Kupno bazy danych osobowych a RODO 2023
Jednym ze sposobów na poprawę wyników sprzedaży jest wykorzystanie baz danych potencjalnych klientów. Dzięki nim działania marketingowe przedsiębiorcy stają się mniej przypadkowe, co przekłada się na wzrost prawdopodobieństwa ich powodzenia.
W jaki sposób pozyskać potrzebne dane? Niektóre podmioty decydują się zgromadzić je samodzielnie. To rozwiązanie, choć jest najbezpieczniejsze (twórca bazy sam dba o jej legalność), nie zawsze przekonuje przedsiębiorców. Wymaga bowiem wiedzy i czasu. Często dużo atrakcyjniejszy okazuje się zakup bazy danych od innego podmiotu. W artykule odpowiadamy na pytanie, co powinien zrobić przedsiębiorca przed zakupem bazy, a także charakteryzujemy obowiązki prawne, które aktualizują się po jej nabyciu. Zachęcamy do czytania.
Zakup bazy danych a RODO i inne przepisy
Na poziomie unijnym zagadnienia powiązane z nabyciem baz danych reguluje rozporządzenie RODO, ściślej: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Warto przy tym pamiętać, że wspomniane rozporządzenie nie jest jednak jedynym aktem normatywnym, który dotyczy wskazanej problematyki. Jeśli chodzi o przepisy krajowe, należy wskazać przede wszystkim Ustawę z dnia 27 lipca 2001 r. o ochronie baz danych oraz Ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych. Pierwsza z nich przewiduje specjalną ochronę twórców baz wzorowaną na ochronie prawno-autorskiej. Druga natomiast, oprócz przepisów o charakterze publicznoprawnym, zawiera również regulacje dotyczące odpowiedzialności (karnej i cywilnej) podmiotów przetwarzających dane.
Zakup bazy danych a RODO – co powinien wziąć pod uwagę nabywca?
Aby uczynić zadość wszystkim wymaganiom prawnym związanym z użyciem bazy danych, przedsiębiorca powinien wykonać pewne kroki jeszcze przed jej zakupem. Chodzi przede wszystkim o weryfikację kontrahenta, ściślej zaś o sprawdzenie, czy dane zawarte w oferowanej bazie zostały pobrane w legalny sposób, a zbywca dysponuje uprawnieniem do ich przetwarzania. Jeśli potencjalny kontrahent nie uzyskał zgód od osób, których dane są przetwarzane, baza okazuje się w zasadzie bezużyteczna – nie można wykorzystać jej do celów marketingowych. Podobnie rzecz będzie się miała w przypadku zgód pozyskanych w formie niezgodnej z przepisami – elementy zgody zostały określone w art. 4 pkt 11 rozporządzenia RODO. Należy również wziąć pod uwagę fakt, że w niektórych przypadkach zgody są udzielane jedynie na rzecz zbywcy, innymi słowy, w ich treści nie przewiduje się możliwości transferu. W takiej sytuacji zbywca powinien skontaktować się z osobami, których dane są przetwarzane w celu uzyskania osobnej zgody na sprzedaż.
Sprzedaż bazy danych osobowych – RODO a obowiązek informacyjny nabywcy
W art. 14 rozporządzenia RODO prawodawca unijny wskazał, jakie informacje powinien przekazać nabywca bazy osobom, których dane osobowe są przetwarzane. Ujmując rzecz ściśle, art. 14 pkt 1 rozporządzenia głosi, że jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator powinien przekazać jej:
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela,
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych,
- cele przetwarzania, do których mają posłużyć dane osobowe oraz podstawę prawną przetwarzania,
- kategorie odnośnych danych osobowych,
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu, lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony, lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi rozporządzenia RODO, wzmiankę o odpowiednich, lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych, lub o miejscu udostępnienia danych.
Ponadto, jak wskazuje art. 14 pkt 2 rozporządzenia RODO, nabywca powinien podać osobom, których dane są przetwarzane, dane niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania, takie jak:
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- jeśli przetwarzanie odbywa się na podstawie uzasadnionego interesu administratora (o którym mowa w art. 6 ust. 1 lit. f) – realizowane przez niego lub stronę trzecią prawnie uzasadnione interesy,
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- w przypadku, gdy przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
- informacje o prawie wniesienia skargi do organu nadzorczego;
- źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Powiązane tematy:
Zgłoszenie bazy danych RODO – czy obowiązek zgłoszenia jest aktualny?
Na zakończenie odpowiedzmy na pytanie, które często powtarza się wśród podmiotów zainteresowanych nabyciem bazy, a mianowicie, czy przedsiębiorca ma obowiązek rejestracji zbiorów danych osobowych, o których mowa w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych? Nie – obowiązek ten ustał wraz z wejściem w życie rozporządzenia RODO, czyli 25 maja 2018 r. Należy odnotować, że organ odpowiedzialny za przyjmowanie zgłoszeń – Generalny Inspektor Danych Osobowych – został 25 maja 2018 zastąpiony Prezesem Urzędu Ochrony Danych Osobowych.
Mamy nadzieję, że niniejszy wpis okazał się wartościowy.