Marketing a ochrona danych osobowych – źródła powszechnie dostępne

We wcześniejszych artykułach na temat marketingu omówiliśmy kwestie związane z klauzulą zgody oraz wykorzystaniem prawnie usprawiedliwionego interesu. W poniższym artykule postaram się omówić zagadnienia związane z pozyskiwaniem danych ze źródeł powszechnie dostępnych – oczywiście wszystko w celach marketingowych.

W obecnych czasach wiele danych osobowych jest zamieszczanych w internecie. Mamy portale społecznościowe, spisy i ewidencje (Centralna Ewidencja Działalności Gospodarczej oraz Krajowy Rejestr Sądowy) itp.. Wydaje się, że dane osobowe są podane na tacy, wystarczy je tylko wziąć i zacząć przetwarzać we własnych celach np. marketingowych.
Jednakże jeżeli ktoś np. osoba fizyczna prowadząca działalność gospodarczą zamieściła swoje dane w internecie (ponieważ miała taki obowiązek) czy jest to równoznaczne z zezwoleniem na przetwarzanie jej danych osobowych w każdym możliwym celu?
Zacznijmy więc analizę od początku. Jeżeli ze źródeł powszechnie dostępnych ściągniemy informacje na temat osoby fizycznej powinniśmy założyć, iż mamy do czynienia z danymi osobowymi. Mając dane osobowe i przetwarzając je na potrzeby naszej działalności gospodarczej powinniśmy stosować ustawę o ochronie danych osobowych.

Po pierwsze powinniśmy określić podstawę przetwarzania tych danych. Podstawy przetwarzania (zgoda i usprawiedliwiony interes) zostały omówione w poprzednich artykułach. W ramach przypomnienia wskaże tylko najważniejsze różnice pomiędzy tymi przesłankami. Zgoda jako podstawa przetwarzania danych jest bez wątpienia bezpieczniejsza, jednakże jeżeli poprosimy o jej wyrażenie możemy się spotkać z odmową. Oparcie przetwarzania danych na podstawie wyłącznie usprawiedliwionego interesu jest skuteczniejsze niż zbieranie zgód ale niesie z sobą ryzyko prawne, że naruszymy czyjeś prawa i wolności. Kwestia wyważenia skuteczności biznesowej i ryzyka prawnego należy w ostateczności do decyzji administratora danych. Nie należy również zapomnieć o zebraniu zgody na przesyłanie informacji handlowej drogą elektroniczną.

Drugim elementem jest konieczność spełnienia obowiązku informacyjnego. Biorąc pod uwagę okoliczność, iż dane nie zostały zebrane od osoby, której dane dotyczą, należy spełnić obowiązek informacyjny z art. 25 ust. 1 ustawy o ochronie danych osobowych. Klauzula obowiązku informacyjnego może być wysłana maile, pocztą lub smsem. Zakładam przy tym, iż posiadamy dane kontaktowe (numer telefonu lub adres e-mail).

Kolejnym elementem jest rejestracja zbioru danych w biurze Generalnego Inspektora Ochrony Danych Osobowych. Zgłoszenie powinno obejmować wyłącznie dane zwykłe i związku z tym ich przetwarzanie jest już możliwe w momencie złożenia zgłoszenia (nie trzeba czekać na rejestracje).

Ostatnim elementem jest odpowiednie zabezpieczenie przetwarzanych danych osobowych. W ramach odpowiedniego zabezpieczenia należy spełnić wymagania określone w rozdziale 5 ustawy o ochronie danych osobowych, a w szczególności zrealizować wymogi określone w przepisach Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z 2004 r.).

 

Marketing a ochrona danych osobowych– usprawiedliwiony interes

We wcześniejszym artykule, dotyczącym marketingu omówiłem kwestie zgody na marketing. Do przeanalizowania została druga podstawą przetwarzania danych w celach marketingowych, czyli art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Wskazany przepis mówi, iż administrator danych może przetwarzać dane osobowe jeżeli tego typu przetwarzanie stanowi jego prawnie usprawiedliwiony cel i nie narusza praw i wolności osoby, której dane dotyczą. Należy więc zadać pytanie czy przetwarzając dane osobowe w celach marketingowych (marketing produktów i usług własnych) robię to we własnym usprawiedliwionym celu i dodatkowo czy nie naruszam praw i wolności?

Odpowiedź na pierwsze pytanie jest zdecydowanie łatwiejsza, ponieważ w tym miejscu z pomocą przychodzi nam ustawodawca w art. 23 ust. 4 pkt. 1 ustawy o ochronie danych osobowych. Przytoczony artykuł wskazuje nam co jest (w szczególności) usprawiedliwionym celem administratora danych, a jest nim „marketing bezpośredni własnych produktów lub usług administratora danych”.

Do wyjaśnienia pozostaje więc kwestia ewentualnego naruszenia praw i wolności, osoby, której dane dotyczą. Czy wysyłając maile z reklamami własnych produktów/usług, dzwoniąc z reklamą itp. naruszam czyjeś prawa i wolności?
Niestety nie ma jednej odpowiedzi na powyższe pytanie ponieważ odpowiedź zależy od wielu czynników. Pierwszym z nich jest kwestia czy z osobą, której dane dotyczą łączy nas jakiś stosunek prawny, a najlepiej umowny. W doktrynie przyjmuję się pogląd, iż jeżeli osoba jest naszym klientem to kierowanie do niej naszego marketingu nie narusza jej praw i wolności. Taka sytuacja ma miejsce jeżeli osoba ma podpisaną z nami umowę np. dostawę Internetu lub posiada konto w naszym sklepie internetowym (oczywiście zakładając, iż w tym drugim przypadku zaakceptowała regulamin).
Trudniejsza do oceny jest sytuacja kiedy osoba tylko raz kupiła coś u nas w sklepie czy też raz zamówiła usługę. Pewną pomocą w interpretacji takich okoliczności jest Kodeks Dobrych Praktyk w Zakresie Ochrony Danych Osobowych Klientów i Potencjalnych Klientów. Wskazany dokument, opracowany przy udziale GIODO, dotyczy co prawda branży motoryzacyjnej zawiera jednak ciekawą definicję klienta[1]. Jeżeli taką samą definicję klienta zastosujemy w odniesieniu do pozostałych branż bardzo ułatwi to nam stosowanie przesłanki usprawiedliwionego celu do przetwarzania danych w celach marketingowych.

Zgodnie ze stanowiskiem GIODO, z naruszeniem praw i wolności mamy do czynienia w przypadku pogorszenia sytuacji prawnej osoby, której dane dotyczą. Powyższe „pogorszenie” może mieć miejsce jeżeli nie spełnimy obowiązku informacyjnego, „w ten sposób uniemożliwiano bowiem osobom zainteresowanym skuteczne kontrolowanie procesu przetwarzania ich danych, a tym samym realizację przyznanych im ustawą uprawnień[2]

Oszacowanie czy przetwarzanie danych nie narusza praw i wolności zawsze należy do administratora danych. Na powyższa analizę powinno się składać wiele czynników takich jak zakres przetwarzanych danych, okres ich przechowywania czy też „częstotliwość kontaktu marketingowego”.

Dodatkowo należy pamiętać, iż nawet jeżeli przetwarzamy dane w celach marketingowych na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, to osoba może w każdej chwili wnieść sprzeciw. Po wniesieniu sprzeciwu powinniśmy zaprzestać przetwarzania danych w celach marketingowych.

W kolejnym artykule na temat przetwarzania danych w celach marketingowych poruszymy temat pozyskiwania danych ze źródeł powszechnie dostępnych oraz zakupu bazy danych.


[1] Klient – osoba fizyczna, której Administrator Danych przynajmniej raz świadczył usługi lub która przynajmniej raz nabyła lub zamówiła produkt Administratora Danych lub która otrzymała usługi lub nabyła lub zamówiła produkt Administratora Danych w imieniu swojego pracodawcy lub zleceniodawcy.

[2] Sprawozdanie GIODO z działalności za rok 2003, s. 162.

Marketing a ochrona danych osobowych – zgoda

    Każdy z nas otrzymuje masę niechcianych maili zwierających ofertę marketingową przeróżnych podmiotów. Wiadomości informujące o niezwykle atrakcyjnych ubezpieczeniach czy też unikalna promocja na kosmetyki atakuje nas zaraz po wejściu na skrzynkę mailową. W zdecydowanej większości przypadków wykorzystanie naszych maili, które posiadają przymiot danych osobowych odbywa się z naruszeniem ustawy o ochronie danych osobowych oraz z naruszeniem ustawy o świadczeniu usług drogą elektroniczną. Powstaje więc pytanie jak wysłać ofertę marketingową naszych usług/produktów, abyśmy my nie naruszyli przepisów prawa i nie narazili się na odpowiedzialność karną, administracyjną lub cywilną. Na to zaś pytanie postaram się odpowiedzieć w poniższym artykule.

     Pierwszym krokiem jest określenie podstawy przetwarzania danych w celach marketingowych. Jeżeli mówimy o przetwarzaniu danych w celach marketingowych to mamy dwie przesłanki z art. 23 ust. 1 ustawy o ochronie danych osobowych do wyboru. Dane możemy przetwarzać w celach marketingowych jeżeli posiadamy zgodę osoby, której dane dotyczą lub powyższe przetwarzanie danych stanowi nasz prawnie usprawiedliwiony cel i nie narusza praw i wolności osób, których dane dotyczą. Tyle odnośnie teorii ale jak to przełożyć na praktykę?
Na początek omówimy łatwiejszy sposób, czyli zgodę na przetwarzanie danych.
Jeżeli mamy ważną zgodę na przetwarzanie danych w nasz celach marketingowych możemy wysyłać naszą ofertę na maila do momentu jej odwołania. Dodatkowo powinniśmy posiadać zgodę na wysyłanie oferty handlowej drogą elektroniczną. Powyższych dwóch zgód nie można niestety łączyć w jednym oświadczeniu[1]. Należy w tym miejscu podkreślić, iż na przetwarzanie danych w celach marketingu podmiotów trzecich jest potrzebna odrębna zgoda (podmiotem trzecim w rozumieniu ustawy o ochronie danych osobowych są również podmioty powiązane kapitałowo)[2].

        Jak powinna wyglądać zgoda na przetwarzanie danych?
Po pierwsze powinna być odrębnym oświadczeniem woli, czyli powinna być wyrażana poprzez jakąś odrębną czynność np. poprzez zaznaczenie checkboxa lub podpis. Dodatkowo zgoda nie może być również dorozumiana z oświadczenia woli o innej treści, czyli jeżeli wypełniam kupon promocyjny podając swoje dane osobowe nie jest to równoznaczne z wyrażeniem zgody. Ostatnim przymiotem prawidłowej zgody jest jej dobrowolność tzn. zgody nie możemy jej wymusić[3]. Klauzula zgody na przetwarzanie danych w celach marketingowych spełniająca powyższe przesłanki będzie prawidłowa i po jej uzyskaniu możemy leganie wysyłać naszą ofertę marketingową (nie należy zapomnieć o pozyskaniu zgody na przesyłanie informacji handlowej drogą elektroniczną).

W następnym artykule skomplikujemy sytuacje i opiszemy kiedy nie jest potrzebna zgoda na przetwarzanie danych w celach marketingowych.



[1] I OSK 1317/11

[2] DIS/DEC-63/4537/11 dot. DIS-K-421/83/10 DIS-K-421/143/10

[3] Część doktryny uważa, że możemy w pewnych sytuacjach wymagać wyrażenia zgody. Taka okoliczność ma miejsce kiedy w zamian za wyrażenie zgody np. na marketing świadczymy jakąś usługę.