iSecure logo
Blog

Umowa udostępnienia danych osobowych w celach marketingowych

Katarzyna Ułasiuk

Specjaliści w dziedzinie marketingu na pewno słyszeli o umowie powierzenia danych osobowych, zwłaszcza kiedy korzystają ze wsparcia zewnętrznych dostawców usług – realizacji kampanii mailingowych czy SMS, realizacji promocji, konkursów, utrzymania systemu do przetwarzania baz marketingowych. Rzadziej w obrocie pomiędzy firmami pojawia się umowa udostępnienia danych osobowych do zawarcia pomiędzy firmą X udostępniającą dane a firmą Y pozyskującą te dane. A jeżeli już trafia jej draft do podpisu, to często wywołuje on moment zastanowienia: czy taka umowa jest konieczna? Czy umowa ramowa, zamówienie lub ogólne warunki przekazane przez dostawcę nie wystarczą? Czy teraz wszystkie zawarte umowy trzeba jakoś aneksować albo podpisywać nowe, żeby uzupełnić kwestię udostępnienia danych?

Czy umowa udostępnienia danych marketingowych jest obowiązkowa?

Wiemy, że RODO nakłada na firmy wiele obowiązków zwłaszcza w obszarze marketingowym, ale… zawarcie umowy udostępnienia danych osobowych do celów marketingowych nie jest jednym z nich. Innymi słowy mówiąc – nie ma w RODO wprost przepisu, który formalnie nakazuje podpisywanie konkretnie umów udostępnienia danych. Nie oznacza to jednak, że taka umowa to zbyteczna rzecz, którą nie warto sobie zawracać głowy. Wręcz przeciwnie – wiedząc, że wymiana danych w celach marketingowych to bardzo delikatna sprawa, nawet wskazane jest, żeby spółki współpracujące ze sobą potwierdziły, jakie dane, na jakich podstawach prawnych i w jaki sposób jedna firma będzie je udostępniać drugiej. Umowa udostępnienia danych pozwoli obu firmom na wykazanie, w jaki sposób podchodzą do realizacji chociażby obowiązku posiadania podstaw prawnych przetwarzania (udostępnienia) danych, a to z kolei przełoży się na przestrzeganie zasady rozliczalności, o której mowa w RODO.

O tym, co powinno być zawarte w umowie udostępnienia danych w celach marketingowych jeszcze opiszę dokładnie poniżej. Przypomnę jedynie, że mówiąc o takiej umowie rozumiemy sytuację, kiedy dochodzi do współpracy dwóch administratorów danych: jedna firma (Udostępniający Sp. z o.o.) posiada swoją własną bazę danych, np. zebraną w trakcie realizowanych konkursów, kampanii promocyjnych, itp.  i określone dane z tej bazy zamierza udostępnić drugiej firmie (Otrzymujący Sp. z o.o.), do realizacji jej własnych celów marketingowych (np. wysyłki swojego własnego newslettera). Ta druga firma realizować będzie swoje cele marketingowe niezależnie od pierwszej, dlatego mówimy o dwóch niezależnych administratorach danych.

Co powinniśmy zawrzeć w umowie udostępnienia danych?

Oprócz podstawowych kwestii, takich jak oznaczenie stron, data zawarcia, czas trwania, zasady rozliczeń (cena, termin płatności), liczba rekordów, data przekazania rekordów, umowa udostępnienia danych osobowych do ich wykorzystania w celach marketingowych powinna zawierać jak najwięcej postanowień dotyczących samych warunków udostępnienia danych. Dlaczego? Przede wszystkim po to, aby podmiot nabywający dane osobowe miał pewność, że baza lub część bazy, którą pozyskuje od udostępniającego, jest nie tylko atrakcyjna biznesowo, ale przede wszystkim (z punktu widzenia RODO) posiada wysoką jakość prawną, umożliwiającą prawidłowe, bez ryzyka naruszeń prawa, wykorzystanie danych osobowych w zakładanych celach, już po ich udostępnieniu.

 

Poniżej podaję przykłady, na co warto zwrócić uwagę weryfikując umowę udostępnienia danych w celach marketingowych.

  1. Pierwotne źródło danych

Wiadomo, że źródłem danych osobowych dla nabywcy jest zbywca bazy danych. Ale przecież z jakiegoś źródła pierwotnie te dane pozyskano. Dlaczego warto zwrócić uwagę, czy jest o tym wzmianka w umowie? Nabywca bazy znając pierwotne źródło danych, np. adres www dedykowanego landing page, byłby w stanie samodzielnie sprawdzić chociażby sposób zbierania i treść zgód pozyskiwanych od „leadów”, a kluczowa w tym przypadku byłaby zgoda na udostępnienie danych przez naszego „zbywcę” (Udostępniający Sp. z o.o.) do firmy zainteresowanej nabyciem danych (Otrzymujący Sp. z o.o.).

  1. Zakres danych

Ważne, żeby strony miały pełną jasność, jakie dane osobowe będą udostępniane w ramach współpracy. Przede wszystkim warto zwrócić uwagę, na to, aby:

  • przekazujący udostępniał nabywcy dane osobowe tylko w takim zakresie, jaki jest niezbędny nabywcy do realizacji jego własnych celów, a zakres taki powinien być wskazany jasno w umowie,
  • dane osobowe w zakresie udostępnianym nabywcy przez przekazującego zostały podane przekazującemu przez osobę, której dane dotyczą dobrowolnie i nie doszło do ich podania w sposób wymuszony. Chodzi o takie przypadki, gdzie wymagano, aby osoba, której dane dotyczą, podając swoje dane dla celów realizowanych przez przekazującego, jednocześnie w takim samym zakresie obligatoryjnie podała je do realizacji celów nabywcy (w szczególności pola w formularzu dotyczące wszystkich danych osobowych zostały oznaczone przez przekazującego jako wymagane do podania – np. imię, nazwisko, adres korespondencyjny, e-mail, nr telefonu, podczas gdy nabywcy niezbędne do wysyłki newslettera są dane w zakresie adresu e-mail, ewentualnie imienia),
  • w zakresie danych osobowych znalazły się dane kontaktowe do osób, których dane dotyczą tak, aby nabywca miał możliwość spełnienia ciążącego na nim obowiązku informacyjnego, o którym mowa w art. 14 RODO.
  1. Podanie informacji o udostępniającym jako źródle danych

Zamówienie, umowa ramowa lub ogólne warunki zabraniają, aby nabywca w korespondencji z „leadami” powoływał się na współpracę z udostępniającym? To bardzo niedobrze. Nabywca, pozyskując udostępniane mu dane osobowe, musi wobec osób, których dane dotyczą spełnić obowiązek informacyjny, o którym mowa w art. 14 RODO, a jednym z obligatoryjnych punktów jest podanie informacji o źródle danych (w tym przypadku – o nabywcy). Zatem jakiekolwiek wykluczenia w tym zakresie w warunkach współpracy są ryzykowne, ponieważ uniemożliwiają należyte spełnienie przepisów prawa przez nabywcę.

  1. Podstawy udostępnienia danych osobowych

Ten aspekt współpracy w praktyce przysparza firmom chyba najwięcej kłopotów. W przypadku, kiedy nabywca zamierza wykorzystywać udostępnione mu dane osobowe we własnych celach marketingowych, należy dopilnować, aby umowa udostępnienia danych przewidywała co najmniej następujące, generalne wymagania dla udostępnianych danych:

  • osoba, której dane dotyczą wyraziła świadomą, jednoznaczną, konkretną i dobrowolną zgodę na udostępnienie jej danych osobowych przez przekazującego do nabywcy w celu wysyłania przez nabywcę drogą elektroniczną (e-mail lub SMS) treści marketingowych (ofert, reklam, promocji, informacji handlowych, itp.) dotyczących produktów lub usług nabywcy (albo w niektórych przypadkach – podmiotów współpracujących z nabywcą) – w przypadku, gdy nabywca jest zainteresowany realizacją wysyłki komunikatów do osób, których dane otrzyma od przekazującego w formie elektronicznej
  • osoba, której dane dotyczą wyraziła świadomą, jednoznaczną, konkretną i dobrowolną zgodę na udostępnienie jej danych osobowych przez przekazującego do nabywcy w celu wykonywania przez nabywcę połączeń telefonicznych na numery telefonów w celu przedstawienia treści marketingowych (ofert, reklam, promocji, informacji handlowych, itp.) dotyczących produktów lub usług nabywcy (albo w niektórych przypadkach – podmiotów współpracujących z nabywcą) – w przypadku, gdy nabywca jest zainteresowany realizacją połączeń telefonicznych do osób, których dane otrzyma od przekazującego
  • przekazujący zbierając dane i zgody, o których mowa powyżej, poinformował w sposób zgodny z RODO, że zostaną one udostępnione przez przekazującego, jako administratora, do nabywcy, jako odrębnego administratora, do realizacji własnych celów nabywcy
  • przekazujący podczas przekazania danych osobowych spełniał wymagania RODO, a zwłaszcza art. 6 ust. 1 i art. 13 RODO, a także wymagania art. 10 ustawy o świadczeniu usług drogą elektroniczną i art. 172 i art. 174 Prawa telekomunikacyjnego
  1. Dowody udostępnienia danych i pozyskanych zgód na udostępnienie

Jak to mówią: „papier wszystko przyjmie” i trudno się z tym nie zgodzić. Natomiast wiedząc, ile kosztów, czasu i nerwów może kosztować reperowanie wadliwych lub niekompletnych postanowień umownych, tym bardziej jeżeli doszło do szkody lub nieprawidłowego wykonywania postanowień umownych, zalecam, aby już na etapie zawierania współpracy i podpisywania umowy udostępnienia danych potwierdzić dowody na to, że obowiązki dotyczące posiadania prawidłowych danych i zgód na udostępnienie danych do nabywcy nie istnieją tylko na papierze.

Czego szukać w umowie udostępnienia? Potwierdzenia, że każde udostępnienie przez przekazującego danych osobowych wymaga wykazania i udokumentowania właściwej podstawy udostępnienia tych danych. W związku z tym przekazujący udostępniając dane osobowe powinien udostępnić wszystkie informacje, pozwalające na udokumentowanie, że konkretny podmiot wyraził konkretną, niezbędną zgodę na udostępnienie danych do nabywcy, w szczególności:

  • typ wyrażonej zgody
  • treść wyrażonej zgody
  • datę wyrażonej zgody
  • źródło wyrażonej zgody
  • adres e-mail/numer telefonu/adres IP powiązany z wyrażoną zgodą

Warto też zastrzec w umowie udostępnienia, aby przekazujący przedstawił nabywcy przykłady, próbki, wzory stosowanych przez siebie formularzy bądź linki źródłowe do nich, w celu upewnienia się, że zebrane dane będące przedmiotem udostępnienia nie są obarczone wadą prawną wynikającą z niezgodności z przepisami RODO, art. 10 ustawy o świadczeniu usług drogą elektroniczną lub art. 172 i art. 174 Prawa telekomunikacyjnego.

Co poza tym?

Oczywiście, powyższe podpowiedzi to jedynie przykłady i każda firma powinna rozważyć nie tylko te, ale też inne kwestie dotyczące zasad udostępnienia danych osobowych, które powinny być zadeklarowane w umowie udostępnienia. W tym kontekście mam na myśli np.:

  • ustalenie bezpiecznej formy udostępnienia danych
  • ustalenie, co ma się zadziać z dostępami do współdzielonego zasobu (np. serwera sftp służącego do przekazania danych) lub danymi po ich udostępnieniu
  • ustalenie zasad odpowiedzialności w razie niewykonania lub nienależytego wykonywania umowy lub powstania szkody

Zachęcam do uważnego i szczegółowego rozważenia każdego przypadku takiej współpracy zanim do niej nastąpi, aby jak najpełniej zabezpieczyć własne interesy (nie tylko biznesowe, ale też prawne).

Pobierz wpis w wersji pdf

Podobne wpisy:

Bartosz Migas

Badanie temperatury zgodne z RODO – COVID-19

Wielu pracodawców ma ogromny problem z tym, czy można badać temperaturę pracownikom (i co z przetwarzaniem danych osobowych z tym związanym). Pytanie takie w dobie pandemii koronawirusa pada niezwykle często. Widzimy potrzebę zebrania w jednym miejscu odpowiedzi na kluczowe problemy, z jakimi spotykają się pracodawcy, a szczególnie Działy HR. Dlatego opracowaliśmy dla Was serię pytań […]

Agnieszka Rapcewicz

Prywatne dane kontaktowe pracownika – na jakich zasadach można je przetwarzać

Dzisiaj bierzemy na warsztat temat przetwarzania prywatnych danych kontaktowych pracownika, czyli w szczególności jego prywatnego numeru telefonu i adresu e-mail. Na pierwszy rzut oka mogłoby się wydawać, że nie ma o czym mówić. Możliwe, że sporo pracodawców przetwarza na co dzień takie informacje – przecież nasz pracownik, jeszcze na etapie rekrutacji przekazał swoje dane kontaktowe, […]

Przetwarzanie danych służbowych
Przemysław Siarka

DPIA w organizacji

Jednym z częstych uchybień, które mają miejsce podczas wdrażania RODO, jest błędna ocena co do braku przesłanek do przeprowadzenia oceny skutków dla ochrony danych (Data Protection Impact Assessment, DPIA). Często może być wynikiem przeświadczenia, że skoro niejedna analiza procesu została zrobiona przed wdrożeniem RODO (np. podczas audytu), to już nic więcej nie trzeba oceniać. Natomiast […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki