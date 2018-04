Nowe przepisy o ochronie danych osobowych stanowiš ogromne wyzwanie dla tysięcy firm nie tylko ze względu na ryzyko horrendalnych kar za ich niewdrożenie, ale przede wszystkim na koniecznoœć zmiany formuły myœlenia o danych osobowych, w tym właœciwej identyfikacji obszarów, w których one występujš. Tylko prawidłowa identyfikacja i zrozumienie wymogów RODO oraz ryzyk w działalnoœci firmy, pozwoli na prawidłowe zaadresowanie konkretnych rozwišzań w zakresie ochrony danych osobowych.

25 maja 2018 r. zacznie obowišzywać Rozporzšdzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w zwišzku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Poniżej dalsza częœć artykułu

Jednym z obszarów funkcjonowania większoœci przedsiębiorców jest działalnoœć marketingowa. Częstym narzędziem wykorzystywanym przez firmy jest Business Intelligens („BI") oraz bazy marketingowe. W rozumieniu czysto biznesowym BI można definiować jako kombinację architektury systemu, aplikacji oraz baz danych, które razem umożliwiajš prowadzenie w czasie rzeczywistym analizy i przekształceń, dostarczajšc biznesowi potrzebnych informacji i wiedzy.

W praktyce firma pozyskuje dane osobowe klientów, w szczególnoœci kontrahentów i potencjalnych kontrahentów (B2B, B2C) z różnych Ÿródeł, tworzšc bazę wkomponowanš w architekturę BI lub bazę odrębnš. W częœci przypadków, podstawš takiego przetwarzania danych osobowych jest zgoda osoby, której dane dotyczš.

Spore trudnoœci dla firmy mogš jednak pojawić się w sytuacji, gdy dane osobowe sš pozyskiwane dla budowy BI, czy też odrębnych baz marketingowych z innych Ÿródeł, tj. w inny sposób niż od osoby, których dane dotyczš.

Skupiajšc się wyłšcznie na rynku B2B – takim Ÿródłem sš rejestry jawne, publicznie dostępne np. rejestr przedsiębiorców, jakim jest Centralna Ewidencja i Informacja o Działalnoœci Gospodarczej, czy rejestry branżowe, np. rejestr przedsiębiorców telekomunikacyjnych.

Dane przedsiębiorców, działajšcych jednoosobowo lub w formule spółek cywilnych, zgodnie z projektem ustawy „Przepisy wprowadzajšce ustawę o ochronie danych osobowych", z dniem wejœcia w życie nowych przepisów będš podlegały reżimowi ochrony danych osobowych, wskazanemu w RODO. Dotychczasowa ustawa o ochronie danych osobowych posługiwała się pojęciem danych powszechnie dostępnych, wyłšczajšc je z zakresu obowišzku rejestrowania w ramach baz danych. RODO nie wyróżnia takiej kategorii danych osobowych.

Z jawnych rejestrów

Co to w praktyce oznacza? Firmy budujšc BI oraz bazy marketingowe dla rynku B2B, poprzez pozyskiwanie danych z jawnych rejestrów, przetwarzajšc je następnie w sposób zautomatyzowany/ niezautomatyzowany dla celów marketingowych (np. ocena potencjału sprzedażowego, profilowanie klientów wg. wybranych kryteriów NIP, adres) stajš się administratorem tychże danych, samodzielnie ustalajšc cele i sposoby ich przetwarzania. Z chwilš ich pobrania z rejestru i wpisania do bazy marketingowej firma przetwarza je w celach zbieżnych z celami przypisanymi do tworzonych baz.

W konsekwencji, firma powinna w pierwszej kolejnoœci ocenić, jaka jest właœciwa podstawa przetwarzania.

Jeżeli na dzień wprowadzenia tych danych do bazy marketingowej dany podmiot jest już kontrahentem przedsiębiorcy wówczas dysponujšc odpowiednimi kanałami kontaktu łatwiej jest zrealizować obowišzek informacyjny w trybie art. 14 RODO i pozyskać zgodę na przetwarzanie tych danych. Cel przetwarzania nie będzie bowiem mieœcił się w zakresie zwišzanym z wykonaniem umowy z danym kontrahentem, jest od niej odrębny. W przypadku natomiast, gdy sš to jedynie potencjalni kontrahenci (firmę z danym podmiotem nie łšczy żaden stosunek prawny), wówczas pozyskanie zgody i realizacja obowišzku informacyjnego może nastręczać spore trudnoœci.

Firma dysponuje tylko takimi danymi osobowymi, jakie sš jej niezbędne do celów, w których sš przetwarzane. Jeżeli nie posiada aktualnych danych kontaktowych i nie ma interesu w ich dodatkowym pozyskaniu, uzyskanie zgody na przetwarzanie i zrealizowanie obowišzku informacyjnego zgodnie z art. 14 RODO, będzie trudne do wykonania.

Duże obcišżenie

Przykładowo, jeżeli firma przetwarza wyłšcznie dane osobowe, stanowišce imię i nazwisko osoby, której dane dotyczš oraz adres zamieszkania (adres korespondencyjny) wówczas kanały komunikacji z tš osobš sš w praktyce ograniczone wyłšcznie do kontaktu listownego. Przy dużych wolumenach rekordów z danymi osobowymi – wykonanie obowišzków spoczywajšcych na administratorze może być dla firmy, dysponujšcej niewielkim potencjałem kadrowym i finansowym, dużym obcišżeniem.

Należy wskazać, że zgodnie z przepisami RODO, administrator może nie wykonać obowišzku informacyjnego, jeżeli udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.

Kluczowa jest odpowiedŸ administratora na pytanie: jakie dane osobowe sš mu potrzebne do budowy bazy i czy taki ich zakres danych pozwala na wykonanie obowišzku informacyjnego? Jeżeli tak, to wówczas do gestii administratora należy wybór sposobu jego realizacji, determinowany rodzajem danych osobowych – tj. w formie pisemnej/elektronicznie. Oczywiœcie w pełni aktualne pozostajš zasady dotyczšce terminu realizacji obowišzku informacyjnego (tj. w rozsšdnym terminie – po pozyskaniu danych osobowych – najpóŸniej w cišgu miesišca).

Jeżeli nie zgoda, to jaka może być podstawa przetwarzania danych osobowych? O ile wykonanie obowišzku informacyjnego jest czynnoœciš nie wymagajšcš aktywnego działania podmiotu, którego dane dotyczš, to brak zgody na przetwarzanie danych osobowych może w praktyce uniemożliwiać ich wykorzystanie do budowy bazy. Warto rozważyć zastosowanie dla tych konkretnych przypadków innej podstawy przetwarzania – wskazanej w art. 6 ust. 1 pkt. f) RODO – tj. „przetwarzanie jest niezbędne do celów wynikajšcych z prawnie uzasadnionych interesów realizowanych przez administratora (...)".

Na takš możliwoœć wskazuje motyw 47 RODO: „(...) Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpoœredniego".

Ryzyko i wyzwania

Zasady okreœlone w RODO powinny „wyczulić" firmę nabywajšcš gotowš bazę danych osobowych, będšcš bazš marketingowš, na wypełnienie okreœlonych obowišzków w zakresie ochrony danych osobowych.

Wyzwaniem jest w szczególnoœci ryzyko bezprawnego przetwarzania danych osobowych w zakresie Ÿródła i daty zgromadzonych danych osobowych, liczby ich odbiorców, pozyskania odpowiednich zgód od osób fizycznych ujętych w bazie.

Stšd też, planujšc nabycie bazy danych osobowych od podmiotu trzeciego warto pamiętać o okreœlonych zasadach i warunkach, œwiadczšcych nie tylko o jakoœci bazy z punktu widzenia jej marketingowej przydatnoœci, ale również o zasadzie legalnoœci w całym łańcuchu przetwarzania danych osobowych – poczšwszy od zbierania danych osobowych od osób, których dane dotyczš, a skończywszy na sprzedaży bazy podmiotowi zewnętrznemu.

Co należy zrobić planujšc zakupienie gotowej bazy danych

1. Zbadać czy podmiot zbywajšcy pozyskał dane osobowe w sposób legalny, czyli odpowiedzieć sobie na pytanie – w jaki sposób podmiot ten – nazwijmy go zbywcš – pozyskał dane osobowe bezpoœrednio od tej osoby, czy też również od podmiotu trzeciego? Aby ocenić legalnoœć kluczowe jest ustalenie podstawy przetwarzania danych osobowych. Co do zasady podstawš tš będzie zgoda wyrażona przez osobę, której dane dotyczš (art. 6 ust. 1 pkt. a) RODO).

2. Pozyskać od zbywcy zgody od wszystkich osób ujętych w bazie danych. Ważne jest właœciwe okreœlenie celu przetwarzania. Nie może być to zgoda wyłšcznie na przetwarzanie danych osobowych w celach marketingowych. Byłoby to uznane za niewystarczajšce. Dane osobowe podlegajš bowiem udostępnieniu (sprzedaży) podmiotowi trzeciemu, a tym samym, zgoda, swoim zakresem powinna obejmować oznaczenie tej czynnoœci prawnej, będšcej właœciwym celem przetwarzania danych osobowych. W zwykłym celu marketingowym nie mieœci się bowiem sprzedaż danych osobowych; cel identyfikowany przyszłš transakcjš sprzedaży danych musi więc być jednoznacznie wskazany w treœci zgody. Jeżeli zbywca tworzył bazę danych osobowych wyłšcznie w celu jej sprzedaży, wówczas właœciwa zgoda, spełniajšca wymogi RODO, pozyskiwana jest przed faktycznym zapisaniem jednostkowych danych w zbiorze danych zbywcy.

3. Przeœledzić cały „proces życia" danych osobowych u zbywcy ze wskazaniem dat wykonania przez zbywcę okreœlonych obowišzków wobec osób, których dane dotyczš, przypisanych administratorowi danych.

4. Zbadać, czy dane osobowe podlegały profilowaniu, jeżeli tak, to w jakim zakresie.

5. Ustalić, czy zbywca wykonał obowišzek informacyjny, zgodnie z wymogami art. 13 RODO.

6. Zweryfikować sposób zabezpieczenia danych osobowych objętych bazš, ze szczególnym uwzględnieniem wdrożenia adekwatnych œrodków zabezpieczenia technicznego.

7. Ustalić, czy dane osobowe ujęte w bazie zostały udostępnione również innym podmiotom.

Wymienione zasady powinny być ujęte w umowie sprzedaży bazy danych oraz w należyty sposób udokumentowane przez zbywcę (zasada rozliczalnoœci wynikajšca z RODO).

W przypadku fizycznego przekazania bazy danych, kluczowe jest również właœciwe okreœlenie odpowiedzialnoœci zbywcy, poprzez jej rozgraniczenie datš sprzedaży bazy danych. Przy założeniu legalnoœci bazy danych osobowych należy pamiętać, iż z chwilš jej udostępnienia nabywca bazy danych staje się administratorem wszystkich danych osobowych ujętych w bazie, ze wszystkimi konsekwencjami wynikajšcymi z RODO. W szczególnoœci, nabywca zobowišzany jest wobec osób, których dane dotyczš wykonać obowišzek informacyjny, na podstawie art. 14 ust. 1 RODO.

Z innš sytuacjš mamy do czynienia, gdy baza danych znajduje się na serwerze administratora, który sprzedaje osobom trzecim nie bazę, ale dostęp np. do konkretnych modułów w serwisie on – line. Wówczas możliwe do zastosowania sš dwa modele biznesowe:

- umowa powierzenia przetwarzania danych osobowych między administratorem a podmiotem trzecim;

- umowa udostępnienia między administratorem a podmiotem trzecim (z chwilš pobrania bazy taka staje się administratorem danych osobowych, samemu wyznaczajšc cele i sposoby przetwarzania danych osobowych). —Joanna Stolarek, Konrad Rychliński

Zdaniem eksperta

Joanna Stolarek, lider Praktyki Zarzšdzania Zgodnoœciš, Kancelaria Ożóg Tomczykowski; Konrad Rychliński, adwokat, Praktyka Zarzšdzania Zgodnoœciš, Kancelaria Ożóg Tomczykowski

Firma nabywajšca bazę marketingowš powinna zachować daleko idšcš ostrożnoœć dotyczšcš oceny wiarygodnoœci podmiotu zbywajšcego bazę danych, jak również ochrony danych osobowych ujętych w tej bazie. Zasadnicze znaczenia ma aspekt legalnoœci przetwarzania danych przez zbywcę, pozyskanie odpowiedniej zgody oraz wykonanie obowišzków informacyjnych, zgodnie z wymogami RODO.