Czy dane automatycznie zebrane ze stron internetowych można kupować/sprzedawać? Co na to RODO?

Dane zbierane automatycznie to dane, które powstają podczas wizyty na konkretnej stronie internetowej. Należą do nich: adres IP odwiedzającego, nazwa domeny, typ przeglądarki czy systemu operacyjnego. Takie dane również są danymi osobowymi i podlegają ochronie RODO.

Przetwarzanie danych osobowych

Po co firmy i instytucje zbierają dane osobowe? Aby je przetwarzać. Dopasowywać ofertę handlową, modyfikować strategię komunikacyjną, czy ( w przypadku instytucji) do celów statystycznych.

Przetwarzanie danych osobowych obejmuje:

  • zbieranie, utrwalanie
  • organizowanie, porządkowanie
  • przechowywanie, adaptowanie lub modyfikowanie
  • pobieranie, przeglądanie, wykorzystywanie, przesyłanie
  • łączenie, ograniczanie, usuwanie lub niszczenie.

Jednak, aby przetwarzać dane, administrator danych musi mieć do tego podstawę prawną. Jest nią m. in. :

  • zgoda osoby, której dane są przetwarzane
  • sytuacja, w której przetwarzanie danych jest konieczne do wykonania umowy z osobą, której dane dotyczą
  • sytuacja, w której przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego przez administratora
  • sytuacja, w której przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

Jeszcze większe restrykcje odnoszą się do przetwarzania danych szczególnie wrażliwych ( informacji nt. światopoglądu, seksualności czy zdrowia). Wykazanie przez kontrolę UODO niezgodnego z prawem przetwarzania takich danych może skończyć się poważnymi konsekwencjami.

Czy handel danymi osobowymi jest zabroniony?

Mimo tak drobiazgowych regulacji zasad przetwarzania danych osobowych nigdzie w RODO wprost nie ma zapisanego zakazu handlu danymi osobowymi. Zakazany jest handel naruszający wymienione wyżej zasady, jednak sama operacja nie jest zabroniona.

Holenderski kasus

Pokazuje to sprawa holenderskiego stowarzyszenia tenisowego Royal Dutch Lawn Tennis Association, które sprzedało dane osobowe swoich członków dwóm firmom sponsorskim.

Holenderski organ właściwy do spraw ochrony danych osobowych (Autoriteit Persoonsgegevens) nałożył karę na stowarzyszenie w wysokości 525 000 euro. W decyzji podkreślono że każdy proces przetwarzania danych osobowych musi mieć oparcie w co najmniej jednej z przesłanek wskazanych w art. 6 RODO. Jego zdaniem, sprzedaż danych osobowych bez zgody osób, których dane dotyczą, była w takiej sytuacji niedopuszczalna.

Zatem nie sam fakt sprzedaży danych osobowych był naganny, tylko to, że został on uczyniony bez zgody zainteresowanych.

Polski kazus

W 2020 roku Urząd Ochrony Danych Osobowych zwrócił się do Przewodniczącego Komisji Nadzoru Finansowego (KNF) i Prezesa Związku Banków Polskich (ZBP) o podjęcie działań, mających na celu ukrócenie nielegalnego handlu danymi osobowym klientów banków. W tej sprawie do UODO docierały sygnały, że pracownicy niektórych polskich banków handlowali danymi osobowymi swoich klientów.

Prezes UODO stwierdził, że tego typu handel danymi osobowymi jest niezgodny z prawem, ponieważ tak pozyskane dane mogą być wykorzystywane wbrew woli klientów instytucji finansowych. Wbrew woli, a więc tu również chodzi o zgodę osób, których dane dotyczą.

Podsumowanie

Zatem sama sprzedaż danych osobowych nie jest zabroniona przepisami RODO. Jednak na taką operację zgodę muszą wyrazić osoby, których dane dotyczą.