Przekazywanie danych klientów firmom bez ich zgody

Przetwarzanie danych osobowych zgodnie z prawem

Z opisu wynika, że jako przedsiębiorca chce Pan:

1. zbierać dane osobowe potencjalnych klientów,

2. posiadać zebrane dane w swojej bazie danych,

3. przekazać zebrane dane osobowe podmiotom i osobom trzecim.

Pana działania to nic innego jak przetwarzanie danych osobowych. Pan zaś jest administratorem danych osobowych. Z tego tytułu ciążą na Panu określone obowiązki. Podstawowym obowiązkiem jest przetwarzanie danych osobowych zgonie z prawem.

Termin „przetwarzanie” oznacza szereg różnych operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub ręczny. Przetwarzanie danych osobowych to „operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie” (artykuł 4 pkt 2 RODO).

Jak widać, samo zbieranie danych osobowych jest ich przetwarzaniem.

Zbierane przez Pana informacje stanowią niewątpliwie dane osobowe, bowiem umożliwiają one zidentyfikowanie danej osoby.

Profilowanie - automatyzowana forma przetwarzania danych osobowych

Można uznać, że celem Pana działania jest profilowanie. A „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

Każdy, kto ma zamiar zbierać i przekazywać dane osobowe (a więc przetwarzać je), musi wiedzieć o konieczności uzyskiwania zgody na przetwarzanie danych osobowych. Zgoda na przetwarzanie danych osobowych musi być dobrowolna, konkretna, świadoma i jednoznaczna – jest ona bowiem jedną z podstaw zgodnego z prawem przetwarzania danych osobowych wymienionych.

Działalność związana z przetwarzaniem danych osobowych

Rozpoczynając działalność, która wiąże się z przetwarzaniem danych osobowych, Pan jako administrator powinien zdawać sobie sprawę, że zgoda danej osoby może być właściwą, zgodną z prawem podstawą do przetwarzania, gdy osobie, której dane dotyczą, zapewnia się kontrolę oraz rzeczywistą możliwość wyboru w odniesieniu do przyjęcia lub odrzucenia zaoferowanych warunków lub odrzucenia ich bez niekorzystnych konsekwencji.

Zgoda uzyskana w pełnej zgodności z RODO jest narzędziem zapewniającym osobom, których dane dotyczą, kontrolę nad tym, czy dotyczące ich dane osobowe będą przetwarzane. W braku zgodności zgody z RODO kontrola ze strony osoby, której dane dotyczą, staje się złudna, a zgoda będzie nieważną podstawą przetwarzania, co spowoduje niezgodność z prawem czynności przetwarzania. A to ma swoje ujemne konsekwencje.

Obowiązki administratora danych osobowych

Rozporządzenie RODO wymaga, by w przypadku, gdy dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podał jej m.in. informacje o:

1. Danych kontaktowych ADO oraz Inspektora Ochrony Danych.

2. Przepisach prawach warunkujących przetwarzanie danych (jeśli ich przetwarzanie wynika z tych przepisów).

3. Podstawie prawnej uzasadniającej  interes ADO lub strony trzeciej (jeśli przetwarzanie danych z niej wynika).

4. Odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją.

5. Prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

6. Zamiarze przekazywania danych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony.

7. Okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu.

8. Prawie do żądania od ADO dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.

9. Prawie wniesienia skargi do organu nadzorczego (PUODO).

10. Zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Reasumując:

1. Nie ulega wątpliwości, że konkretną zgodę można uzyskać wyłącznie wówczas, gdy osoby, których dane dotyczą, zostaną konkretnie poinformowane o zamierzonych celach wykorzystywania danych, które ich dotyczą.

2. Brak poinformowania osoby o zamiarze przetwarzania jej danych osobowych oraz brak wskazania celów przetwarzania pozwala na uznanie, że zgoda nie jest konkretna i przetwarzanie jest niezgodne z prawem.

Wskazane powyżej działania: poinformowanie danej osoby o zamiarze przetwarzania jej danych osobowych oraz uzyskanie jej zgody na przetwarzanie jest konieczne dla legalności takiego przetwarzania.