RODO: Kontrole PUODO u brokerów danych

24 stycznia 2019 roku Prezes Urzędu Ochrony Danych Osobowych opublikował „Roczny plan kontroli sektorowych na 2019 rok”. Kontrole przeprowadzane przez pracowników UODO będą miały na celu weryfikację zgodności przetwarzania danych osobowych z przepisami ogólnego rozporządzenia o ochronie danych osobowych („RODO”), które zaczęło obowiązywać z dniem 25 maja 2018 roku. Weryfikacja prawidłowości przetwarzania danych osobowych prowadzona przez UODO obejmie m.in. brokerów danych w zakresie podstaw prawnych przetwarzania danych.

Działalność brokerów danych

Brokerzy danych to podmioty zajmujące się gromadzeniem informacji m.in. o konsumentach w celu sprzedaży ich danych osobowych innym podmiotom. Brokerzy danych pozyskują informacje głównie ze źródeł dostępnych publicznie takich jak rejestry publiczne, a także z portali społecznościowych, czy za pośrednictwem formularzy internetowych. Ponadto, brokerzy danych często wymieniają się informacjami między sobą. Znaczna część brokerów danych koncentruje się na marketingu, sprzedając tzw. listy marketingowe firmom bądź podmiotom prowadzącym działalność marketingową. W tym celu, brokerzy danych zbierają informacje o osobach, a następnie klasyfikują osoby do określonych kategorii na podstawie szeregu kryteriów takich jak m.in. wiek, pochodzenie, zainteresowania, poziom wykształcenia, wysokość dochodów, stan zdrowia itp.

Takie profilowanie ma na celu lepsze dostosowanie oferty do potrzeb konkretnego konsumenta i uzyskanie większej efektywności w promowaniu produktów. Poza sprzedażą list marketingowych, brokerzy danych wykorzystują dane osobowe udostępniając wyszukiwarki internetowe osób, czy świadcząc usługi mające na celu weryfikację tożsamości, bądź wykrywanie potencjalnych oszustw. Działalność brokerów niesie ze sobą istotne zagrożenia dla bezpieczeństwa danych osobowych. W związku z tym niezwykle istotne jest zapewnienie odpowiedniego poziomu ochrony tych danych.

Jakub Łabuz, Radca prawny, Managing Associate, Deloitte Legal

Uzasadniony interes administratora czy zgoda podmiotu danych?

Niezależnie od źródła pochodzenia danych osobowych tj. nawet w sytuacji, gdy dane osobowe pozyskiwane są z publicznie dostępnych źródeł, aby zapewnić zgodność przetwarzania danych osobowych z przepisami dotyczącymi ochrony danych osobowych, w pierwszej kolejności niezbędne będzie oparcie działań o jedną z podstaw prawnych określonych w RODO. Oparcie przetwarzania danych o podstawę prawną określoną w RODO oznacza, że w danym przypadku zachodzi jedna z okoliczności uzasadniających przetwarzanie danych osobowych wymienionych w treści Rozporządzenia. Taką podstawą może być m.in. wykonywanie przez administratora obowiązku nałożonego przepisami prawa, realizacja umowy z osobą, której dane dotyczą, a także uprzednia zgoda osoby, której dane dotyczą, jak również działanie administratora w ramach uzasadnionego prawnie interesu. Ostania z wymienionych podstaw tj. uzasadniony interes administratora jest najmniej jednoznaczna i co za tym idzie jej wykorzystanie może być jak wskazuje Brytyjski Organ nadzoru ICO najbardziej „elastyczne”. W realiach działalności brokerów danych osobowych w większości sytuacji jeżeli broker nie zapewni sobie uprzedniej zgody danej osoby na przetwarzanie jej danych, to właśnie w tej podstawie prawnej będzie on upatrywał uzasadnienia dla podejmowanych przez siebie działań.

Nie oznacza to jednak, że jakakolwiek operacja przetwarzania danych osobowych może realizować prawnie uzasadniony interes. Oparcie się na tej podstawie prawnej wymaga przeprowadzenia minimum trzystopniowego testu. Po pierwsze, administrator musi wykazać, że interes, który realizuje jest rzeczywisty i zgodny z prawem. Następnie, należy wykazać, że przetwarzanie danych osobowych jest konieczne do jego realizacji. Ostatnim krokiem jest dokonanie tzw. testu równowagi, który wykaże, że przetwarzanie danych osobowych nie narusza nadrzędnych wobec tego interesu praw, wolności lub interesów osób fizycznych. Nie w każdym przypadku skorzystanie z tej podstawy prawnej będzie w związku z tym możliwe.

Monika Skocz, Radca prawny, Senior Managing Associate

W kontekście działalności brokerów danych osobowych na podstawie prawnie uzasadnionego interesu wypowiedziała się już Grupa Robocza Art. 29 (obecnie organ ten został zastąpiony przez Europejską Radę Ochrony Danych) w Opinii 06/2014 w sprawie pojęcia prawnie uzasadnionych interesów administratora danych. W tejże opinii, Grupa Robocza Art. 29 stanęła na stanowisku, że data-brokering nie może opierać się na prawnie uzasadnionym interesie administratora, a przetwarzanie danych osobowych przez te podmioty powinno być dokonywane za zgodą podmiotów danych.

Grupa Robocza Art. 29 odniosła się do kwestii brokerów danych osobowych również w Wytycznych w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania, które często są powiązane z działalnością brokerów danych wskazując że „administratorom byłoby trudno uzasadnić, że inwazyjne profilowanie i stosowanie praktyk pozwalających śledzić daną osobę w celach marketingowych lub reklamowych, na przykład praktyk polegających na śledzeniu aktywności danej osoby za pośrednictwem różnych stron internetowych, w różnych lokalizacjach, przy korzystaniu z różnych urządzeń i usług lub za pośrednictwem brokerów informacji, było zgodne z prawem z uwagi na ich uzasadniony interes”.

W świetle powyższych stanowisk, opieranie się na uzasadnionym interesie jako podstawie przetwarzania przez brokerów danych osobowych może być ryzykowne i dlatego wymaga odpowiedniego uzasadnienia. W braku takiego uzasadnienia podstawą przetwarzania danych przez brokerów danych osobowych powinna być uprzednia zgoda osób, których przetwarzanie dotyczy.

W przypadku pozyskiwania danych osobowych przez brokerów danych, zgoda na przetwarzanie danych osobowych powinna wskazywać jako cel przetwarzania danych m.in. udostępnianie danych podmiotom trzecim ze wskazaniem odbiorców oraz – gdy ma to zastosowanie – profilowanie. Wreszcie zgoda powinna być możliwa do wycofania w każdym czasie. Broker danych powinien zatem zapewnić, żeby w przypadku wycofania zgody przez osobę, której dane dotyczą, również klienci, którzy pozyskali od niego bazy danych, otrzymali o tym informację, tak aby mogli niezwłocznie zaprzestać przetwarzać dane tej osoby.

Grzegorz Olszewski, Radca prawny, Senior Associate, Deloitte Legal

Kary administracyjne

Za nieprzestrzeganie przepisów rozporządzenia grożą wysokie kary administracyjne. W sytuacji, gdy kontrola wykaże nieprawidłowości w przetwarzaniu danych osobowych, Prezes Urzędu Ochrony Danych może nałożyć karę nawet do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.