Portal prowadzi Kancelaria
Babiaczyk Skrocki i Wspólnicy

Obowiązki nabywcy bazy danych osobowych

Bazy danych 02.08.2016

Prowadzenie działalności gospodarczej ściśle wiąże się z korzystaniem z informacji obejmujących dane osobowe klientów. Tworzenie profesjonalnych baz danych ma szczególne znaczenie w kreowaniu działań e-marketingowych. Kluczowa dla skuteczności takich działań nie jest liczba rekordów w posiadanej bazie danych, lecz ich jakość. O jakości bazy danych świadczy nie tylko odpowiednie sprofilowanie kontaktów, ale również warunki prawne, na jakich je pozyskano. Znajomość przepisów prawa w tym zakresie pozwala uniknąć wielu błędów, których negatywne konsekwencje mogą być dotkliwe.

 

Biorąc pod uwagę wymogi prawne towarzyszące możliwości legalnego wykorzystania bazy danych osobowych do celów marketingowych, najbezpieczniejszym sposobem jej pozyskania jest zapewne gromadzenie danych osobowych we własnym zakresie. Daje to pełną wiedzę na temat źródeł danych osobowych oraz zapewnia ich aktualność i legalność pochodzenia. Jednak nie każdy przedsiębiorą ma czas i możliwości niezbędne do zbudowania własnej bazy danych potencjalnych klientów. Stąd w obrocie gospodarczym coraz bardziej popularne jest kupowanie baz danych osobowych. Takie transakcje są oczywiście dopuszczalne prawnie, jednak konieczne jest spełnienie odpowiednich warunków prawnych, z których kilka najważniejszych opisano poniżej.

 

Niezbędne zgody podmiotów danych

Baza danych osobowych jest bezwartościowa, jeżeli osoby których dane zawiera nie wyraziły zgód niezbędnych do zamierzonego korzystania z ich danych osobowych. Stąd kluczowe jest zbieranie przez administratorów danych oświadczeń o zgodzie na przetwarzanie podanych im danych osobowych w stosownym zakresie, poprzez stosowanie odpowiednich klauzul w dokumentacji, na podstawie której administratorzy pozyskują dane. W interesie nabywcy bazy danych leży, aby podmiot sprzedający dane osobowe dysponował oświadczeniami podmiotów danych o zgodzie tak na przetwarzanie tych danych, jak również na ich sprzedaż (przekazanie). Zgodnie ze stanowiskiem GIODO, sprzedaż danych osobowych wymaga wyraźnej zgoda osoby zainteresowanej. Raz udzielona zgoda na przekazanie danych osobowych osobie trzeciej, nie wymaga potwierdzenia przy okazji sprzedaży danych. Nawet jeżeli od wyrażenia takiej zgody upłynęło sporo czasu, nie ma konieczności uzyskiwania jej powtórnie. Taka zgoda może być bowiem w każdej chwili odwołana.

 

Zgoda na przesyłanie informacji handlowej (oferty)

W przypadku tradycyjnej poczty kwestia wysyłki oferty handlowej mieści się wyłącznie w zakresie zagadnień związanych z ochroną danych osobowych. Przesłanie oferty handlowej jest jedną z form przetwarzania danych osobowych. Zgoda na przetwarzanie danych osobowych zwykle obejmuje również przetwarzanie danych do celów marketingowych, czyli również na przesyłanie ofert handlowych. Jeżeli nawet zgoda na przewarzanie danych osobowych nie obejmowała przetwarzania danych do celów marketingowych (wskazany w oświadczeniu o zgodzie zakres przetwarzania danych został zawężony do innych kwestii), to administrator danych może powołać się na przepisy ustawy o ochronie danych osobowych („Ustawa”). Zgodnie z art. 23 ust. 1 pkt 5 Ustawy, administrator danych ma prawo przetwarzać dane osobowe jeżeli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Zgodnie z art. 23 ust. 4 pkt 1 Ustawy za prawnie usprawiedliwiony cel uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych. Jak podkreśla GIODO: „w sytuacji gdy sp. z o.o. miałaby przetwarzać dane osobowe jedynie w celu marketingowym własnych produktów, nie jest konieczne odbieranie na to odrębnej zgody” (decyzja GIODO z 13.6.2005 r., podobnie decyzja GIODO z 31.3.2006 r.; Sprawozdanie GIODO za rok 2007, s. 37–38). Za działania w zakresie marketingu bezpośredniego należy uznać wszelkie działania promujące produkty lub usługi, które skierowane są do podmiotu danych osobowych. Zgodnie ze stanowiskiem GIODO, działaniem takim jest np. przesyłanie kopert z nadrukami reklamowymi (Sprawozdanie GIODO za rok 2003, s. 141).

Sprawa komplikuje się w przypadku przesyłania ofert handlowych przy pomocy środków komunikacji elektronicznej, w szczególności poczty elektronicznej (e-mail). Zgodnie z przepisami ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, zakazane jest wysyłanie niezamówionej informacji handlowej, skierowanej do oznaczonego odbiorcy będącego osobą fizyczną, za pomocą środków komunikacji elektronicznej (w szczególności poczty elektronicznej). Zatem przedsiębiorcy, którzy chcą wysyłać osobom fizycznym informacje handlowe drogą elektroniczną muszą uprzednio uzyskać zgodę danej osoby na ich otrzymanie.

Jeżeli zakupiona baza danych zawiera wyłącznie dane osób, który wyraziły wcześniej zgodę na przesyłanie im informacji handlowych drogą elektroniczną , to nabywca ma prawo takim osobom e-maile z informacją o ofercie handlowej, bez konieczności pytania o zgodę. Jeżeli zaś osoby z bazy danych nie wyraziły zgody na przesyłanie im informacji handlowej drogą elektroniczną, to uzyskanie takiej zgody jest konieczne. Brak takiej zgody przed przesłaniem wiadomości stanowi naruszenie prawa i może być postawą wystąpienia przez ich adresata z roszczeniami cywilnoprawnymi wobec nadawcy. Ponadto, przesyłanie niezamówionej informacji handlowej jest czynem nieuczciwej konkurencji. Dlatego takie działanie przedsiębiorcy może być uznane za praktykę naruszającą zbiorowe interesy konsumentów. Dodatkowo należy wskazać, że w przypadku, gdy choćby część adresatów jest konsumentami, wówczas zastosowanie znajdą również  przepisy ustawy z dnia 23 sierpnia 2007 r. o przeciwdziałaniu nieuczciwym praktykom rynkowym . Zgodnie z jej art. 9 pkt 3 tejże ustawy, nieuczciwą praktyką rynkową jest m.in. agresywna praktyka rynkowa polegająca na uciążliwym i niewywołanym działaniem albo zaniechaniem konsumenta nakłanianiem do nabycia produktów przez telefon, faks, pocztę elektroniczną lub inne środki porozumiewania się na odległość, z wyjątkiem przypadków egzekwowania zobowiązań umownych, w zakresie dozwolonym przez obowiązujące przepisy.

Wielu przedsiębiorców stosuje strategię polegającą na wysyłaniu do potencjalnych klientów e-maili z zapytaniem o możliwość wysłania im właściwej informacji handlowej. Jednak jest to praktyka kontrowersyjna, gdyż może być traktowana jako rozsyłanie spamu, czyli działanie godzące w prywatność potencjalnych odbiorców informacji. Z tego też względu Prezes UOKiK nie zaleca takiego sposobu pozyskiwania zgody od potencjalnych klientów (stanowisko Prezesa UOKIK zamieszczone pod adresem https://uokik.gov.pl/konsument_w_sieci.php#faq967).

 

Wtórny obowiązek informacyjny

Kupując gotową bazę danych nie można zapominać o tzw. wtórnym obowiązku informacyjnym wobec podmiotów danych (osób, których dane wchodzą w skład bazy). Przedsiębiorca, który zakupił bazę danych od innego podmiotu, ma obowiązek powiadomić o tym każdą osobę, której dane zgromadzono w tej bazie, że przetwarza informacje o niej. Przepis art. 25 ust. 1stawy o ochronie danych osobowych stanowi, że w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

1)    adresie swojej siedziby i pełnej nazwie;

2)    celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych;

3)    źródle danych;

4)    prawie dostępu do treści swoich danych oraz ich poprawiania;

5)    uprawnieniach dotyczących żądania zaprzestania przetwarzania danych oraz wniesienia sprzeciwu wobec przetwarzania danych, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

Zakup bazy danych osobowych jest traktowany – w świetle Ustawy – jako przetwarzanie danych osobowych. W orzecznictwie przyjęło się traktować nabycie danych w drodze umowy jako sposób zbierania danych. Wypełnienie obowiązku informacyjnego jest bardzo istotne z punktu widzenia interesów podmiotów danych, gdyż w ten sposób osoba, której dane dotyczą, dowiaduje się w jaki sposób są one wykorzystywane. W konsekwencji, osoba, której dane zostały np. pozyskane przez twórcę bazy danych ze źródeł powszechnie dostępnych (np. rejestrów publicznych), nie zgadza się, żeby dane te były przez taki podmiot wykorzystywane, ma możliwość  skorzystania z przysługujących jej uprawnień poprzez zażądanie usunięcia jej danych osobowych z bazy danych.

 

Obowiązki informacyjne, o których mowa w art. 25 Ustawy są niezależne od kwestii zgody na wysyłanie oferty handlowej. Zarówno w przypadku bazy danych osób, które wyraziły zgodę na wysłanie im oferty handlowej (także podmiotów trzecich) drogą elektroniczną, jak i w przypadku bazy danych osób, które takiej zgody nie udzieliły, na podmiocie nabywającym bazę danych ciąży wtórny obowiązek informacyjny.  Kwestię tę rozstrzygnął Naczelny Sąd Administracyjny w wyroku z dnia 13 lipca 2004 r. (OSK 507/04), stwierdzając, że w przypadku uzyskania bazy danych w drodze umowy cywilnoprawnej, jej nabywcę obciąża obowiązek informacyjny z art. 25 Ustawy przed wysłaniem pierwszej oferty marketingowej. Zgodnie z opinią NSA, poinformowanie klienta o nabyciu bazy danych z jego danymi wraz z przesłaniem mu oferty handlowej, byłoby działaniem spóźnionym.

W przypadku bazy danych osób, które nie wyraziły zgodę na wysłanie im oferty handlowej drogą elektroniczną, mamy do czynienie z dwiema niezależnymi od siebie kwestiami: jedna to wypełnienie obowiązków, o których mowa wyżej; druga dotyczy uzyskania zgody na przesłanie oferty handlowej drogą elektroniczną. W praktyce te dwie kwestie bywają często łączone w ramach jednej korespondencji (najczęściej e-mailowej) poprzedzającej wysłanie oferty handlowej. Jest to praktyka dość kontrowersyjna.

Niewykonanie wtórnego obowiązku informacyjnego podlega odpowiedzialności karnej. Zgodnie z art. 54 Ustawy osoba, która – administrując zbiorem danych – nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

 

Biorąc powyższe pod uwagę warto pamiętać, że kupując bazę danych należy w szczególności zadbać o wgląd w treść zgód i zweryfikować określony w nich zakres korzystania z informacji. Ponadto, trzeba mieć na uwadze, że nabywając bazę danych osobowych stajemy się administratorem danych w niej zgromadzonych, a w konsekwencji ciążą na nas ustawowe obowiązki, w tym wtórny obowiązek informacyjny.