Jakiś czas temu pisaliście, że przedsiębiorca może, nie pytając klienta, przetwarzać jego dane osobowe w celach marketingu własnych produktów i usług. A co z ich sprzedażą – pyta pani Tatiana. – Czy firma marketingowa może legalnie kupić bazę danych osobowych od innej firmy, a jeśli tak, to jakie przepisy jej na to pozwalają – takie pytania nurtują czytelniczkę.
ikona lupy />
Małgorzata Kałużyńska-Jasak dyrektor zespołu rzecznika prasowego Generalnego Inspektoratu Ochrony Danych Osobowych / Dziennik Gazeta Prawna
Nasze dane są cennym towarem rynkowym, chętnie pozyskiwanym przez firmy m.in. na potrzeby rozsyłania ofert reklamowych. Ustawa o ochronie danych osobowych co do zasady nie zabrania handlu nimi, jednak, aby takie działanie było zgodne z prawem, osoba, której dotyczą, musi o tym wiedzieć i godzić się na ich sprzedaż. Ustawa nie wymaga, aby była to zgoda pisemna, zatem wystarczy ustna. Dla celów dowodowych lepiej jednak, by była ona wyrażona na piśmie. Przy udzielaniu zgody najważniejsze jest, aby być świadomym, na co się godzimy, tzn. komu, w jakim celu i w jakim zakresie udostępniamy swoje dane osobowe oraz co dalej się z nimi stanie.
Osoba składająca oświadczenie powinna mieć również zagwarantowaną opcjonalność, to znaczy możliwość wyrażenia zgody na określone działania albo jej niewyrażenia. Dodatkowo zgoda na przetwarzanie danych osobowych powinna mieć taką formę, by można ją było odróżnić od innych oświadczeń, zaś z jej treści powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane będą przetwarzane.
Spełnienie obowiązku informacyjnego pozwala osobie, której dane dotyczą, skorzystać z przysługujących jej ustawowych praw: może np. zażądać ich usunięcia albo zaprzestania przetwarzania.
Administrator danych osobowych może natomiast pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres wyłącznie w celu uniknięcia ponownego wykorzystania ich w celach objętych sprzeciwem.
Jeśli chcemy cofnąć zgodę na przetwarzanie naszych danych, to informację tę musimy przekazać do każdego ich administratora oddzielnie.
Administrator danych, któremu udostępniliśmy i wyrazilismy zgodę na to, by mógł przekazać je innym firmom, nie jest bowiem zobligowany do poinformowania wszystkich podmiotów, którym je udostępnił, o wycofaniu przez nas zgody na ich przetwarzanie.
OPINIA EKSPERTA
Każda osoba, której dane są przekazywane innym podmiotom za jej zgodą, powinna zostać poinformowana m.in. o tym, komu, w jakim celu, w jakim zakresie mają być one przekazywane, by w sposób świadomy móc wyrazić zgodę na takie przetwarzanie dotyczących jej danych. Z kolei podmiot, który pozyska dane, zaraz po ich zebraniu również powinien (zgodnie z art. 25 ustawy o ochronie danych osobowych) dopełnić obowiązku informacyjnego, podając m.in.: swoją nazwę, adres, źródło pozyskania naszych danych, ich zakres oraz cel, w którym zamierza je wykorzystywać. Powinien również wskazać przysługujące nam prawa. Podstawowe jest prawo do ochrony danych. Zapewnienie go wymaga przynajmniej, aby osoba zainteresowana mogła po uzyskaniu informacji o zebraniu jej danych od innego podmiotu sprzeciwić się dalszemu przetwarzaniu. W przeciwnym razie przekazanie danych jakiemukolwiek podmiotowi ograniczałoby na przyszłość ochronę danych osobowych i prawo do tej ochrony.
Taki pogląd wyraża się również w judykaturze. Przykładowo, w jednym ze swoich wyroków Naczelny Sąd Administracyjny uznał, że jedna firma, kupując dane osobowe od innej, musi o tym niezwłocznie poinformować osoby, których dotyczy transakcja. Nie wolno też wysyłać jednocześnie ofert marketingowych, gdyż dalsze korzystanie z takich danych zależy od zainteresowanych, którzy mogą zgłosić sprzeciw lub skorzystać z innych form kontroli.
Firmy, które nie dopełniają tych obowiązków, naruszają przepisy ustawy o ochronie danych osobowych, za co przewidziana jest odpowiedzialność karna. Kto np. przetwarza w zbiorze dane osobowe, do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Z kolei ten, kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z przysługujących jej praw, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. O zastosowaniu i wymiarze kary decyduje jednak sąd.
Podstawa prawna
Art. 23–25, art. 32, art. 49 ust. 1, art. 54 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922). Wyrok Naczelnego Sądu Administracyjnego z 13 lipca 2004 r. (sygn. akt OSK 507/04). Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 22 stycznia 2004 r. (sygn. akt II Sa 2665/02).