Udostępnianie danych osobowych w celach marketingowych

Dzisiaj chciałabym się podzielić, kolejny już raz, refleksją  na temat udostępniania danych osobowych w celach marketingowych i poruszyć dla praktyków ochrony danych rzeczy oczywiste, a dla innych pewnie abstrakcyjne.

Udostępnianie  danych  w celach marketingowych przez jednego administarotra innym administratorom skutkuje tym, że określone dane osobowe od jednego administratora są przekazywane do innego, który wykorzystuje dane do własnych celów marketingowych. W literaturze podkreśla się, że udostępnianie obejmuje swoim zakresem nie tylko fizyczne przekazanie danych innemu podmiotowi, lecz również zapewnienie mu dostępu do treści danych, bez elementu fizycznego ich przekazywania.

W praktyce obrotu gospodarczego udostępnianie danych osobowych najczęściej odbywa się właśnie w celach marketingowych i nierozerwalnie z tą działalnością jest związane. Ilość działań marketingowych i specyfika tych działań zwłaszcza w internecie jak wiemy jest bardzo różnorodna i o różnym też stopniu skomplikowania. Ma to oczywiście wpływ na ocenę dopuszczalności udostępniania danych.

W niniejszym artykule chciałbym podzielić się kilkoma ogólnymi refleksjami na temat podejścia administratorów do udostępniania danych w celach marketingowych bez wnikania w złożone stany faktyczne tego udostępniania w poszczególnych działalniach marketingowych.

Z moich obserwacji  wynika, iż dane osobowe, jeśli chodzi o  udostępnianie, często traktowane są jak przysłowiowa marchewka. Marchewkę kupujemy prawie bez zastanowienia, nie analizujemy jakoś specjalnie czy wybrać tego czy innego dostawcę, nie badamy wnikliwie źródeł pochodzenia marchewki czy ewentualnego nabycia marchewki wadliwej. Dość często podobne podejście można zaobserwować do udostępniania (pozyskiwania) danych osobowych w celach marketingowych.

Tymczasem udostępnianie danych osobowych a z drugiej odpowiadające mu pozyskiwanie, powinno być traktowane adekwatnie do ryzyk, którymi takie operacje na danych są obciążone. Jak wiemy ryzyka wynikające choćby z sankcji przewidzainych w RODO nie są małe.

Podejście do udostępniania danych osobowych jak do przysłowiowej marchewki jest w mojej ocenie bardzo ryzykowne, a nie jest to niestety, jak obserwuję, jakiś marginalny problem.

Spójrzmy na przykład na podejście do nabywania innego bardzo popularnego dobra tj. pojazdu mechanicznego. Każdy, kto kupuje taki pojazd z reguły zanim go kupi sporo się zastanawia i analizuje, a gdy już znajdzie jakiś konkretny  to się zaczyna prawdziwe badanie, sprawdzanie, dociekanie. Ustalamy więc źródła pochodzenia pojazdu, stan techniczny, stan prawny, specyficzne kwestie podatkowe, dokumenty, numery VIN i inne.

Bo wiadomo, jeśli kupimy auto obciążone wadą prawną (z kradzieży) albo wadą fizyczną (z wypadku) czeka nas wiele kłopotów oraz wymiernych szkód finansowych.

Pamiętajmy, że z udostępnianiem danych osobowych może być tak samo.

Jeśli w celu prowadzenia marketingu telefonicznego pozyskamy dane podmiotów, które na taki marketing zgody nie wyraziły (pochodzą jakby z kradzieży), to niedopuszczanlne w świetle prawa będzie wykorzystywanie  danych w tych celach. To jednak nie koniec, bo niezadowolony podmiot danych może wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych, może też na drodze cywilnej dochodzić odszkodowania z powodu naruszenia swoich praw. Nabywcę, ale i zbywcę może czekać wiele kłopotów.

W przypadku kupna samochodu każdy chce mieć umowę kupna-sprzedaży samochodu, w której będzie określone, kto sprzedaje, kto kupuje, co jest przedmiotem sprzedaży, jakie są prawa i obowiązki stron, oświadczenia stron o stanie prawnym i techcznicznym pojazdu, odpowiedzialność za wady prawne oraz fizyczne.

A jak jest w przypadku nabywania danych osobowych. Niestety w tych przypadkach nie dostrzegam aż takiej czujności, zapobiegliwości czy świadomości jak przy nabywaniu pojazdów mechanicznych. Pamiętajmy przy tym, że do udostępniania danych osobowych w celach marketingowych  dochodzi pomiędzy profesjonalistami tj. podmiotami prowadzącymi działalność gospodarczą lub zawodową, którzy są zainteresowani pozyskiwaniem  baz danych osobowych (tzw. leady) w celach marketingowych.

Dlaczego jest to aż tak ważne, dlaczego tak sprawdzać i analizować okoliczności udostępniania danych, dlaczego zawierać odpowiednie umowy. Udostępnianie danych, jak i inne operacje na danych osobowych jest przecież dopuszczalne, ale o ile jest zgodne z wymaganiami RODO. Udostępnianie danych jest o tyle trudne, że nie zostało określone w przepisach RODO jak na przykład powierzenie danych, z którym często jest mylone.

Przepisy RODO nie zawierają odrębnych zasad dla udostępniania danych. Zainteresowane podmioty powinny więc dokonać analizy jego dopuszczalności z uwzględnieniem ogólnych zasad przetwarzania danych, określonych w art. 6 i 9 RODO a szczegóły określić we wzajemnej umowie, na podstawie której do takiego udostępnienia dochodzi.

Zachowując czujność i stosując się do powyższych wskazówek można zapobiec ryzykom naruszenia zasad przetwarzania danych i innych wymagań RODO związanych z udostępnianiem danych, a przede wszystkim ustrzec się przed karami finansowymi, które w przypadku niezgodnego z prawem udostępniania mogą być bardzo dotkliwe.

Tymczasem wiele operacji udostępniania danych pozostawia do życzenia. Inna sprawa, że RODO nie daje  wskazówek, mało jest oficjalnych wytycznych czy  fachowej literatury w temacie udostępniania, które coby nie mówić jest jednym z trudniejszych zagadnień w prawie ochrony danych osobowych.

 

 

Kazus Policji cd.

Celem ostatniego artykułu na blogu,  na temat udostępniania danych osobowych było wskazanie na pewne sytuacje, gdy różne podmioty są zobowiązane do udostępnienia danych osobowych, jeśli jest ku temu odpowiednia podstawa prawna.

Podstawą dla udostępniania danych osobowych Policji są przepisy ustawy o Policji i przepisy wykonawcze. Oznacza to, że Policja uprawniona jest do pozyskiwania i przetwarzania danych w związku z prowadzonymi czynnościami a podmioty, do których zwraca się o udostępnienie takich danych powinny dane udostępnić.

Na tle jednak tego artykułu wywiązała się na blogu dyskusja o przetwarzaniu  danych osobowych przez Policję przy wykonywaniu przez nią czynności operacyjno-rozpoznawczych, dochodzeniowo- -śledczych i administracyjno-porządkowych. W celu realizacji tych zadań Policja może przetwarzać dane osobowe w rozumieniu ustawy o ochronie danych osobowych również bez wiedzy i zgody osoby, której dane dotyczą.

Czy to oznacza, że przepisy o ochronie danych osobowych Policji nie dotyczą.

Przepisy ustawy o Policji dają jej umocowanie do przetwarzania danych osobowych ale także nakładają na funkcjonariuszy Policji obowiązek respektowania godności ludzkiej i ochrony praw człowieka. Przepis ten stanowi rozwinięcie ogólnej normy konstytucyjnej, zgodnie z którą godność człowieka stanowiąca źródło jego wolności i praw jest nienaruszalna, a jej poszanowanie i ochrona jest obowiązkiem władz publicznych.

Okazuje się jednak, że przetwarzanie danych podczas wykonywania czynności przez policję nie zawsze zgodne jest z zasadami konstytucji czy nakazami prawa. Dotyczy to na przykład sytuacji, gdy osoby składające zawiadomienia o popełnieniu przestępstwa w tym samym czasie, w tym samym miejscu znajdują się w warunkach, które nie zapewniają poszanowania wymienionych wyżej praw.

Przykładem są sytuacje, w których ramię w ramię jedna osoba wyjaśnia okoliczności kradzieży samochodu a inna szczegóły przemocy w rodzinie nie mogą mieć miejsca. Innym przykładem jest sytuacja, gdy funkcjonariusze Policji podczas wykonywania czynności służbowych w celu ustalenia tożsamości osoby legitymowanej głośno wymieniaj dane osobowe osoby legitymowanej, co powoduje, i  osoby postronne przebywające w pobliżu mają możliwość zapoznania si z tymi danymi.

 Prawo do przetwarzania danych osobowych przyznane podmiotom przez ustawy nie oznacza, że w zakresie respektowania prawa osób, których dane dotyczą istnieją dla tych podmiotów wyłączenia.

Wszystkie podmioty uprawnione do przetwarzania danych osobowych mają obowiązek przetwarzania tych danych z poszanowaniem praw człowieka tj. godności ludzkiej oraz prawa do prywatności oraz chronić dane o osobie przed nieuprawnionym dostępem osób nieupoważnionych.

Na koniec warto wspomnieć, że GIODO oficjalnie występował do Komendanta Głównego Policji sygnalizując mu  naruszenia w wykonywaniu czynności przez funkcjonariuszy Policji w zakresie wyżej opisanym.

Udostępnianie danych osobowych Policji

Udostępnianie danych osobowych jest instytucją, której stosowanie przysparza niemało trudności. Udostępnianie to rodzaj przetwarzania danych osobowych i jako czynność przetwarzania musi być zgodna z przepisami o ochronie danych osobowych.

Dla zgodności przetwarzania a więc również udostępniania danych osobowych niezbędna jest podstawa prawna. Ustawa o ochronie danych osobowych wymienia podstawy przetwarzania dla danych zwykłych oraz danych wrażliwych.

W praktyce bywa często, że do różnych podmiotów tak publicznych jak i prywatnych zwraca się Policja o udostępnienie jej danych osobowych np. do Spółdzielni mieszkaniowej o udostępnienie danych osobowych członków Spółdzielni, do firmy prywatnej o udostępnienie danych osobowych pracownika firmy.

Jak wiadomo spółdzielnia mieszkaniowa jest administratorem danych osobowych swoich członków, tak samo firma jako pracodawca jest administratorem danych osobowych swoich pracowników.

Oba podmioty tak spółdzielnia jak i firma prywatna obowiązane są do zapewnienia ochrony przetwarzanych danych osobowych w szczególności zabezpieczenia danych przed ich udostępnianiem osobom nieupoważnionym.

Czy dane, których żąda Policja powinny być jej udostępnione i jak prawidłowo powinny zachować się podmioty, do których organ ścigania zwraca się z żądaniem udostępnienia określonych danych.

Przetwarzanie a więc również udostępnianie danych osobowych jest dopuszczalne min. w przypadku, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisy prawa. Czy istnieje więc przepis, z którego wynika obowiązek udostępniania danych osobowych Policji.

Policja na podstawie ustawy o Policji może pobierać, przetwarzać i wykorzystywać w celach wykrywczych i identyfikacyjnych informacje, w tym dane osobowe o:

 osobach podejrzanych o popełnienie przestępstw ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych przez ustawę jako przestępstwa ścigane z oskarżenia publicznego, osobach o nieustalonej tożsamości lub usiłujących ukryć swą tożsamość oraz o osobach poszukiwanych, także bez ich wiedzy i zgody, a w szczególności dane wrażliwe.

Przetwarzanie danych osobowych przez policję realizowane  zgodnie z ustawą o Policji oraz wydanym na jej podstawie rozporządzeniem, znajduje  oparcie także w przepisach ustawy o ochronie danych osobowych.  Jak zostało to napisane na wstępie przepisy ustawy o ochronie danych osobowych dopuszczają przetwarzanie danych osobowych w sytuacji, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.