Zakup bazy danych – na co zwrócić uwagę 

Dziś jednym z cenniejszych towarów są dane osobowe, które można pozyskać na wiele sposobów. Może to być samodzielne pozyskanie. Przedsiębiorca planuje przetwarzanie, zbiera dane, przechowuje je i zabezpiecza. Proces ten jest w pełni kontrolowany przez przedsiębiorcę, ale jest bardzo mozolny, zgromadzenie własnej bazy danych może trwać latami. Kolejnym sposobem jest skorzystanie z ogólnodostępnych źródeł danych osobowych, takich jak chociażby CEIDG. Dane zawarte w tych bazach mogą okazać się niewystarczające do realizacji założonych celów. Jest też możliwość skorzystania z gotowych baz danych, zgromadzonych przez inne podmioty.  

Przed zakupem bazy danych należy zwrócić uwagę na następujące kwestie. 

Zakres danych osobowych 

Pierwszą kwestią, na którą trzeba zwrócić uwagę jest zakres danych osobowych. Należy odpowiedzieć na pytanie: czy zakupione dane osobowe pozwolą nam na zrealizowanie założonego celu. Jeżeli chcemy wykonać mailing marketingowy musimy mieć przede wszystkim adres e-mail, jeżeli planujemy kontakt sms musimy sprawdzić, czy mamy numery telefonów oraz czy są to numery na które można wysłać sms. 

W związku z zasadą minimalizacji danych osobowych przetwarzane dane osobowe mają być adekwatne do celów przetwarzania. To znaczy, że można przetwarzać tylko takie dane, które są niezbędne do założonego celu przetwarzania. Tym samym nie można kupować danych osobowych na zapas. Do wspominanego powyżej marketingu mailowego wystarczy adres e-mail, zasadnym może okazać się przetwarzanie dodatkowo takich danych jak imię i nazwisko. W tym przypadku danymi nieadekwatnymi będzie chociażby numer PESEL.  

Odpowiedzialność za przetwarzanie 

To osoba przetwarzająca dane osobowe odpowiada za przetwarzanie zgodnie z prawem, dlatego też nabywca bazy danych osobowych musi bardzo ostrożnie podejść do transakcji. Skorzystanie z wadliwej bazy danych może przysporzyć wiele problemów, poniżej przedstawiamy podstawowe zagrożenia: 

  1. Administracyjne kary UODO za niezgodne z przepisami przetwarzanie danych osobowych. 
  1. Odpowiedzialność odszkodowawcza wobec osób, których dane osobowe są przetwarzane w sposób naruszający przepisy o ochronie danych osobowych. 
  1. W zależności od sposobu wykorzystania danych osobowych: kara za kontakt bez zgody z prawa telekomunikacyjnego. 

Najlepszym sposobem weryfikacji jest przeprowadzenie audytu sprzedającego, podczas którego należy sprawdzić następujące okoliczności: czy dane są pozyskane legalnie, czy została uzyskana zgoda na przekazanie danych osobowych, czy została uzyskana zgoda z prawa telekomunikacyjnego, czy pozyskane zgody są aktualne. 

Zgody na przetwarzanie 

Przekazanie danych osobowych musi mieć podstawę, w przypadku sprzedaży będzie to zgoda osób, których dane podlegają transakcji. Odpowiednio uzyskana zgoda jest podstawą do przekazania danych osobowych. Zgoda powinna być jednoznaczna, dobrowolna, konkretna, świadoma. 

Świadomość zgody jest uzależniona między innymi od odpowiedniego spełnienia obowiązku informacyjnego. Przy zbieraniu danych osobowych powinien być spełniony obowiązek informacyjny, zawierający wszystkie informacje wymagane prawem. Oprócz analizy samej treści obowiązku informacyjnego, należy przeanalizować sposób jego przekazania, czy rzeczywiście dotarł do osób, których dane zostały zebrane. 

Oprócz obowiązku informacyjnego należy przeanalizować treść samej zgody, sposób jej sformułowania, stopień szczegółowości. Zgoda powinna umożliwiać udostępnienie danych osobowych nabywcy. Zgoda taka powinna określać konkretny podmiot, któremu dane osobowe zostaną udostępnione. Zbywca może sprzedać dane osobowe, jeżeli osoba, której dane dotyczą wyraziła zgodę na ich udostępnienie nabywcy. 

Jeżeli nabywane dane mają służyć marketingowi telefonicznemu lub mailowemu, to należy uzyskać także zgodę na kontakt z prawa telekomunikacyjnego. 

Posiadane zgody na przetwarzanie muszą być przede wszystkim aktualne. Zbywca musi wykazać, że nie ma w nabywanej bazie danych osoby, która wycofała zgodę na przetwarzanie, która zgłosiła sprzeciw co do przetwarzania. Dobrą praktyką byłoby uzyskanie informacji o zgłoszonych żądaniach osób, które dane dotyczą, gdyż od ich rozstrzygnięcia może zależeć podstawa przetwarzania. 

Podsumowanie

Reasumując do takich transakcji należy podchodzić z dużą ostrożnością. Trzeba dokładnie przeanalizować nabywaną bazę danych osobowych, aby nie narazić się na odpowiedzialność. W szczególności sprawdzić należy: zakres danych osobowych, sposób pozyskania, wypełnianie obowiązku informacyjnego, pozyskanie odpowiednich zgód, przestrzeganie przepisów dotyczących ochrony danych osobowych przez zbywcę.