iSecure logo
Blog

Umowa udostępnienia danych osobowych w celach marketingowych

Specjaliści w dziedzinie marketingu na pewno słyszeli o umowie powierzenia danych osobowych, zwłaszcza kiedy korzystają ze wsparcia zewnętrznych dostawców usług – realizacji kampanii mailingowych czy SMS, realizacji promocji, konkursów, utrzymania systemu do przetwarzania baz marketingowych. Rzadziej w obrocie pomiędzy firmami pojawia się umowa udostępnienia danych osobowych do zawarcia pomiędzy firmą X udostępniającą dane a firmą Y pozyskującą te dane. A jeżeli już trafia jej draft do podpisu, to często wywołuje on moment zastanowienia: czy taka umowa jest konieczna? Czy umowa ramowa, zamówienie lub ogólne warunki przekazane przez dostawcę nie wystarczą? Czy teraz wszystkie zawarte umowy trzeba jakoś aneksować albo podpisywać nowe, żeby uzupełnić kwestię udostępnienia danych?

Czy umowa udostępnienia danych marketingowych jest obowiązkowa?

Wiemy, że RODO nakłada na firmy wiele obowiązków zwłaszcza w obszarze marketingowym, ale… zawarcie umowy udostępnienia danych osobowych do celów marketingowych nie jest jednym z nich. Innymi słowy mówiąc – nie ma w RODO wprost przepisu, który formalnie nakazuje podpisywanie konkretnie umów udostępnienia danych. Nie oznacza to jednak, że taka umowa to zbyteczna rzecz, którą nie warto sobie zawracać głowy. Wręcz przeciwnie – wiedząc, że wymiana danych w celach marketingowych to bardzo delikatna sprawa, nawet wskazane jest, żeby spółki współpracujące ze sobą potwierdziły, jakie dane, na jakich podstawach prawnych i w jaki sposób jedna firma będzie je udostępniać drugiej. Umowa udostępnienia danych pozwoli obu firmom na wykazanie, w jaki sposób podchodzą do realizacji chociażby obowiązku posiadania podstaw prawnych przetwarzania (udostępnienia) danych, a to z kolei przełoży się na przestrzeganie zasady rozliczalności, o której mowa w RODO.

O tym, co powinno być zawarte w umowie udostępnienia danych w celach marketingowych jeszcze opiszę dokładnie poniżej. Przypomnę jedynie, że mówiąc o takiej umowie rozumiemy sytuację, kiedy dochodzi do współpracy dwóch administratorów danych: jedna firma (Udostępniający Sp. z o.o.) posiada swoją własną bazę danych, np. zebraną w trakcie realizowanych konkursów, kampanii promocyjnych, itp.  i określone dane z tej bazy zamierza udostępnić drugiej firmie (Otrzymujący Sp. z o.o.), do realizacji jej własnych celów marketingowych (np. wysyłki swojego własnego newslettera). Ta druga firma realizować będzie swoje cele marketingowe niezależnie od pierwszej, dlatego mówimy o dwóch niezależnych administratorach danych.

Co powinniśmy zawrzeć w umowie udostępnienia danych?

Oprócz podstawowych kwestii, takich jak oznaczenie stron, data zawarcia, czas trwania, zasady rozliczeń (cena, termin płatności), liczba rekordów, data przekazania rekordów, umowa udostępnienia danych osobowych do ich wykorzystania w celach marketingowych powinna zawierać jak najwięcej postanowień dotyczących samych warunków udostępnienia danych. Dlaczego? Przede wszystkim po to, aby podmiot nabywający dane osobowe miał pewność, że baza lub część bazy, którą pozyskuje od udostępniającego, jest nie tylko atrakcyjna biznesowo, ale przede wszystkim (z punktu widzenia RODO) posiada wysoką jakość prawną, umożliwiającą prawidłowe, bez ryzyka naruszeń prawa, wykorzystanie danych osobowych w zakładanych celach, już po ich udostępnieniu.

 

Poniżej podaję przykłady, na co warto zwrócić uwagę weryfikując umowę udostępnienia danych w celach marketingowych.

  1. Pierwotne źródło danych

Wiadomo, że źródłem danych osobowych dla nabywcy jest zbywca bazy danych. Ale przecież z jakiegoś źródła pierwotnie te dane pozyskano. Dlaczego warto zwrócić uwagę, czy jest o tym wzmianka w umowie? Nabywca bazy znając pierwotne źródło danych, np. adres www dedykowanego landing page, byłby w stanie samodzielnie sprawdzić chociażby sposób zbierania i treść zgód pozyskiwanych od „leadów”, a kluczowa w tym przypadku byłaby zgoda na udostępnienie danych przez naszego „zbywcę” (Udostępniający Sp. z o.o.) do firmy zainteresowanej nabyciem danych (Otrzymujący Sp. z o.o.).

  1. Zakres danych

Ważne, żeby strony miały pełną jasność, jakie dane osobowe będą udostępniane w ramach współpracy. Przede wszystkim warto zwrócić uwagę, na to, aby:

  • przekazujący udostępniał nabywcy dane osobowe tylko w takim zakresie, jaki jest niezbędny nabywcy do realizacji jego własnych celów, a zakres taki powinien być wskazany jasno w umowie,
  • dane osobowe w zakresie udostępnianym nabywcy przez przekazującego zostały podane przekazującemu przez osobę, której dane dotyczą dobrowolnie i nie doszło do ich podania w sposób wymuszony. Chodzi o takie przypadki, gdzie wymagano, aby osoba, której dane dotyczą, podając swoje dane dla celów realizowanych przez przekazującego, jednocześnie w takim samym zakresie obligatoryjnie podała je do realizacji celów nabywcy (w szczególności pola w formularzu dotyczące wszystkich danych osobowych zostały oznaczone przez przekazującego jako wymagane do podania – np. imię, nazwisko, adres korespondencyjny, e-mail, nr telefonu, podczas gdy nabywcy niezbędne do wysyłki newslettera są dane w zakresie adresu e-mail, ewentualnie imienia),
  • w zakresie danych osobowych znalazły się dane kontaktowe do osób, których dane dotyczą tak, aby nabywca miał możliwość spełnienia ciążącego na nim obowiązku informacyjnego, o którym mowa w art. 14 RODO.
  1. Podanie informacji o udostępniającym jako źródle danych

Zamówienie, umowa ramowa lub ogólne warunki zabraniają, aby nabywca w korespondencji z „leadami” powoływał się na współpracę z udostępniającym? To bardzo niedobrze. Nabywca, pozyskując udostępniane mu dane osobowe, musi wobec osób, których dane dotyczą spełnić obowiązek informacyjny, o którym mowa w art. 14 RODO, a jednym z obligatoryjnych punktów jest podanie informacji o źródle danych (w tym przypadku – o nabywcy). Zatem jakiekolwiek wykluczenia w tym zakresie w warunkach współpracy są ryzykowne, ponieważ uniemożliwiają należyte spełnienie przepisów prawa przez nabywcę.

  1. Podstawy udostępnienia danych osobowych

Ten aspekt współpracy w praktyce przysparza firmom chyba najwięcej kłopotów. W przypadku, kiedy nabywca zamierza wykorzystywać udostępnione mu dane osobowe we własnych celach marketingowych, należy dopilnować, aby umowa udostępnienia danych przewidywała co najmniej następujące, generalne wymagania dla udostępnianych danych:

  • osoba, której dane dotyczą wyraziła świadomą, jednoznaczną, konkretną i dobrowolną zgodę na udostępnienie jej danych osobowych przez przekazującego do nabywcy w celu wysyłania przez nabywcę drogą elektroniczną (e-mail lub SMS) treści marketingowych (ofert, reklam, promocji, informacji handlowych, itp.) dotyczących produktów lub usług nabywcy (albo w niektórych przypadkach – podmiotów współpracujących z nabywcą) – w przypadku, gdy nabywca jest zainteresowany realizacją wysyłki komunikatów do osób, których dane otrzyma od przekazującego w formie elektronicznej
  • osoba, której dane dotyczą wyraziła świadomą, jednoznaczną, konkretną i dobrowolną zgodę na udostępnienie jej danych osobowych przez przekazującego do nabywcy w celu wykonywania przez nabywcę połączeń telefonicznych na numery telefonów w celu przedstawienia treści marketingowych (ofert, reklam, promocji, informacji handlowych, itp.) dotyczących produktów lub usług nabywcy (albo w niektórych przypadkach – podmiotów współpracujących z nabywcą) – w przypadku, gdy nabywca jest zainteresowany realizacją połączeń telefonicznych do osób, których dane otrzyma od przekazującego
  • przekazujący zbierając dane i zgody, o których mowa powyżej, poinformował w sposób zgodny z RODO, że zostaną one udostępnione przez przekazującego, jako administratora, do nabywcy, jako odrębnego administratora, do realizacji własnych celów nabywcy
  • przekazujący podczas przekazania danych osobowych spełniał wymagania RODO, a zwłaszcza art. 6 ust. 1 i art. 13 RODO, a także wymagania art. 10 ustawy o świadczeniu usług drogą elektroniczną i art. 172 i art. 174 Prawa telekomunikacyjnego
  1. Dowody udostępnienia danych i pozyskanych zgód na udostępnienie

Jak to mówią: „papier wszystko przyjmie” i trudno się z tym nie zgodzić. Natomiast wiedząc, ile kosztów, czasu i nerwów może kosztować reperowanie wadliwych lub niekompletnych postanowień umownych, tym bardziej jeżeli doszło do szkody lub nieprawidłowego wykonywania postanowień umownych, zalecam, aby już na etapie zawierania współpracy i podpisywania umowy udostępnienia danych potwierdzić dowody na to, że obowiązki dotyczące posiadania prawidłowych danych i zgód na udostępnienie danych do nabywcy nie istnieją tylko na papierze.

Czego szukać w umowie udostępnienia? Potwierdzenia, że każde udostępnienie przez przekazującego danych osobowych wymaga wykazania i udokumentowania właściwej podstawy udostępnienia tych danych. W związku z tym przekazujący udostępniając dane osobowe powinien udostępnić wszystkie informacje, pozwalające na udokumentowanie, że konkretny podmiot wyraził konkretną, niezbędną zgodę na udostępnienie danych do nabywcy, w szczególności:

  • typ wyrażonej zgody
  • treść wyrażonej zgody
  • datę wyrażonej zgody
  • źródło wyrażonej zgody
  • adres e-mail/numer telefonu/adres IP powiązany z wyrażoną zgodą

Warto też zastrzec w umowie udostępnienia, aby przekazujący przedstawił nabywcy przykłady, próbki, wzory stosowanych przez siebie formularzy bądź linki źródłowe do nich, w celu upewnienia się, że zebrane dane będące przedmiotem udostępnienia nie są obarczone wadą prawną wynikającą z niezgodności z przepisami RODO, art. 10 ustawy o świadczeniu usług drogą elektroniczną lub art. 172 i art. 174 Prawa telekomunikacyjnego.

Co poza tym?

Oczywiście, powyższe podpowiedzi to jedynie przykłady i każda firma powinna rozważyć nie tylko te, ale też inne kwestie dotyczące zasad udostępnienia danych osobowych, które powinny być zadeklarowane w umowie udostępnienia. W tym kontekście mam na myśli np.:

  • ustalenie bezpiecznej formy udostępnienia danych
  • ustalenie, co ma się zadziać z dostępami do współdzielonego zasobu (np. serwera sftp służącego do przekazania danych) lub danymi po ich udostępnieniu
  • ustalenie zasad odpowiedzialności w razie niewykonania lub nienależytego wykonywania umowy lub powstania szkody

Zachęcam do uważnego i szczegółowego rozważenia każdego przypadku takiej współpracy zanim do niej nastąpi, aby jak najpełniej zabezpieczyć własne interesy (nie tylko biznesowe, ale też prawne).

Pobierz wpis w wersji pdf

Podobne wpisy:

Wspomnienia ze Spodka 2.0

Stanowisko iSecure w sprawie realizacji obowiązku informacyjnego wobec osób reprezentujących spółki i inne podmioty prawne

Gorzka pigułka od PUODO leczy najskuteczniej 30 czerwca bieżącego roku na stronie internetowej Urzędu Ochrony Danych Osobowych („UODO”) została opublikowana odpowiedź na pytanie: „Czy należy dopełniać obowiązek informacyjny na mocy art. 13 i 14 RODO w sytuacji, gdy w treści dokumentacji dotyczącej postępowań administracyjnych pojawiają się dane osób upoważnionych do reprezentacji spółek np. członków zarządu […]

Rekrutacje zdalne a „kontrowersyjne” dane kandydatów – wizerunki i dane kontaktowe

Wideorozmowy z kandydatami do pracy  Wielu pracodawców, najczęściej dostosowując warunki pracy do sytuacji pandemicznej, zdecydowało się na wprowadzenie zdalnych spotkań w postaci rozmów wideo. Pierwsze skojarzenie wiąże się oczywiście z wizerunkiem kandydata zapraszanego na taką rozmowę, ale sam wizerunek może nie być jedyną daną osobową przetwarzaną w narzędziu do prowadzenia wideorozmów. Pamiętajmy bowiem, że najczęściej, […]

O przechowywaniu danych w chmurze…

Przekazanie danych poza EOG na standardowych klauzulach umownych dalszym podmiotom przetwarzającym

Scenariusz 1. Twoja firma ma siedzibę w Polsce. Twój dostawca usługi również, jednak korzysta z usług podwykonawców posiadających siedzibę w państwie trzecim (poza Europejskim Obszarem Gospodarczym) i w celu realizacji usługi zamierza powierzyć dalej dane osobowe temu podwykonawcy. Twój dostawca zapewnia, że z takim podwykonawcą zawarł standardowe klauzule umowne na potwierdzenie, że może przekazać dane […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki