RODO: Kupione dziś bazy danych osobowych mogą być zaraz bezużyteczne

| Aktualizacja:
Zarówno podmiot udostępniający dane, jak i ich nabywca muszą udowodnić, że działają legalnie. / ShutterStock

- Generalny inspektor ochrony danych osobowych będzie bardzo rzetelnie badał, czy nowi administratorzy danych z odpowiednią starannością prowadzili analizę zgodności przetwarzania nabywanych danych z obowiązującym prawem - mówi Monika Krasińska dyrektor departamentu orzecznictwa, legislacji i skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych.

Monika Krasińska dyrektor departamentu orzecznictwa, legislacji i skarg w Biurze Generalnego Inspektora Ochrony Danych Osobowych / Dziennik Gazeta Prawna

Skrzynki e-mailowe przedsiębiorców zasypywane są ofertami kupna gotowych baz danych. Jakie są niebezpieczeństwa związane z takim nabytkiem, zwłaszcza w kontekście nadchodzącego wielkimi krokami terminu obowiązywania rozporządzenia o ochronie danych (RODO)?

Niebezpieczeństw jest całkiem sporo, a oceniając możliwość ich wystąpienia, pod uwagę trzeba wziąć wiele kwestii. Perspektywa stosowania ogólnego rozporządzenia o ochronie danych (RODO) musi skłonić zarówno składających takie oferty, jak i podmioty pozyskujące bazy danych do refleksji nad stosowanymi praktykami w świetle nowego prawa. Po pierwsze, należy zadać sobie pytanie, czy taka baza rzeczywiście zawiera dane osobowe. Jeśli jest to np. wyłącznie lista adresów e-mailowych, to w zasadzie będą one stanowiły dane osobowe, chyba że będą to wyłącznie dane identyfikujące lub umożliwiające identyfikację podmiotów prawnych, a nie osób fizycznych. Nawet jeśli w nabywanej bazie znajdzie się tylko jeden adres stanowiący dane osobowe, to do przetwarzania danych trzeba będzie zastosować zasady ochrony danych osobowych. Nie można zacząć wykorzystywać pozyskanych danych bez spełnienia określonych warunków. Osoba, której dane dotyczą, musi się dowiedzieć: kto jest nowym administratorem jej danych, w jakim celu są one przetwarzane i komu będą udostępniane. Ten obowiązek informacyjny trzeba spełnić niezwłocznie, w okresie do miesiąca bądź przy pierwszym kontakcie z klientem lub pierwszym ujawnieniu innemu odbiorcy. I co najważniejsze – klientowi należy dać możliwość wyrażenia sprzeciwu wobec przetwarzania danych oraz poinformować go o wielu prawach, które mu przysługują. Na konieczność spełnienia obowiązku informacyjnego RODO kładzie szczególny nacisk, rozbudowując dotychczasowe klauzule informacyjne i zobowiązując do prostego, przejrzystego komunikowania się z klientem.

A co ze zgodami na przetwarzanie danych w celach marketingowych?

Zarówno podmiot udostępniający dane, jak i ich nabywca muszą udowodnić, że działają legalnie. Warto przy tym zaznaczyć, że danych osobowych nie należy traktować jako towaru. Są to informacje odnoszące się do sfery prywatności indywidualnych osób, które mają prawo wpływać na zarządzanie nimi. Jeżeli podstawą przetwarzania jest zgoda, to podmioty na nią się powołujące są zobowiązane wykazać, że została pozyskana zgodnie z obowiązującymi przepisami, a po 25 maja 2018 r. - że spełnia warunki określone w RODO. Aby była ważna, nie może być wyrażona pod wpływem błędu, groźby, przymusu, nie może być dorozumiana, mieć charakteru blankietowego i, co warte podkreślenia, musi być możliwa do odwołania w każdej chwili.

Proszę również nie zapominać, że kwestie zgody regulują także inne ustawy, jak np. prawo telekomunikacyjne czy ustawa o świadczeniu usług drogą elektroniczną – według nich na kontakt drogą elektroniczną (np. e-mailową) czy telefoniczną trzeba uzyskać odrębne zgody.

A co, jeśli sprzedawca twierdzi, że zgody były pobierane zgodnie z prawem, a 25 maja br. okaże się, że tak nie było? Czy w razie kontroli organu nadzorczego wystarczy pokazanie oświadczenia zbywcy bazy, czy też nabywca będzie musiał udowodnić, że zgody były udzielone zgodnie z prawem?

Zgoda jest tylko jedną z przesłanek, które uprawniają do przetwarzania danych osobowych. Inną może być np. prawnie uzasadniony interes administratora danych, który zawsze należy oceniać indywidualnie, analizując treść umów dotyczących zbywania baz danych. Jeśli nabywca bazy podjął środki najwyższej staranności, polegające np. na zweryfikowaniu rzeczywistych podstaw prawnych umożliwiających takie operacje, na pewno będzie inaczej traktowany niż podmiot, który wprowadził go w błąd, sprzedając mu dane osobowe i nie mając do tego uprawnień. Analogicznie: nie karzemy nikogo za paserstwo, jeśli nabył towar, wierząc, że pochodzi on z legalnego źródła.

GIODO niewątpliwie będzie bardzo rzetelnie badał, czy nowi administratorzy danych z odpowiednią starannością prowadzili analizę zgodności przetwarzania nabywanych danych z obowiązującym prawem. Nabywca nie musi się też obawiać, jeśli podejmie wszelkie działania, które podwyższają próg należytej staranności: zweryfikuje np. legalność zgód, spełni obowiązek informacyjny, pozostawiając tym samym osobom, których dane dotyczą, wybór co do przetwarzania ich danych osobowych. Wówczas nie narazi się na ryzyko nieuprawnionego przetwarzania danych i jego konsekwencje.

Kupując bazę, muszę poinformować, że jestem nowym dysponentem danych osobowych oraz o możliwości odwołania zgody na ich przetwarzanie. W jaki sposób to zrobić?

Wybór sposobu realizacji obowiązku informacyjnego należy do administratora danych. To on ocenia, jakie ma możliwości techniczne i organizacyjne oraz przy użyciu jakich metod obowiązek ten będzie spełniał. Przykładowo: jeżeli pozyskuje dane osobowe w postaci adresów e-mailowych czy numerów telefonicznych, to obowiązek ten może być spełniony poprzez skierowanie komunikatów, o których mowa w RODO, z wykorzystaniem tych właśnie adresów lub numerów kontaktowych. Niekiedy jednak udzielenie informacji może okazać się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku. Obecnie prawo nie przewiduje takiej okoliczności jako wyłączającej niedopełnienie obowiązku informacyjnego. RODO je uwzględnia, umożliwiając rezygnację z bezpośredniego informowania osób na rzecz udostępnienia takiej informacji publicznie, w sposób ogólnie dostępny, np. na stronie internetowej firmy.

Dotychczas wiele zgód było opartych na klauzuli umownej: „Wyrażam zgodę na przetwarzanie moich danych przez podmioty z danej grupy kapitałowej albo jej współpracowników”. Powiedzmy, że przedsiębiorca kupuje bazę danych osobowych od podmiotu, który otrzymał zgodę na przetwarzanie danych w ten sposób. Czy po 25 maja br. tak uzyskane zgody będą kwestionowane?

W myśl zasady rzetelności i przejrzystości, o których mowa w RODO, klient będzie musiał być poinformowany, jakim konkretnie podmiotom jego dane mają być przekazane i że ma prawo w dowolnym momencie tę zgodę u każdego z administratorów wycofać. To szczególne wyzwanie dla podmiotów zajmujących się agregowaniem i późniejszą odsprzedażą danych osobowych. Będą one musiały wykazać, czy w istocie działają na podstawie zgody, czy może innej przesłanki. Wątpliwości budzi zgoda na przekazanie danych na rzecz bliżej nieokreślonych kolejnych podmiotów z uwagi na jej blankietowy charakter. W przebudowywanych dziś procedurach pod kątem zapewnienia zgodności z RODO ten aspekt również musi być brany pod uwagę.

Ostatnio często zdarzało się słyszeć opinie, że nawet po zakończeniu kontraktu dane osobowe klientów wciąż można przetwarzać.

Dociera do nas wiele sygnałów, że po zakończeniu umowy byli klienci są przez administratorów danych traktowani tak, jakby wciąż nimi byli. To błąd, po wygaśnięciu umowy klient staje się bowiem jedynie klientem archiwalnym. Ma prawo oczekiwać, że zostanie pozostawiony w spokoju przez dawnego usługodawcę. Jego dane mogą być przetwarzane, co wynika z obowiązujących przepisów prawa, tylko i wyłącznie w celach archiwalnych bądź dotyczących ewentualnych roszczeń, dochodzenia wierzytelności czy w celach rachunkowych. Doświadczenia generalnego inspektora ochrony danych osobowych pokazują, że kierowanie ofert marketingowych po zakończeniu umów jest traktowane przez byłych klientów firm jako nieuprawnione nagabywanie. Nie ze wszystkimi firmami klienci chcą utrzymywać dalszy kontakt.

Co zrobić, by firma mogła przetwarzać dane osobowe byłego klienta w celach marketingowych?

Jeszcze przed wygaśnięciem umowy, najlepiej na jak najwcześniejszym etapie, na takie działanie należałoby pozyskać wyraźną zgodę. I dać możliwość klientowi niewyrażenia jej bez żadnych negatywnych konsekwencji. Ponadto pozostaje jeszcze jedna ważna kwestia – konieczność wskazania klientowi warunków, po spełnieniu których pozyskane w celach marketingowych dane będą usuwane (np. złożenie wniosku o wycofanie zgody, zgłoszenie sprzeciwu, żądanie usunięcia danych). Bardzo często administratorzy uważają, że jeśli pozyskają dane klienta, to mogą je przetwarzać wieczyście lub do czasu, gdy nie zgłosi on sprzeciwu – a to nieprawda. Przecież ludzie zmieniają adresy e-mailowe, miejsce zamieszkania i numery telefonów. I byli klienci nie mają obowiązku o tym fakcie informować administratora danych już po zakończeniu umowy. Tym samym może się okazać, że administrator nagle zacznie kompletnie bezprawnie przetwarzać dane nieaktualne lub przypisane do zupełnie innej osoby.

Niekiedy administratorzy, chcąc przedłużyć możliwość przetwarzania danych osobowych dawnych klientów, proponują im różnego rodzaju zachęty: rabaty, ekskluzywne promocje itd. Znamy wiele takich przykładów. Czy to zgodne z prawem?

Zgoda musi być zawsze dobrowolna, wyraźna i niewymuszona. Mówi o tym art. 7 RODO. Jeśli klient wyraża zgodę i idzie za tym określony upust na usługi, to odwołanie zgody nie może się wiązać z żadnymi negatywnymi skutkami. Gdyby więc w przypadku odwołania zgody traciło się np. przyznany wcześniej rabat albo należałoby zapłacić różnicę między ceną produktu a upustem, to takie działanie czyniłoby wątpliwym wyrażanie zgody na zasadzie dobrowolności, na co wprost wskazuje motyw 42 unijnego rozporządzenia. Decydując się na wprowadzenie systemu zachęt z wykorzystaniem zgody klienta, przedsiębiorca powinien pamiętać, że nie zapewnia sobie w ten sposób bezwarunkowego i nieograniczonego w czasie korzystania z danych osobowych.