykłe i związku z tym ich przetwarzanie jest już możliwe w momencie złożenia zgłoszenia (nie trzeba czekać na rejestracje).

Ostatnim elementem jest odpowiednie zabezpieczenie przetwarzanych danych osobowych. W ramach odpowiedniego zabezpieczenia należy spełnić wymagania określone w rozdziale 5 ustawy o ochronie danych osobowych, a w szczególności zrealizować wymogi określone w przepisach Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z 2004 r.).

 

Czy przekazując dane osobowe do państwa trzeciego należy dopełnić obowiązku informacyjnego?

Ww. pytanie otrzymaliśmy na naszą skrzynkę mailową. Odpowiadając stwierdzić należy, że takiego obowiązku nie ma. Administrator danych, który decyduje się przekazać dane osobowe do państwa trzeciego jest obowiązany do stosowania względem ww. danych osobowych standardowych zasad ochrony danych osobowych, których poziom określa ustawa o ochronie danych osobowych wraz z aktami wykonawczymi. Transferując dane osobowe należy jednak pamiętać o specyfice takiego działania i szczególnych wymogach dotyczących legalności transferu danych. Chodzi tutaj o rozdział 7 ustawy o ochronie danych osobowych, a więc o art. 47 i 48.

Art. 47. 1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.
1a. Odpowiedni poziom ochrony danych osobowych, o którym mowa w ust. 1, jest oceniany z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe.
2. Przepisu ust. 1 nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku nałożonego na administratora danych przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej, gwarantującymi odpowiedni poziom ochrony tych danych.
3.
1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie,  Administrator danych może jednak przekazać dane osobowe do państwa trzeciego, jeżeli:
2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,
4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych,
5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą,
6) dane są ogólnie dostępne.

 

Art. 48. W przypadkach innych niż wymienione w art. 47 ust. 2 i 3 przekazanie danych osobowych do państwa trzeciego, które nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, może nastąpić po uzyskaniu zgody Generalnego Inspektora, pod warunkiem że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

 

Należy zwrócić uwagę, że przytoczone powyżej normy dotyczą tylko podstawy legalności transferu danych osobowych i nie regulują żadnych innych obowiązków administratora danych, które byłyby związane z transferem danych. Z punktu widzenia ustawodawcy, istotne było objęcie przekazania danych do państwa trzeciego taką regulacją, która w sposób generalny będzie mogła zapobiec przekazywaniu danych osobowych do państw, które nie zapewniają należytej ochrony danych osobowych. Oczywiście automatycznie pojawia się pytanie, jaki to jest ten należyty poziom ochrony danych osobowych i według naszej ustawy o ochronie danych osobowych jest to poziom określony przez … ustawą o ochronie danych osobowych. Koło się zamyka. Warto pewnie zastanowić się, czy ustawa faktycznie należycie chroni dane osobowe w czasie transferu poza EOG, ale zostawimy ten temat na któryś kolejny artykuł.

 

Zatem jeśli rozdział 7 nie reguluje kwestii związanych z obowiązkiem informacyjnym, odpowiedzi na pytanie naszego Czytelnika należy szukać w art. 24 lub 25 ustawy o ochronie danych osobowych. Ustawodawca dość sprytnie wkomponował instytucję transferu danych osobowych do państwa trzeciego w ramy „standardowych” obowiązków i narzędzi administratora danych. Sam transfer danych należy więc zawsze rozpatrywać w oparciu o jedną z dwóch instytucji przewidzianych przez ustawę o ochronie danych osobowych, a dotyczącą przekazywania danych osobowych. Transfer o którym mowa będzie zatem albo oparty o art. 31 ustawy o ochronie danych osobowych i będzie służył do realizacji zawartej umowy powierzenia przetwarzania danych osobowych, albo o art. 23 lub 27 ustawy o ochronie danych osobowych i w takim wypadku z kolei zastosowanie będzie miała instytucja udostępnienia danych osobowych.

 

Analizując pierwszą z wymienionych sytuacji, administrator danych nie ma obowiązku informować osoby, których dane osobowe, o tym, że przetwarzanie ich danych osobowych zostało powierzone na rzecz podmiotu trzeciego oraz, iż podmiot trzeci będzie przetwarzał dane osobowe w państwie trzecim. Jedynym wyjątkiem od ww. zasady jest rejestr zbiorów danych osobowych, w którym, jeśli administrator danych transferuje w ramach powierzenia przetwarzania dane osobowe ze zbioru danych podlegającemu obowiązkowi rejestracji, jest obowiązany w zgłoszeniu zbioru do GIODO, w odpowiedniej rubryce umieścić informację o procesorze oraz o państwie trzecim, do którego dane są transferowane.

 

Jeżeli dane osobowe przekazywane są z kolei w ramach instytucji udostępnienia danych osobowych, administrator danych również jest obowiązany w zgłoszeniu zbioru danych do GIODO, który podlega obowiązkowi rejestracji, zawrzeć informację na temat odbiorców danych oraz przekazywania danych do państw trzecich. W praktyce, jeśli podstawą udostępnienia danych osobowych będzie art. 23 ust. 1 pkt 1 lub art. 27 ust. 2 pkt 1 ustawy o ochronie danych osobowych, osoba, której dane dotyczą, będzie wyrażała zgodę na udostępnienie danych, a zgoda na udostępnienie (przetwarzanie), powinna być zawsze oświadczeniem woli osoby, dobrze poinformowanej o skutkach złożonego oświadczenia. Będzie to z reguły oznaczało, że w przypadku udostępnienia danych, administrator danych powinien poinformować osobę, której dane dotyczą, o celu, zakresie i dokładnych informacjach rejestrowych dot. odbiorcy danych ulokowanego w państwie trzecim.

 

Analiza art. 24 i 25 ustawy o ochronie danych osobowych prowadzi z kolei do wnioski, że przepisy te mają zastosowanie tylko do sytuacji „zbierania danych” a niech późniejszego przekazywania i różnią się od siebie tylko momentem dopełnienia obowiązku informacyjnego (art. 24 – natychmiast po zebraniu , art. 25 – natychmiast po utrwaleniu danych).

 

Podsumowując, w przypadku przekazywania danych osobowych do państwa trzeciego administrator danych nie musi stosować art. 24 i 25 ustawy o ochronie danych osobowych (zakładając, że przekazywać będzie dane osobowe, które już wcześniej zebrał), jednak w przypadku udostępnienia i powierzenia przetwarzania, w przypadku obowiązku rejestracji zbioru danych, informacje na temat przekazywania danych do państwa trzeciego będą musiały zostać zawarte w zgłoszeniu zbioru danych. Należy również pamiętać, że w przypadku stosowania art. 23 ust. 1 pkt 1, art. 27 ust. 2 pkt 1 i art. 47 ust. 3 pkt 1 ustawy o ochronie danych osobowych, osoba wyrażająca zgodę na udostępnianie / przekazywanie danych, powinna być poinformowana o skutkach wyrażenia ww. zgody. Obowiązek przekazania informacji o transferze danych do państwa trzeciego (szczególnie w sytuacji, gdy mamy do czynienia z udostępnieniem danych), można wyinterpretować z ogólnych zasad dot. przetwarzania danych osobowych takich jak:
Art. 36.1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Każdy administrator danych powinien mieć również świadomość, że każda osoba której dane dotyczą, może zwrócić się z wnioskiem o uzyskanie informacji na temat sposobu przetwarzania danych osobowych w oparciu o art. 32 i 33 ustawy o ochronie danych osobowych i na tej podstawie żądać uzyskania od administratora danych określonych informacji na temat przekazywania danych m.in. do państwa trzeciego.