Pozyskiwanie informacji o klientach, czyli zbieranie o nich danych osobowych może nastąpić, w świetle RODO – albo bezpośrednio od osoby, której te dane dotyczą, albo z innych źródeł. Wspomniane powyżej inne źródła to w znakomitej większości bazy danych osobowych pozyskane (np. zakupione) od innych podmiotów istniejących na rynku.
Czym są bazy danych osobowych?
Baza danych osobowych to zbiór informacji, tzw. leadów, czyli danych o określonych kryteriach. Mogą to być przykładowo dane kontaktowe i identyfikacyjne potencjalnych klientów. Baza taka stanowi podstawowe narzędzie, którym w codziennej pracy posługują się marketingowcy i sprzedawcy.
Baza danych osobowych a cele przetwarzania
Baza danych osobowych, która wykorzystywana jest w jednym określonym celu nie stwarza zbyt wielu wyzwań związanych z wypełnianiem obowiązków zawartych w RODO.
Problematyczną dla administratora, może okazać się sytuacja, gdy dane stanowiące jeden zbiór wykorzystywane są w różnych celach. To znaczy, gdy baza danych osobowych gromadzi dane różnych podmiotów, które wykorzystywane są w różnym celach, a co za tym idzie – przetwarzanie danych osobowych odbywa się na innych podstawach prawnych. Najwięcej problemu sprawiać będzie określenie czasu retencji przechowywania tych danych. Trudno bowiem w przestrzeni jednej bazy zarządzać danymi posiadającymi inne okresy przechowywania.
Pomocnym rozwiązaniem może okazać się podział bazy danych osobowych na podkategorie. Ułatwi to zarządzanie zgromadzonymi danymi i przypisanie do nich odpowiednich kryteriów wykorzystania i retencji.
Sprawdź jak wdrożyć RODO w twojej organizacji
Bazy danych osobowych – obowiązki administratora względem podmiotu danych
Nie każdy podmiot działający na rynku zdaję sobie sprawę z tego, że dokonując np. zakupu bazy danych personalnych, staje się ich administratorem. To z kolei rodzi dla niego szereg obowiązków.
Najważniejszym z nich (obok zapewnienia podstawy prawnej wykorzystania danych z art. 6 RODO) jest spełnienie obowiązku informacyjnego względem podmiotów danych. Mowa tutaj o tak zwanym rozszerzonym obowiązku informacyjnym, który określony został w art. 14 RODO.
Powyższy artykuł wskazuje, że administrator pozyskując dane z innych źródeł, ma obowiązek poinformowania osób, których dane przetwarza o tym fakcie jak najszybciej, nie później jednak niż w terminie miesiąca. Natomiast, jeśli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą, obowiązek informacyjny powinien być spełniony najpóźniej przy pierwszej takiej komunikacji. Jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Odpowiednie zabezpieczenie bazy danych osobowych
Niewątpliwie bardzo ważną kwestią jest zabezpieczenie bazy danych osobowych. Administrator zobowiązany jest do zachowania odpowiednich środków technicznych i organizacyjnych w celu odpowiedniego zabezpieczenia bazy. Zapewnienie bezpieczeństwa baz danych jest złożonym przedsięwzięciem, które wymaga doświadczenia m.in. z zakresu bezpieczeństwa informacji.
Wyzwania jakie stoją przed administratorem w tym zakresie, to oprócz zabezpieczeń stricte technicznych, również zagrożenia wewnętrze. Szacuje się, że zagrożenia ze strony użytkowników wewnętrznych stanowią jedną z częstszych przyczyn naruszeń ochrony danych osobowych i są wynikiem zbyt dużej liczby wydanych dostępów do bazy.
W kontekście korzystania z bazy danych osobowych, pamiętać należy, że przetwarzanie określonych informacji powinno następować zgodnie z zasadą minimalizacji danych. Administratorzy powinni przechowywać w bazach tylko niezbędny do określonego celu zakres danych. Zachowanie obowiązków wynikających z RODO bez wątpienia zmniejsza ryzyko narażenia się na skargę do organu nadzorczego.