Marketing a ochrona danych osobowych – zakup bazy danych

Ostatnim elementem jaki pozostał do omówienia z „działki” marketingu jest proces związany z zakupem bazy danych na potrzeby marketingowe. Na rynku możemy znaleźć całą masę ofert przeróżnych baz danych. Powstaje jednak pytanie do czego możemy wykorzystać zakupione dane osobowe i jak je wykorzystać legalnie. Na początku omówimy w skrócie wykorzystanie zakupionej bazy danych pod kątem wymogów z ustawy o ochronie danych osobowych. W drugiej części artykułu odwrócimy rolę i omówimy jak przygotować bazę danych do sprzedaży.

Na początku należy wskazać, iż sprzedaż bazy danych wiąże się z udostępnieniem danych. Administrator danych udostępnia dane osobowe drugiemu podmiotowi, który również staje się administratorem danych. W przypadku zakupu bazy danych, w odniesieniu do nabytych danych, powinniśmy spełnić obowiązki jakie są nałożone ustawą o ochronie danych osobowych.

Pierwszym elementem jest zapewnienie podstawy prawnej. W odniesieniu do danych osobowych wykorzystywanych na potrzeby marketingu będziemy mieli do czynienia, w zdecydowanej większości przypadków z danymi zwykłymi. Powinniśmy posiadać, więc przesłankę z art. 23 ustawy o ochronie danych osobowych. Na potrzeby przetwarzania danych w celach marketingowych możemy wykorzystać zgodę osoby, której dane dotyczą lub usprawiedliwiony interes administratora danych. Rozważania na temat zastosowania tych dwóch przesłanek zostały poczynione we wcześniejszym artykule .

Oprócz posiadania odpowiedniej podstawy prawnej, z punktu widzenia podmiotu nabywającego bazę danych powinniśmy również zabezpieczyć swoje interesy w umowie. Postanowienia umowne mówiące o tym, iż dane zostały pozyskane legalnie i podmiot sprzedający ma podstawę ich dalszego udostępniania są w mojej ocenie jak najbardziej mile widziane.

Po pozyskaniu danych osobowych powinniśmy spełnić obowiązek informacyjny. Biorąc pod uwagę okoliczność, iż dane zostały pozyskane od podmiotu trzeciego, należy spełnić obowiązek informacyjny z art. 25 ust. 1 ustawy o ochronie danych osobowych. Klauzula obowiązku informacyjnego może być wysłana maile, pocztą lub smsem. Zgodnie z orzecznictwem sądów na początku powinniśmy (przed wysłaniem ofert marketingowej) wysłać wyłącznie klauzule obowiązku informacyjnego i „dać” czas na wniesienie sprzeciwu osobom , których dane dotyczą.

Ostatnim elementem jest odpowiednie zabezpieczenie przetwarzanych danych osobowych i rejestracja zbioru danych (o ile taki zbiór nie został zarejestrowany wcześniej).

 

Marketing a ochrona danych osobowych – źródła powszechnie dostępne

We wcześniejszych artykułach na temat marketingu omówiliśmy kwestie związane z klauzulą zgody oraz wykorzystaniem prawnie usprawiedliwionego interesu. W poniższym artykule postaram się omówić zagadnienia związane z pozyskiwaniem danych ze źródeł powszechnie dostępnych – oczywiście wszystko w celach marketingowych.

W obecnych czasach wiele danych osobowych jest zamieszczanych w internecie. Mamy portale społecznościowe, spisy i ewidencje (Centralna Ewidencja Działalności Gospodarczej oraz Krajowy Rejestr Sądowy) itp.. Wydaje się, że dane osobowe są podane na tacy, wystarczy je tylko wziąć i zacząć przetwarzać we własnych celach np. marketingowych.
Jednakże jeżeli ktoś np. osoba fizyczna prowadząca działalność gospodarczą zamieściła swoje dane w internecie (ponieważ miała taki obowiązek) czy jest to równoznaczne z zezwoleniem na przetwarzanie jej danych osobowych w każdym możliwym celu?
Zacznijmy więc analizę od początku. Jeżeli ze źródeł powszechnie dostępnych ściągniemy informacje na temat osoby fizycznej powinniśmy założyć, iż mamy do czynienia z danymi osobowymi. Mając dane osobowe i przetwarzając je na potrzeby naszej działalności gospodarczej powinniśmy stosować ustawę o ochronie danych osobowych.

Po pierwsze powinniśmy określić podstawę przetwarzania tych danych. Podstawy przetwarzania (zgoda i usprawiedliwiony interes) zostały omówione w poprzednich artykułach. W ramach przypomnienia wskaże tylko najważniejsze różnice pomiędzy tymi przesłankami. Zgoda jako podstawa przetwarzania danych jest bez wątpienia bezpieczniejsza, jednakże jeżeli poprosimy o jej wyrażenie możemy się spotkać z odmową. Oparcie przetwarzania danych na podstawie wyłącznie usprawiedliwionego interesu jest skuteczniejsze niż zbieranie zgód ale niesie z sobą ryzyko prawne, że naruszymy czyjeś prawa i wolności. Kwestia wyważenia skuteczności biznesowej i ryzyka prawnego należy w ostateczności do decyzji administratora danych. Nie należy również zapomnieć o zebraniu zgody na przesyłanie informacji handlowej drogą elektroniczną.

Drugim elementem jest konieczność spełnienia obowiązku informacyjnego. Biorąc pod uwagę okoliczność, iż dane nie zostały zebrane od osoby, której dane dotyczą, należy spełnić obowiązek informacyjny z art. 25 ust. 1 ustawy o ochronie danych osobowych. Klauzula obowiązku informacyjnego może być wysłana maile, pocztą lub smsem. Zakładam przy tym, iż posiadamy dane kontaktowe (numer telefonu lub adres e-mail).

Kolejnym elementem jest rejestracja zbioru danych w biurze Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie powinno obejmować wyłącznie dane zwykłe i związku z tym ich przetwarzanie jest już możliwe w momencie złożenia zgłoszenia (nie trzeba czekać na rejestracje).

Ostatnim elementem jest odpowiednie zabezpieczenie przetwarzanych danych osobowych. W ramach odpowiedniego zabezpieczenia należy spełnić wymagania określone w rozdziale 5 ustawy o ochronie danych osobowych, a w szczególności zrealizować wymogi określone w przepisach Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z 2004 r.).

 

Marketing a ochrona danych osobowych– usprawiedliwiony interes

We wcześniejszym artykule, dotyczącym marketingu omówiłem kwestie zgody na marketing. Do przeanalizowania została druga podstawą przetwarzania danych w celach marketingowych, czyli art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Wskazany przepis mówi, iż administrator danych może przetwarzać dane osobowe jeżeli tego typu przetwarzanie stanowi jego prawnie usprawiedliwiony cel i nie narusza praw i wolności osoby, której dane dotyczą. Należy więc zadać pytanie czy przetwarzając dane osobowe w celach marketingowych (marketing produktów i usług własnych) robię to we własnym usprawiedliwionym celu i dodatkowo czy nie naruszam praw i wolności?

Odpowiedź na pierwsze pytanie jest zdecydowanie łatwiejsza, ponieważ w tym miejscu z pomocą przychodzi nam ustawodawca w art. 23 ust. 4 pkt. 1 ustawy o ochronie danych osobowych. Przytoczony artykuł wskazuje nam co jest (w szczególności) usprawiedliwionym celem administratora danych, a jest nim „marketing bezpośredni własnych produktów lub usług administratora danych”.

Do wyjaśnienia pozostaje więc kwestia ewentualnego naruszenia praw i wolności, osoby, której dane dotyczą. Czy wysyłając maile z reklamami własnych produktów/usług, dzwoniąc z reklamą itp. naruszam czyjeś prawa i wolności?
Niestety nie ma jednej odpowiedzi na powyższe pytanie ponieważ odpowiedź zależy od wielu czynników. Pierwszym z nich jest kwestia czy z osobą, której dane dotyczą łączy nas jakiś stosunek prawny, a najlepiej umowny. W doktrynie przyjmuję się pogląd, iż jeżeli osoba jest naszym klientem to kierowanie do niej naszego marketingu nie narusza jej praw i wolności. Taka sytuacja ma miejsce jeżeli osoba ma podpisaną z nami umowę np. dostawę Internetu lub posiada konto w naszym sklepie internetowym (oczywiście zakładając, iż w tym drugim przypadku zaakceptowała regulamin).
Trudniejsza do oceny jest sytuacja kiedy osoba tylko raz kupiła coś u nas w sklepie czy też raz zamówiła usługę. Pewną pomocą w interpretacji takich okoliczności jest Kodeks Dobrych Praktyk w Zakresie Ochrony Danych Osobowych Klientów i Potencjalnych Klientów. Wskazany dokument, opracowany przy udziale GIODO, dotyczy co prawda branży motoryzacyjnej zawiera jednak ciekawą definicję klienta[1]. Jeżeli taką samą definicję klienta zastosujemy w odniesieniu do pozostałych branż bardzo ułatwi to nam stosowanie przesłanki usprawiedliwionego celu do przetwarzania danych w celach marketingowych.

Zgodnie ze stanowiskiem GIODO, z naruszeniem praw i wolności mamy do czynienia w przypadku pogorszenia sytuacji prawnej osoby, której dane dotyczą. Powyższe „pogorszenie” może mieć miejsce jeżeli nie spełnimy obowiązku informacyjnego, „w ten sposób uniemożliwiano bowiem osobom zainteresowanym skuteczne kontrolowanie procesu przetwarzania ich danych, a tym samym realizację przyznanych im ustawą uprawnień[2]

Oszacowanie czy przetwarzanie danych nie narusza praw i wolności zawsze należy do administratora danych. Na powyższa analizę powinno się składać wiele czynników takich jak zakres przetwarzanych danych, okres ich przechowywania czy też „częstotliwość kontaktu marketingowego”.

Dodatkowo należy pamiętać, iż nawet jeżeli przetwarzamy dane w celach marketingowych na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, to osoba może w każdej chwili wnieść sprzeciw. Po wniesieniu sprzeciwu powinniśmy zaprzestać przetwarzania danych w celach marketingowych.

W kolejnym artykule na temat przetwarzania danych w celach marketingowych poruszymy temat pozyskiwania danych ze źródeł powszechnie dostępnych oraz zakupu bazy danych.


[1] Klient – osoba fizyczna, której Administrator Danych przynajmniej raz świadczył usługi lub która przynajmniej raz nabyła lub zamówiła produkt Administratora Danych lub która otrzymała usługi lub nabyła lub zamówiła produkt Administratora Danych w imieniu swojego pracodawcy lub zleceniodawcy.

[2] Sprawozdanie GIODO z działalności za rok 2003, s. 162.