Dane osobowe z zewnętrznych źródeł
W swoim stanowisku CNIL nie ogranicza się wyłącznie do danych pochodzących z sektora publicznego. Te są już objęte regulacjami unijnymi – przede wszystkim Rozporządzeniem w sprawie zarządzania danymi (Data Governance Act), które szczegółowo wskazuje, jakie kategorie danych publicznych podlegają szczególnej ochronie. Dotyczy to m.in. informacji chronionych ze względu na tajemnicę handlową, poufność danych statystycznych, prawa własności intelektualnej osób trzecich czy dane osobowe.
Ale co z danymi, które pochodzą ze źródeł prywatnych – np. zostały pobrane ze strony internetowej lub zakupione od innego podmiotu? Czy fakt, że weszliśmy w ich posiadanie, oznacza, że możemy z nich swobodnie korzystać, choćby w celach badawczych, do trenowania algorytmów AI czy – najczęściej – w działaniach marketingowych? CNIL przypomina: to nie takie proste.
Warunki legalnego wykorzystania danych z zewnętrznych źródeł
Zgodnie z wytycznymi CNIL, podstawowym warunkiem pozyskania i dalszego przetwarzania bazy danych pochodzącej z zewnętrznego źródła jest upewnienie się, że jej utworzenie lub udostępnienie nie było „w oczywisty sposób niezgodne z prawem”. Chodzi tu m.in. o sytuacje, w których dane pochodzą z darknetu albo z nagrań monitoringu, których źródła nie da się zidentyfikować. Innymi słowy – źródło danych musi być znane i sprawdzone, tak aby można było z dużym prawdopodobieństwem wykluczyć, że ich pochodzenie jest nielegalne.
Drugim istotnym warunkiem, na który wskazuje CNIL, jest ocena, czy samo stworzenie lub rozpowszechnianie bazy nie stanowiło czynu zabronionego. Przykładowo: monitoring w przychodni mógł być zainstalowany legalnie, jednak już udostępnianie nagrań z wizerunkami pacjentów może być niezgodne z prawem. CNIL zaleca weryfikację, czy wobec danych nie zapadł wyrok sądowy lub decyzja organu nadzorczego nakazująca ich usunięcie lub zakazująca dalszego przetwarzania – np. z powodu naruszenia praw autorskich lub ochrony danych osobowych.
Trzeci warunek dotyczy udokumentowania legalności pochodzenia danych. Nowy administrator powinien mieć pewność, że dane zostały pierwotnie zebrane zgodnie z prawem – a więc na właściwej podstawie prawnej, w tym, jeśli było to wymagane, za zgodą osób, których dane dotyczą. CNIL zwraca uwagę, że w przypadku niejasności co do źródła – np. gdy na platformie wymiany baz danych pojawiają się nieanonimowe dane geolokalizacyjne tysięcy pracowników – powinno to automatycznie wzbudzić podejrzenia co do legalności ich rozpowszechniania.
Na koniec CNIL podkreśla, że bazy danych pozyskane z zewnętrznych źródeł nie powinny zawierać:
- danych szczególnych kategorii (np. dotyczących zdrowia, przekonań politycznych, orientacji seksualnej), chyba że zostały one przez samą osobę wyraźnie upublicznione;
- danych dotyczących wyroków skazujących i naruszeń prawa, takich jak rejestry osób podejrzanych o popełnienie przestępstw – chyba że przetwarzanie tych danych odbywa się zgodnie z przepisami prawa i przez uprawnione podmioty.
Masz bazę? Masz obowiązki – co dalej po pozyskaniu danych osobowych
Jeśli po przeprowadzeniu analizy nie budzi wątpliwości, że baza danych została pozyskana w sposób zgodny z prawem, to nie oznacza to jeszcze, że możemy z niej swobodnie korzystać. Jako nowy administrator danych osobowych musimy przejść do realizacji obowiązków wynikających z przepisów RODO.
Kluczowa kwestia: samo wejście w posiadanie bazy – niezależnie od tego, czy było odpłatne, czy nie – nie oznacza automatycznie, że nasze przetwarzanie jest legalne. Nawet jeżeli w umowie zakupu znalazły się zapewnienia o zgodności z prawem, to odpowiedzialność za dalsze przetwarzanie spoczywa na nas jako nowym administratorze.
W praktyce oznacza to konieczność:
- zapewnienia odpowiedniej podstawy prawnej przetwarzania danych,
- spełnienia obowiązku informacyjnego wobec osób, których dane znalazły się w naszej bazie.
O tym, że obowiązek informacyjny dotyczy również danych publicznie dostępnych w internecie, przypomniał Prezes UODO w jednej z pierwszych decyzji wydanych na gruncie RODO – nakładając karę finansową na spółkę Bisnode właśnie za brak realizacji tego obowiązku.
Co do zasady, informację należy przekazać najpóźniej w ciągu miesiąca od momentu pozyskania danych. Jeżeli planujemy wykorzystywać dane w celach marketingowych, w większości przypadków konieczne będzie również uzyskanie odrębnej zgody na takie działania.
Odpowiedzialność nie znika z chwilą zakupu – kto naprawdę odpowiada za dane?
W przypadku wykorzystywania baz danych pochodzących z zewnętrznych źródeł najważniejsze jest jedno: to nowy administrator ponosi pełną odpowiedzialność za zgodność przetwarzania z przepisami prawa, w szczególności z RODO. Sam fakt wejścia w posiadanie bazy – nawet legalnie – oznacza przejęcie wszystkich obowiązków związanych z jej dalszym przetwarzaniem.
Dotyczy to zwłaszcza działań marketingowych. To administrator, a nie podmiot, od którego kupił bazę, będzie adresatem skarg np. w przypadku niechcianych telefonów czy e-maili. Organy nadzorcze oraz odbiorcy komunikatów marketingowych nie analizują historii pochodzenia danych – reagują na to, kto aktualnie je wykorzystuje.
Szczególną ostrożność należy zachować, gdy działania marketingowe są zlecane zewnętrznym wykonawcom. W takiej sytuacji kluczowe jest precyzyjne określenie ról stron – kto występuje jako administrator, a kto jako podmiot przetwarzający – oraz odpowiednie uregulowanie tej relacji w umowie powierzenia przetwarzania danych. Przekazanie bazy nie zwalnia z odpowiedzialności – przeciwnie, wymaga jeszcze większej staranności.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Po pozyskaniu bazy danych osobowych w sposób zgodny z prawem, nowy administrator danych powinien w pierwszej kolejności: