W obecnych czasach przedsiębiorcom nie zawsze opłaca się samodzielnie tworzyć bazy danych osobowych. Często więc korzystają z dostępnych na rynku ofert sprzedaży baz danych osobowych. Oczywiście w tym miejscu trzeba zadać sobie pytanie, czy sprzedaż baz danych osobowych w ogóle jest legalna i dopuszczalna w Polsce. Wbrew pozorom odpowiedź na powyższe pytanie wcale nie jest jednoznaczna. Zależy bowiem czy osoby, których dane znajdują się w bazie, wyraziły zgodę na ich przetwarzanie, czy wyraziły zgodę na ich sprzedaż itp.
Ale zacznijmy od początku. Za dane osobowe uznaje się wszystkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (art. 6 ustawy o ochronie danych osobowych1). Dzięki sieci internetowej coraz częściej mówi się o nowej formie danych osobowych – tzw. danych cyfrowych. Choć nie jest to jednoznacznie określone, GIODO uważa za dane osobowe np. adresy e-mail. Wstrzymywałabym się jednak od uznania, że każdy adres e-mail jest daną osobową w rozumieniu ustawy. Im ogólniejszy adres, tym mniejsze prawdopodobieństwo uznania go za daną osobową. Przykładem może być biuro@nazwafirmyXYZ.com. Trudno wskazać tutaj tożsamość osoby kryjącej się pod danym adresem. Jeśli więc baza, którą zamierzamy kupić, będzie się składała z adresów e-mail, które to adresy nie będą – nawet w sposób pośredni – wskazywały na tożsamość osób, to nie możemy mówić w tym przypadku o bazie danych osobowych.
W większości jednak przypadków bazy danych zawierają zarówno dane techniczno-organizacyjne (np. adres firmy, telefon itp.), jak i dane kontaktowe osób fizycznych (np. rzecznika prasowego firmy, wymienionego z imienia i nazwiska, adres e-mail również składający się z imienia i nazwiska, telefon, miejsce urzędowania itp.). Wtedy faktycznie będziemy mogli powiedzieć, że w takiej bazie znajdują się dane osobowe.
Jakie są tego konsekwencje? Przede wszystkim administrator takiej bazy (podmiot, od którego chcemy ją zakupić) powinien spełniać co najmniej jedną z przesłanek, które umożliwiają przetwarzanie tego typu danych. Przesłanki te wymienione są w art. 23 ust. 1 ustawy o ochronie danych osobowych. Obalmy mity – nie zawsze na przetwarzanie danych osobowych potrzebna jest zgoda osoby, której dane są przetwarzane. Dane osobowe można przetwarzać również bez zgody osoby zainteresowanej, jeśli:
- jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
- jest to konieczne do realizacji umowy – osoba, której dane dotyczą, jest jej stroną lub jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
- jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
- jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Zatem podmiot pragnący sprzedać dane powinien mieć albo zgodę każdej osoby zainteresowanej, albo wykazać, że przetwarzanie jest dopuszczalne jak w wymienionych wyżej przypadkach.
Załóżmy, że podmiot sprzedający bazę danych posiada zgody lub może się wykazać jedną ze wspomnianych przesłanek. Czy możemy zakupić taką bazę danych osobowych?
Samo nabycie baz danych osobowych nie jest nielegalne, warto jednak pamiętać o kilku aspektach towarzyszących tego działania.
Kupno bazy danych osobowych będzie traktowane jak przetwarzanie danych osobowych. W ustawie bowiem bardzo szeroko definiuje się pojęcie przetwarzania danych, zaś w orzeczeniach sądowych możemy znaleźć stwierdzenia: „nabycie w drodze umowy jest także sposobem uzyskiwania czy wydostawania (danych), co prowadzi do konkluzji, iż zakup bazy jest tożsamy z procesem ich zbierania i pozyskiwania”2.
Uwaga! Nabycie bazy danych osobowych to nie to samo, co outsourcing usług (czyli np. przekazanie naszej bazy danych osobowych do biura rachunkowego, które rozlicza nas i naszych pracowników lub kontrahentów). Takie przekazywanie danych osobowych innemu podmiotowi, który ma dla nas wykonać usługę, bazując nich, jest nazywane w ustawie „powierzeniem przetwarzania danych”. Strony zawierają umowę, na podstawie której odbywa się właśnie owo przetwarzanie danych osobowych przez podmiot zewnętrzny. Nie jest to jednak sprzedaż bazy danych.
Wróćmy do obrotu bazami danych. Z punktu widzenia prawa najprostsza i najbardziej klarowna sytuacja jest taka, w której podmiot sprzedający dane osobowe posiada zgody zarówno na przetwarzanie tych danych, jak i na ich sprzedaż. Zgoda taka może przybrać postać oświadczenia woli, w którym osoba zainteresowana zgadza się na przetwarzanie i sprzedaż swoich danych osobowych innym podmiotom lub osobom trzecim. Jeśli owe podmioty nie będą wymienione z nazwy, przyjmuje się, że zgoda na sprzedaż danych osobowych jest uzależniona od tego, czy dane te będą przetwarzane w takim samym celu, w jakim zostały zebrane.
Możliwe jest również oświadczenie zawierające w swojej treści nazwy podmiotów, którym dane mogą być (lub będą) przekazane. Wówczas przekazanie danych podmiotom innym niż wskazane w oświadczeniu będzie oznaczało wyjście poza uzyskaną zgodę osoby zainteresowanej (tj. osoby, której dane zostały zebrane).
W przypadku posiadania zgody na sprzedaż danych osobowych nie ma konieczności, by podmiot sprzedający bazę takich danych zwracał się do osób zainteresowanych o ponowne wyrażenie zgody. Nawet mimo znacznego upływu czasu od udzielenia takiej zgody nie ma potrzeby, by uzyskiwać ją ponownie. Zgoda może być bowiem w każdym czasie odwołana.
Warto w tym miejscu wskazać, że nabywca bazy danych osobowych powinien wypełnić pewne obowiązki informacyjne. Zgodnie z art. 25 ust. 1 ustawy w przypadku zbierania danych osobowych nie od osoby, której dane dotyczą (czyli np. w przypadku zakupu bazy danych osobowych), administrator danych jest zobowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku;
- celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych;
- źródle danych;
- prawie wglądu do swoich danych oraz ich poprawiania;
- prawie żądania zaprzestania przetwarzania danych osobowych z uwagi na szczególną sytuację lub prawie wniesienia sprzeciwu.
Problematyczna natomiast może okazać się sytuacja, gdy podmiot sprzedający bazy danych nie posiada zgody na sprzedaż. Czy więc taka sprzedaż będzie legalna? Kwestia ta nie została jednoznacznie rozstrzygnięta w doktrynie.
Wyobraźmy sobie, że firma X zbiera dane osobowe w celach marketingowych. Zbieranie takich danych w celu marketingu bezpośredniego własnych produktów lub usług jest legalne na podstawie art. 23 ust. 1 pkt 5 ustawy. Ale czy legalna jest dalsza sprzedaż tych danych osobowych?
Zdaniem niektórych ekspertów przepis art. 26 ustawy o ochronie danych osobowych uniemożliwia sprzedaż bazy danych bez zgody osób, których dane dotyczą. Zgodnie z tym przepisem administrator danych przetwarzający je powinien ze szczególną starannością ochronić interesy osób, których dane dotyczą. W szczególności jest zobowiązany zapewnić, aby dane te były zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami. Dlatego można uznać, że z tej zasady należy wyprowadzić zakaz przetwarzania tych danych dla tego samego celu, lecz przez innego administratora3.
Wydaje się jednak, że możliwa jest też inna argumentacja, tj. uznanie, że dozwolona jest sprzedaż bazy danych osobowych bez zgody osób, których dane dotyczą, a jedynie z późniejszym poinformowaniem tych osób o sprzedaży ich danych osobowych (co stanowi zrealizowanie obowiązku informacyjnego wskazanego w art. 25 ust. 1 ustawy o ochronie danych osobowych).
Wyobraźmy sobie, że nasza firma X zbiera dane osobowe w celu marketingu bezpośredniego. Na mocy ustawy o ochronie danych osobowych firma X, jako administrator, powinna poinformować osobę zainteresowaną o swoim adresie, celu i zakresie przetwarzania danych osobowych itd. Administrator danych osobowych informuje o tym osobę, której dane osobowe są przetwarzane, i w tej sytuacji osoba ta ma prawo do:
- pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację (art. 32 ust. 1 pkt 7);
- wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 ustawy, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych (art. 32 ust. 1 pkt 8).
Wydaje się więc, że wobec brzmienia art. 32 ust. 1 pkt 8 ustawy administrator danych (firma X) może przekazać bazę danych osobowych innemu administratorowi (firmie Y), jeśli zostaną spełnione następujące warunki:
- osoba zainteresowana otrzyma wszystkie informacje wskazane w art. 25 ust. 1 ustawy o ochronie danych osobowych;
- osoba zainteresowana nie wniesie sprzeciwu wobec przekazywania danych;
- nie zostanie zmieniony cel przetwarzania danych osobowych.
Trzeba podkreślić, że zdaniem GIODO firma marketingowa, która kupiła bazę danych od innego podmiotu, powinna powiadomić każdą osobę o tym, że przetwarza jej dane4. GIODO uznał również, że do sprzedaży danych osobowych konieczna jest wyraźna zgoda osoby zainteresowanej5.
Podsumowanie
Kwestie związane z kupnem i sprzedażą baz danych nie są jednoznacznie uregulowane. Nabycie baz danych (w tym baz danych osobowych) nie jest w Polsce zabronione i w obrocie gospodarczym występuje coraz częściej.
Nierozstrzygniętą kwestią jest możliwość sprzedaży bazy danych osobowych (i nabycia jej) w sytuacji, gdy zbywca (ani siłą rzeczy nabywca) nie posiada zgody osoby zainteresowanej na przetwarzanie jej danych osobowych. Wydaje się jednak, że przy spełnieniu odnośnych przesłanek – jak zbieranie danych zgodnie z prawem (przesłanka legalizacyjna), poinformowanie osób zainteresowanych o adresie, celach, odbiorcach danych itp., a także przetwarzanie ich w tym samym celu co zbywca – zbywca nie będzie musiał mieć zgody osoby zainteresowanej na sprzedaż jej danych osobowych. Pogląd ten może jednak wydać się kontrowersyjny.
Najkorzystniejszą – z punktu widzenia prawa – sytuacją jest posiadanie zgody nie tylko na przetwarzanie danych osobowych, ale również na ich sprzedaż.
Monika Brzozowska
Adwokat
Autorka jest partnerem w kancelarii PDB LEGAL Pasieka, Derlikowski, Brzozowska i Partnerzy, specjalistą w dziedzinie ochrony dóbr osobistych i danych osobowych, praw autorskich oraz prawnych aspektów funkcjonowania cyberprzestrzeni. Jest także ekspertem Instytutu Sobieskiego.
Zabezpieczenia 1/2013
Przypisy
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz. U. Nr 133, poz. 883.
- Wyrok NSA z 13 lipca 2004 r., OSK 507/04, CBOSA.
- J. Barta, P. Fajgielski, R. Markiewicz, "Ochrona danych osobowych. Komentarz", LEX nr 106662.
- Odpowiedź na pytanie „Czy firma marketingowa, która kupiła bazę danych osobowych od innego podmiotu, powinna powiadomić każdą osobę o tym, że przetwarza jej dane?”, http://www.giodo.gov.pl/318/id_art/3355/j/pl/ [online].
- Sprawozdanie z działalności Generalnego Inspektora Ochrony Danych Osobowych w roku 2007, s. 45.