sklep@zzoom.pl
+48 601-962-449
🚚 Wysyłka do 48h - od 350 zł GRATIS!
☞ Rabaty przy większych zamówieniach
💰 Możliwe zakupy na raty
IS IT SAFE?

Nowe przepisy o ochronie danych osobowych stanowią ogromne wyzwanie dla tysięcy firm nie tylko ze względu na ryzyko horrendalnych kar za ich niewdrożenie, ale przede wszystkim na konieczność zmiany formuły myślenia o danych osobowych, w tym właściwej identyfikacji obszarów, w których one występują. Tylko prawidłowa identyfikacja i zrozumienie wymogów RODO oraz ryzyk w działalności firmy, pozwoli na prawidłowe zaadresowanie konkretnych rozwiązań w zakresie ochrony danych osobowych.

25 maja 2018 r. zacznie obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/ 679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Jednym z obszarów funkcjonowania większości przedsiębiorców jest działalność marketingowa. Częstym narzędziem wykorzystywanym przez firmy jest Business Intelligens („BI") oraz bazy marketingowe. W rozumieniu czysto biznesowym BI można definiować jako kombinację architektury systemu, aplikacji oraz baz danych, które razem umożliwiają prowadzenie w czasie rzeczywistym analizy i przekształceń, dostarczając biznesowi potrzebnych informacji i wiedzy.

W praktyce firma pozyskuje dane osobowe klientów, w szczególności kontrahentów i potencjalnych kontrahentów (B2B, B2C) z różnych źródeł, tworząc bazę wkomponowaną w architekturę BI lub bazę odrębną. W części przypadków, podstawą takiego przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą.

Spore trudności dla firmy mogą jednak pojawić się w sytuacji, gdy dane osobowe są pozyskiwane dla budowy BI, czy też odrębnych baz marketingowych z innych źródeł, tj. w inny sposób niż od osoby, których dane dotyczą.

Skupiając się wyłącznie na rynku B2B – takim źródłem są rejestry jawne, publicznie dostępne np. rejestr przedsiębiorców, jakim jest Centralna Ewidencja i Informacja o Działalności Gospodarczej, czy rejestry branżowe, np. rejestr przedsiębiorców telekomunikacyjnych.

Dane przedsiębiorców, działających jednoosobowo lub w formule spółek cywilnych, zgodnie z projektem ustawy „Przepisy wprowadzające ustawę o ochronie danych osobowych", z dniem wejścia w życie nowych przepisów będą podlegały reżimowi ochrony danych osobowych, wskazanemu w RODO. Dotychczasowa ustawa o ochronie danych osobowych posługiwała się pojęciem danych powszechnie dostępnych, wyłączając je z zakresu obowiązku rejestrowania w ramach baz danych. RODO nie wyróżnia takiej kategorii danych osobowych.

Z JAWNYCH REJESTRÓW

Co to w praktyce oznacza? Firmy budując BI oraz bazy marketingowe dla rynku B2B, poprzez pozyskiwanie danych z jawnych rejestrów, przetwarzając je następnie w sposób zautomatyzowany/ niezautomatyzowany dla celów marketingowych (np. ocena potencjału sprzedażowego, profilowanie klientów wg. wybranych kryteriów NIP, adres) stają się administratorem tychże danych, samodzielnie ustalając cele i sposoby ich przetwarzania. Z chwilą ich pobrania z rejestru i wpisania do bazy marketingowej firma przetwarza je w celach zbieżnych z celami przypisanymi do tworzonych baz.

W konsekwencji, firma powinna w pierwszej kolejności ocenić, jaka jest właściwa podstawa przetwarzania.

Jeżeli na dzień wprowadzenia tych danych do bazy marketingowej dany podmiot jest już kontrahentem przedsiębiorcy wówczas dysponując odpowiednimi kanałami kontaktu łatwiej jest zrealizować obowiązek informacyjny w trybie art. 14 RODO i pozyskać zgodę na przetwarzanie tych danych. Cel przetwarzania nie będzie bowiem mieścił się w zakresie związanym z wykonaniem umowy z danym kontrahentem, jest od niej odrębny. W przypadku natomiast, gdy są to jedynie potencjalni kontrahenci (firmę z danym podmiotem nie łączy żaden stosunek prawny), wówczas pozyskanie zgody i realizacja obowiązku informacyjnego może nastręczać spore trudności.

Firma dysponuje tylko takimi danymi osobowymi, jakie są jej niezbędne do celów, w których są przetwarzane. Jeżeli nie posiada aktualnych danych kontaktowych i nie ma interesu w ich dodatkowym pozyskaniu, uzyskanie zgody na przetwarzanie i zrealizowanie obowiązku informacyjnego zgodnie z art. 14 RODO, będzie trudne do wykonania.

DUŻE OBCIĄŻENIE

Przykładowo, jeżeli firma przetwarza wyłącznie dane osobowe, stanowiące imię i nazwisko osoby, której dane dotyczą oraz adres zamieszkania (adres korespondencyjny) wówczas kanały komunikacji z tą osobą są w praktyce ograniczone wyłącznie do kontaktu listownego. Przy dużych wolumenach rekordów z danymi osobowymi – wykonanie obowiązków spoczywających na administratorze może być dla firmy, dysponującej niewielkim potencjałem kadrowym i finansowym, dużym obciążeniem.

Należy wskazać, że zgodnie z przepisami RODO, administrator może nie wykonać obowiązku informacyjnego, jeżeli udzielenie informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.

Kluczowa jest odpowiedź administratora na pytanie: jakie dane osobowe są mu potrzebne do budowy bazy i czy taki ich zakres danych pozwala na wykonanie obowiązku informacyjnego? Jeżeli tak, to wówczas do gestii administratora należy wybór sposobu jego realizacji, determinowany rodzajem danych osobowych – tj. w formie pisemnej/elektronicznie. Oczywiście w pełni aktualne pozostają zasady dotyczące terminu realizacji obowiązku informacyjnego (tj. w rozsądnym terminie – po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca).

Jeżeli nie zgoda, to jaka może być podstawa przetwarzania danych osobowych? O ile wykonanie obowiązku informacyjnego jest czynnością nie wymagającą aktywnego działania podmiotu, którego dane dotyczą, to brak zgody na przetwarzanie danych osobowych może w praktyce uniemożliwiać ich wykorzystanie do budowy bazy. Warto rozważyć zastosowanie dla tych konkretnych przypadków innej podstawy przetwarzania – wskazanej w art. 6 ust. 1 pkt. f) RODO – tj. „przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora (...)".

Na taką możliwość wskazuje motyw 47 RODO: „(...) Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego".

RYZYKO I WYZWANIA

Zasady określone w RODO powinny „wyczulić" firmę nabywającą gotową bazę danych osobowych, będącą bazą marketingową, na wypełnienie określonych obowiązków w zakresie ochrony danych osobowych.

Wyzwaniem jest w szczególności ryzyko bezprawnego przetwarzania danych osobowych w zakresie źródła i daty zgromadzonych danych osobowych, liczby ich odbiorców, pozyskania odpowiednich zgód od osób fizycznych ujętych w bazie.

Stąd też, planując nabycie bazy danych osobowych od podmiotu trzeciego warto pamiętać o określonych zasadach i warunkach, świadczących nie tylko o jakości bazy z punktu widzenia jej marketingowej przydatności, ale również o zasadzie legalności w całym łańcuchu przetwarzania danych osobowych – począwszy od zbierania danych osobowych od osób, których dane dotyczą, a skończywszy na sprzedaży bazy podmiotowi zewnętrznemu.

CO NALEŻY ZROBIĆ PLANUJĄC ZAKUPIENIE GOTOWEJ BAZY DANYCH

1. Zbadać czy podmiot zbywający pozyskał dane osobowe w sposób legalny, czyli odpowiedzieć sobie na pytanie – w jaki sposób podmiot ten – nazwijmy go zbywcą – pozyskał dane osobowe bezpośrednio od tej osoby, czy też również od podmiotu trzeciego? Aby ocenić legalność kluczowe jest ustalenie podstawy przetwarzania danych osobowych. Co do zasady podstawą tą będzie zgoda wyrażona przez osobę, której dane dotyczą (art. 6 ust. 1 pkt. a) RODO).

2. Pozyskać od zbywcy zgody od wszystkich osób ujętych w bazie danych. Ważne jest właściwe określenie celu przetwarzania. Nie może być to zgoda wyłącznie na przetwarzanie danych osobowych w celach marketingowych. Byłoby to uznane za niewystarczające. Dane osobowe podlegają bowiem udostępnieniu (sprzedaży) podmiotowi trzeciemu, a tym samym, zgoda, swoim zakresem powinna obejmować oznaczenie tej czynności prawnej, będącej właściwym celem przetwarzania danych osobowych. W zwykłym celu marketingowym nie mieści się bowiem sprzedaż danych osobowych; cel identyfikowany przyszłą transakcją sprzedaży danych musi więc być jednoznacznie wskazany w treści zgody. Jeżeli zbywca tworzył bazę danych osobowych wyłącznie w celu jej sprzedaży, wówczas właściwa zgoda, spełniająca wymogi RODO, pozyskiwana jest przed faktycznym zapisaniem jednostkowych danych w zbiorze danych zbywcy.

3. Prześledzić cały „proces życia" danych osobowych u zbywcy ze wskazaniem dat wykonania przez zbywcę określonych obowiązków wobec osób, których dane dotyczą, przypisanych administratorowi danych.

4. Zbadać, czy dane osobowe podlegały profilowaniu, jeżeli tak, to w jakim zakresie.

5. Ustalić, czy zbywca wykonał obowiązek informacyjny, zgodnie z wymogami art. 13 RODO.

6. Zweryfikować sposób zabezpieczenia danych osobowych objętych bazą, ze szczególnym uwzględnieniem wdrożenia adekwatnych środków zabezpieczenia technicznego.

7. Ustalić, czy dane osobowe ujęte w bazie zostały udostępnione również innym podmiotom.

Wymienione zasady powinny być ujęte w umowie sprzedaży bazy danych oraz w należyty sposób udokumentowane przez zbywcę (zasada rozliczalności wynikająca z RODO).

W przypadku fizycznego przekazania bazy danych, kluczowe jest również właściwe określenie odpowiedzialności zbywcy, poprzez jej rozgraniczenie datą sprzedaży bazy danych. Przy założeniu legalności bazy danych osobowych należy pamiętać, iż z chwilą jej udostępnienia nabywca bazy danych staje się administratorem wszystkich danych osobowych ujętych w bazie, ze wszystkimi konsekwencjami wynikającymi z RODO. W szczególności, nabywca zobowiązany jest wobec osób, których dane dotyczą wykonać obowiązek informacyjny, na podstawie art. 14 ust. 1 RODO.

Z inną sytuacją mamy do czynienia, gdy baza danych znajduje się na serwerze administratora, który sprzedaje osobom trzecim nie bazę, ale dostęp np. do konkretnych modułów w serwisie on – line. Wówczas możliwe do zastosowania są dwa modele biznesowe:

- umowa powierzenia przetwarzania danych osobowych między administratorem a podmiotem trzecim;

- umowa udostępnienia między administratorem a podmiotem trzecim (z chwilą pobrania bazy taka staje się administratorem danych osobowych, samemu wyznaczając cele i sposoby przetwarzania danych osobowych).  —Joanna Stolarek, Konrad Rychliński

ZDANIEM EKSPERTA

Joanna Stolarek, lider Praktyki Zarządzania Zgodnością, Kancelaria Ożóg Tomczykowski; Konrad Rychliński, adwokat, Praktyka Zarządzania Zgodnością, Kancelaria Ożóg Tomczykowski

Firma nabywająca bazę marketingową powinna zachować daleko idącą ostrożność dotyczącą oceny wiarygodności podmiotu zbywającego bazę danych, jak również ochrony danych osobowych ujętych w tej bazie. Zasadnicze znaczenia ma aspekt legalności przetwarzania danych przez zbywcę, pozyskanie odpowiedniej zgody oraz wykonanie obowiązków informacyjnych, zgodnie z wymogami RODO.

up
Shop is in view mode
View full version of the site
ZZoom.pl - sprzęt optyczny i obeserwacyjny
Sklep internetowy Shoper.pl