Zakup bazy klientów a obowiązek informacyjny

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Zakup bazy danych osobowych wiąże się potencjalnie z wieloma ryzykami, niemniej znaną od wielu lat praktyką jest nabywanie nowych klientów poprzez zakup bazy klientów. Z całą pewnością przedsiębiorca musi w takim wypadku spełnić szereg obowiązków wynikających z RODO. Przeczytaj poniższy artykuł i dowiedz się, co warto wiedzieć o aspektach prawnych zakupu bazy klientów!

Zakup bazy klientów – na co zwrócić uwagę?

Aby móc legalnie przetwarzać dane osobowe z zakupionej bazy, należy najpierw, przed jej zakupem, upewnić się, że zostały one zebrane legalnie oraz że sprzedający posiadał podstawę prawną nie tylko do przetwarzania tych danych we własnych celach, lecz także, że zapewnił podstawę prawną do przekazania danych innemu administratorowi. Sprzedający legalną bazę danych podlegającą sprzedaży powinien zatem móc udokumentować zgody wszystkich osób, których dane znajdują się w bazie, na dalsze przekazanie ich danych do innych administratorów w celu realizacji ich celów marketingowych. 

Na skutek zakupu bazy danych osobowych przedsiębiorca stanie się ich administratorem i będzie odpowiadał za spełnienie wobec podmiotów danych odpowiednich obowiązków. Przedsiębiorca powinien więc przed zakupem upewnić się, że wobec osób objętych bazą zostały dochowane obowiązki wynikające z RODO. 

Prócz odebrania zgody na sprzedaż danych osobowych w ramach bazy warto również zwrócić uwagę, czy sprzedający zrealizował takie obowiązki, jak poinformowanie osób, których dotyczą dane osobowe, zgodnie z art. 13 RODO, czy też wprowadzenie odpowiednich środków ochrony zapewniających należyte zabezpieczenie danych.

Obowiązek informacyjny w przypadku zakupu bazy danych

Zgodnie z motywami RODO dla osób, których dane są przetwarzane, powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane.

Nie jest wystarczające, by obowiązek informacyjny został spełniony przez sprzedającego dane w chwili zebrania tych danych na potrzeby tworzenia bazy. W momencie zakupu bazy, kupujący staje się administratorem danych osobowych osób objętych bazą i w większości przypadków powinien przekazać tym osobom klauzulę informacyjną.

Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje jej następujące informacje:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  • cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
  • kategorie odnośnych danych osobowych;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez komisję odpowiedniego stopnia ochrony lub wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz informację o sposobach uzyskania kopii tych zabezpieczeń lub o miejscu ich udostępnienia.

W przypadku pozyskiwania danych osobowych osób nie bezpośrednio od klientów zgodnie z RODO konieczne jest dopełnienie dodatkowych obowiązków, w tym m.in. przekazanie w ramach klauzuli informacyjnej dodatkowych informacji. Dotyczy to również pozyskania danych osobowych w formie zbioru, bazy. Wobec każdej z osób z takiego zbioru należy dopełnić obowiązku informacyjnego.

Poza powyższymi informacjami administrator podaje osobie, której dane dotyczą, następujące informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą:

  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • jeżeli przetwarzanie odbywa się na podstawie uzasadnionego interesu administratora – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  • jeżeli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  • informacje o prawie wniesienia skargi do organu nadzorczego;
  • źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

W przypadku pozyskaniu danych osób nie bezpośrednio od tych osób, w tym w przypadku zakupu bazy takich danych, konieczne jest, by w ramach klauzuli informacyjnej, jaką należy przekazać tym osobom, znalazła się także informacja o źródle danych osobowych. Zgodnie z motywami RODO, jeżeli osobie, której dane dotyczą, nie można podać pochodzenia danych osobowych, ponieważ korzystano z różnych źródeł, informacje należy przedstawić w sposób ogólny.

Klauzulę informacyjną zawierającą powyższe dane administrator powinien doręczyć osobie, której dane dotyczą:

  • w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych;
  • jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą; lub
  • jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym te dane zostały pozyskane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji zgodnie z RODO.

Odstąpienie od obowiązku informacyjnego w przypadku bazy danych – czy możliwe?

W niektórych przypadkach RODO pozwala na odstąpienie od konieczności spełniania obowiązku informacyjnego. Przesłanki, na które można się w takim wypadku powołać, to:

  • osoba, której dane dotyczą, dysponuje już tymi informacjami;
  • udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie;
  • pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą lub
  • dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Szczególnie często w kontekście zakupu lub tworzenia baz danych osobowych rozważana jest przesłanka związana z niemożliwością lub niewspółmiernym wysiłkiem. Zgodnie z motywami RODO sytuacja braku możliwości lub niewspółmiernie dużego wysiłku może zachodzić w szczególności przypadku, gdy przetwarzanie służy celom archiwalnym w interesie publicznym, celom badań naukowych lub historycznych lub celom statystycznym. Uwzględnić przy tym należy:

  • liczbę osób, których dane dotyczą;
  • okres przechowywania danych;
  • wszelkie przyjęte odpowiednie zabezpieczenia.

Jak jednak wskazuje orzecznictwo: „Wysłanie informacji, o których mowa w art. 14 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE pocztą tradycyjną, na adres osoby fizycznej prowadzącej aktualnie jednoosobową działalność gospodarczą, adres osoby, która zawiesiła wykonywanie działalności gospodarczej lub w drodze kontaktu telefonicznego, nie jest czynnością niemożliwą oraz nie wymaga niewspółmiernie dużego wysiłku, w sytuacji posiadania przez Spółkę danych adresowych, a nadto także dodatkowo w odniesieniu do części tych osób – numerów telefonów” – wyrok Wojewódzkiego Sądu Administracyjnego siedziba w Warszawie z 11 grudnia 2019 roku (II SA/Wa 1030/19).

Przykład 1.

Jeżeli kupujesz bazę danych osobowych, a osoby wymienione w tej bazie nie mają przypisanych adresów e-mail, ale w bazie znajdują się inne dane umożliwiające kontakt z taką osobą i przekazanie jej klauzuli informacyjnej np. adres zamieszkania, numer telefonu – zgodnie z RODO nie możesz powołać się na przesłankę niewspółmierności wysiłku. W takim wypadku, nawet gdy osób w bazie jest dużo – konieczne jest przekazanie niezbędnej informacji każdej z nich. Przedsiębiorca kupujący bazę danych osobowych powinien więc wziąć pod uwagę taki dodatkowy koszt, który będzie musiał ponieść. Warto też, jeżeli to możliwe, kupować takie bazy, które zawierają adresy e-mail umożliwiające łatwiejszy kontakt i przesłanie klauzuli informacyjnej.

W tym względzie warto mieć na uwadze stanowisko Prezesa UODO, zgodnie z którym: „Prawidłową, gwarantującą odpowiedni poziom zabezpieczenia praw i wolności podmiotów danych, formą podania im wymaganych informacji jest bezpośredni kontakt zainicjowany przez administratora. […] Rezygnacja z bezpośredniego kontaktu tylko z powodu związanych z tym kosztów należy ocenić negatywnie, szczególnie, że operacje na danych osobowych stanowią przedmiot podstawowej, czysto komercyjnej, profesjonalnej, wieloletniej działalności administratora. Od profesjonalisty w tego rodzaju działalności, należy wymagać takiego ukształtowania strony biznesowej swojej działalności, które uwzględniałoby wszelkie koszty niezbędne dla zapewnienia jej zgodności z przepisami prawa (w tym przypadku z przepisami o ochronie danych osobowych)” – decyzja Prezesa Urzędu Ochrony Danych Osobowych z 15 marca 2019 roku (ZSPR.421.3.2018). Najczęściej nie będzie zatem możliwe zastąpienie uciążliwego obowiązku zamieszczeniem klauzuli informacyjnej w ogólnodostępnym miejscu, np. na stronie internetowej przedsiębiorcy, który zakupił bazę danych.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów