Nie wolno przetwarzać nabytych danych, np. wysyłając ulotki reklamowe, bez zgody zainteresowanych - zawyrokował Wojewódzki Sąd Administracyjny w Warszawie
Po skontrolowaniu spółki Somerw, zajmującej się znakowaniem samochodów osobowych w celu zabezpieczania ich przed kradzieżą, główny inspektor ochrony danych osobowych stwierdził, że Somerw nabył bazę danych klientów od krakowskiej firmy COIT, która zajmuje się informacją telefoniczną i internetową. Sama transakcja była legalna, lecz - zdaniem inspektora - Somerw nie dopełnił obowiązku poinformowania zainteresowanych o przejęciu ich danych osobowych. Informacja, którą wysłał, była szczątkowa i w dodatku razem z nią Somerw przesłał swoje ulotki marketingowe. Inspektor stwierdził, że Somerw nie miał prawa do przetwarzania danych w celach marketingowych i nakazał spółce prawidłowe powiadomienie klientów oraz zaprzestanie przesyłania ulotek.
Somerw odwołał się do sądu. Według niego GIODO dokonał błędnej wykładni przepisu - spółka poinformowała o kupieniu bazy danych od COIT i nie musiała, wbrew twierdzeniu GIODO, wymieniać szczegółowej nazwy sprzedawcy (Całodobowa Ogólnopolska Informacja Telefoniczna) ani jego adresu. Kto zgodził się na przetwarzanie jego danych przez COIT, powinien wiedzieć, z kim zawarł umowę. Poza tym Somerw nie zbierał danych, lecz zostały mu one przekazane, a w takim razie nie ciążył na nim obowiązek informacyjny.
- Przekazanie nie jest zbieraniem. Jeśli zbieram jabłka w sadzie, to nie znaczy, że je od kogoś otrzymuję - stwierdził obrazowo mec. Krzysztof Gąsiorowski, pełnomocnik firmy.
- Proszę nie stosować wykładni literalnej. Jeśli zbieram antyki, to zazwyczaj je od kogoś kupuję - odparowała sędzia Małgorzata Jaśkowska oddalając skargę Somerwu.
Według ustawy o ochronie danych osobowych, przetwarzanie danych to zarówno ich zbieranie, jak i udostępnianie. Udostępnia dane ten, kto je przekazuje, a kto je uzyskuje - ten zbiera. Zebranych ani udostępnianych danych nie wolno zatem wykorzystywać dla celów reklamowych bez zgody osoby, której dotyczą. Istnieje zatem i obowiązek poinformowania klientów o nabyciu ich danych, i uzyskania ich zgody na posługiwanie się nimi. Informacja powinna natomiast zawierać pełną nazwę firmy, która dane sprzedała, i jej adres.
- Spółka może zmieniać nazwy i adresy; zainteresowany powinien wiedzieć, gdzie jej poszukiwać - uzasadniła sędzia Jaśkowska.
Według sądu, kupienie bazy danych osobowych daje nabywcy jedynie prawo do poinformowania zainteresowanych o zakupie. Nie wolno jednocześnie wysyłać ofert ani posługiwać się danymi w jakikolwiek inny sposób.
- Osoba, której dane figurują w bazie, musi mieć możliwość i czas na zaprotestowanie przeciw posługiwaniu się nimi przez kogoś innego. W ten sposób nabywanie danych wiąże się z dużym ryzykiem gospodarczym, ale ustawa o ich ochronie została stworzona dla konsumentów, a nie dla firm - podsumowała sędzia Jaśkowska.
Kto przetwarza dane osobowe, mimo że nie jest do tego uprawniony, może zostać ukarany grzywną lub więzieniem do 2 lat. Każda osoba, której dotyczą dane, ma prawo zażądać zaprzestania ich przetwarzania, a gdy żądanie nie odniesie sukcesu, zwrócić się do głównego inspektora ochrony danych osobowych. Inspektor może (oprócz zastosowania arsenału innych środków), zwrócić się do prokuratury z zawiadomieniem o popełnieniu przestępstwa przez administratora danych.
(JBR)
Dołącz do nas na Facebooku!
Publikujemy najciekawsze artykuły, wydarzenia i konkursy. Jesteśmy tam gdzie nasi czytelnicy!
Dołącz do nas na X!
Codziennie informujemy o ciekawostkach i aktualnych wydarzeniach.
Kontakt z redakcją
Byłeś świadkiem ważnego zdarzenia? Widziałeś coś interesującego? Zrobiłeś ciekawe zdjęcie lub wideo?