Tło strzałki Strzałka
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Zakup bazy danych osobowych zgodnie z RODO

Zakup bazy danych osobowych zgodnie z RODO

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Zakup bazy danych zgodnie z RODO i o zgodnej z RODO zawartości wymaga przeanalizowania wielu aspektów i zbadania bazy pod kątem bezpieczeństwa i legalności. RODO nie zakazuje wprost zakupu baz danych osobowych, ale tego typu pozyskiwanie danych osobowych jest obwarowane takimi samymi obostrzeniami jak w przypadku zbierania danych pojedynczych osób. Zobacz, co warto sprawdzić przed zakupem bazy i co trzeba zrobić po jej nabyciu!

Podstawa prawna do przetwarzania danych z bazy

Zakup bazy danych osobowych powinien być poprzedzony analizą pod kątem legalności pozyskanych do bazy danych osób. Najlepiej w takim przypadku zażądać od zbywcy bazy dowodów na pozyskanie zgody lub informacji o innej podstawie przetwarzania tych danych.

Powinniśmy w takiej sytuacji przeanalizować treść odbieranej od danej osoby zgody pod kątem jej poprawności. Nie możemy zapominać także o pozyskaniu dowodu na to, że zgoda została faktycznie udzielona i w jaki sposób.

Jeśli podstawą jest zgoda – powinna być udzielona na konkretne cele, w jakich baza będzie wykorzystywana przez nabywcę. Zgoda musi zostać udzielona na rzecz nabywcy bądź też powinno się wydać dodatkową zgodę na udostępnienie danych nabywcy przez zbywcę.

Należy pamiętać, że zgodnie z RODO przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

  • osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów,
  • przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy,
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze,
  • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej,
  • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi,
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, tę zgodę wyraziła.

Jeżeli osoba, której dane dotyczą, wyraża zgodę w pisemnym oświadczeniu, które odnosi się także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych zagadnień, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Przykład 1.

Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Powinniśmy zatem zweryfikować nie tylko to, czy zgoda została wyrażona przez osoby z bazy, ale także sprawdzić, czy nie została cofnięta. W razie wycofania zgody dane osoby powinny zostać usunięte z bazy lub umieszczone na tzw. black liście osób, z którymi nie można się kontaktować i których danych nie można w dalszym ciągu przetwarzać.

Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do realizacji umowy.

Przykład 2.

Oceniając prawidłowość udzielonych zgód poprzez elektroniczne formularze, powinniśmy zweryfikować, czy procedura pozyskiwania zgód była skonstruowana w sposób zapewniający dobrowolność jej wyrażenia. Zgoda nie będzie dobrowolna, jeśli tzw. check boxy będą domyślnie zaznaczone w elektronicznym formularzu.

Zakup bazy danych - obowiązek informacyjny

W razie zakupu bazy danych osobowych trzeba się upewnić, że wobec osób z bazy zostały zrealizowane obowiązki informacyjne zgodnie z RODO – najlepiej zażądać dowodów potwierdzających od zbywcy bazy. Jeżeli uprzednio dane zostały zebrane do bazy przez zbywcę dla własnych celów, a nie bezpośrednio na rzecz nabywcy, również nabywca po przejęciu bazy powinien zrealizować własny obowiązek informacyjny.

Zgodnie z RODO, jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje jej następujące informacje:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela,
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych,
  • cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania,
  • kategorie odnośnych danych osobowych,
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi RODO, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

Poza powyższymi informacjami nabywca bazy podaje osobie, której dane dotyczą, następujące treści niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  • jeżeli przetwarzanie odbywa się na podstawie uzasadnionego interesu – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią,
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  • informacje o prawie wniesienia skargi do organu nadzorczego,
  • źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Informacje, o których mowa powyżej, administrator podaje w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych.

Jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dotyczą, informacja powinna być przekazana najpóźniej przy pierwszej takiej komunikacji lub jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Wymóg wyrażenia zgód na kontakt w celach marketingowych

Zgoda, którą powinien dysponować zbywca bazy, powinna także uwzględniać zgodę na przesyłanie informacji handlowej przez nabywcę.

Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.

Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na jej otrzymywanie, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

Z kolei na gruncie prawa telekomunikacyjnego zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

Zgody odbierane od osób w bazie powinny uwzględniać powyższe regulacje dotyczące niezamówionej informacji handlowej i komunikacji przy użyciu urządzeń końcowych.

Polecamy:

Skala podatkowa 2024 a kwota wolna od podatku w 2024 roku

Newsletter – jak wykorzystać to narzędzie zgodnie ...
RODO w firmie - jakie są obowiązki przedsiębiorcy?
Podobne
Listopad 2024
21
Czwartek
  • Dzień ustawowo wolny od pracy
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
  4. RODO - czyli jakie dane podlegają ochronie danych osobowych?
  5. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Odpowiedzialność odszkodowawcza w RODO - co warto wiedzieć?

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

Prowadzisz biuro rachunkowe? Nie może Cię zabraknąć na tym wydarzeniu!
Konferencja "Zmiany podatkowe 2025"
Zapraszamy na Global Leadership Summit Polska 2024!
No Code Days 2024 – klucz do świata technologii bez programowania
KONFERENCJA KADRY PŁACE 2024/2025 – bieżące problemy oraz nowe wyzwania na 2025 rok Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów