iSecure logo
  • pl
  • en
    • Blog

    Umowa udostępnienia danych osobowych w celach marketingowych

    Katarzyna Ułasiuk-Delamare
    Kategorie

    Specjaliści w dziedzinie marketingu na pewno słyszeli o umowie powierzenia danych osobowych, zwłaszcza kiedy korzystają ze wsparcia zewnętrznych dostawców usług – realizacji kampanii mailingowych czy SMS, realizacji promocji, konkursów, utrzymania systemu do przetwarzania baz marketingowych. Rzadziej w obrocie pomiędzy firmami pojawia się umowa udostępnienia danych osobowych do zawarcia pomiędzy firmą X udostępniającą dane a firmą Y pozyskującą te dane. A jeżeli już trafia jej draft do podpisu, to często wywołuje on moment zastanowienia: czy taka umowa jest konieczna? Czy umowa ramowa, zamówienie lub ogólne warunki przekazane przez dostawcę nie wystarczą? Czy teraz wszystkie zawarte umowy trzeba jakoś aneksować albo podpisywać nowe, żeby uzupełnić kwestię udostępnienia danych?

    Czy umowa udostępnienia danych marketingowych jest obowiązkowa?

    Wiemy, że RODO nakłada na firmy wiele obowiązków zwłaszcza w obszarze marketingowym, ale… zawarcie umowy udostępnienia danych osobowych do celów marketingowych nie jest jednym z nich. Innymi słowy mówiąc – nie ma w RODO wprost przepisu, który formalnie nakazuje podpisywanie konkretnie umów udostępnienia danych. Nie oznacza to jednak, że taka umowa to zbyteczna rzecz, którą nie warto sobie zawracać głowy. Wręcz przeciwnie – wiedząc, że wymiana danych w celach marketingowych to bardzo delikatna sprawa, nawet wskazane jest, żeby spółki współpracujące ze sobą potwierdziły, jakie dane, na jakich podstawach prawnych i w jaki sposób jedna firma będzie je udostępniać drugiej. Umowa udostępnienia danych pozwoli obu firmom na wykazanie, w jaki sposób podchodzą do realizacji chociażby obowiązku posiadania podstaw prawnych przetwarzania (udostępnienia) danych, a to z kolei przełoży się na przestrzeganie zasady rozliczalności, o której mowa w RODO.

    O tym, co powinno być zawarte w umowie udostępnienia danych w celach marketingowych jeszcze opiszę dokładnie poniżej. Przypomnę jedynie, że mówiąc o takiej umowie rozumiemy sytuację, kiedy dochodzi do współpracy dwóch administratorów danych: jedna firma (Udostępniający Sp. z o.o.) posiada swoją własną bazę danych, np. zebraną w trakcie realizowanych konkursów, kampanii promocyjnych, itp.  i określone dane z tej bazy zamierza udostępnić drugiej firmie (Otrzymujący Sp. z o.o.), do realizacji jej własnych celów marketingowych (np. wysyłki swojego własnego newslettera). Ta druga firma realizować będzie swoje cele marketingowe niezależnie od pierwszej, dlatego mówimy o dwóch niezależnych administratorach danych.

    Co powinniśmy zawrzeć w umowie udostępnienia danych?

    Oprócz podstawowych kwestii, takich jak oznaczenie stron, data zawarcia, czas trwania, zasady rozliczeń (cena, termin płatności), liczba rekordów, data przekazania rekordów, umowa udostępnienia danych osobowych do ich wykorzystania w celach marketingowych powinna zawierać jak najwięcej postanowień dotyczących samych warunków udostępnienia danych. Dlaczego? Przede wszystkim po to, aby podmiot nabywający dane osobowe miał pewność, że baza lub część bazy, którą pozyskuje od udostępniającego, jest nie tylko atrakcyjna biznesowo, ale przede wszystkim (z punktu widzenia RODO) posiada wysoką jakość prawną, umożliwiającą prawidłowe, bez ryzyka naruszeń prawa, wykorzystanie danych osobowych w zakładanych celach, już po ich udostępnieniu.

     

    Poniżej podaję przykłady, na co warto zwrócić uwagę weryfikując umowę udostępnienia danych w celach marketingowych.

    1. Pierwotne źródło danych

    Wiadomo, że źródłem danych osobowych dla nabywcy jest zbywca bazy danych. Ale przecież z jakiegoś źródła pierwotnie te dane pozyskano. Dlaczego warto zwrócić uwagę, czy jest o tym wzmianka w umowie? Nabywca bazy znając pierwotne źródło danych, np. adres www dedykowanego landing page, byłby w stanie samodzielnie sprawdzić chociażby sposób zbierania i treść zgód pozyskiwanych od „leadów”, a kluczowa w tym przypadku byłaby zgoda na udostępnienie danych przez naszego „zbywcę” (Udostępniający Sp. z o.o.) do firmy zainteresowanej nabyciem danych (Otrzymujący Sp. z o.o.).

    1. Zakres danych

    Ważne, żeby strony miały pełną jasność, jakie dane osobowe będą udostępniane w ramach współpracy. Przede wszystkim warto zwrócić uwagę, na to, aby:

    • przekazujący udostępniał nabywcy dane osobowe tylko w takim zakresie, jaki jest niezbędny nabywcy do realizacji jego własnych celów, a zakres taki powinien być wskazany jasno w umowie,
    • dane osobowe w zakresie udostępnianym nabywcy przez przekazującego zostały podane przekazującemu przez osobę, której dane dotyczą dobrowolnie i nie doszło do ich podania w sposób wymuszony. Chodzi o takie przypadki, gdzie wymagano, aby osoba, której dane dotyczą, podając swoje dane dla celów realizowanych przez przekazującego, jednocześnie w takim samym zakresie obligatoryjnie podała je do realizacji celów nabywcy (w szczególności pola w formularzu dotyczące wszystkich danych osobowych zostały oznaczone przez przekazującego jako wymagane do podania – np. imię, nazwisko, adres korespondencyjny, e-mail, nr telefonu, podczas gdy nabywcy niezbędne do wysyłki newslettera są dane w zakresie adresu e-mail, ewentualnie imienia),
    • w zakresie danych osobowych znalazły się dane kontaktowe do osób, których dane dotyczą tak, aby nabywca miał możliwość spełnienia ciążącego na nim obowiązku informacyjnego, o którym mowa w art. 14 RODO.
    1. Podanie informacji o udostępniającym jako źródle danych

    Zamówienie, umowa ramowa lub ogólne warunki zabraniają, aby nabywca w korespondencji z „leadami” powoływał się na współpracę z udostępniającym? To bardzo niedobrze. Nabywca, pozyskując udostępniane mu dane osobowe, musi wobec osób, których dane dotyczą spełnić obowiązek informacyjny, o którym mowa w art. 14 RODO, a jednym z obligatoryjnych punktów jest podanie informacji o źródle danych (w tym przypadku – o nabywcy). Zatem jakiekolwiek wykluczenia w tym zakresie w warunkach współpracy są ryzykowne, ponieważ uniemożliwiają należyte spełnienie przepisów prawa przez nabywcę.

    1. Podstawy udostępnienia danych osobowych

    Ten aspekt współpracy w praktyce przysparza firmom chyba najwięcej kłopotów. W przypadku, kiedy nabywca zamierza wykorzystywać udostępnione mu dane osobowe we własnych celach marketingowych, należy dopilnować, aby umowa udostępnienia danych przewidywała co najmniej następujące, generalne wymagania dla udostępnianych danych:

    • osoba, której dane dotyczą wyraziła świadomą, jednoznaczną, konkretną i dobrowolną zgodę na udostępnienie jej danych osobowych przez przekazującego do nabywcy w celu wysyłania przez nabywcę drogą elektroniczną (e-mail lub SMS) treści marketingowych (ofert, reklam, promocji, informacji handlowych, itp.) dotyczących produktów lub usług nabywcy (albo w niektórych przypadkach – podmiotów współpracujących z nabywcą) – w przypadku, gdy nabywca jest zainteresowany realizacją wysyłki komunikatów do osób, których dane otrzyma od przekazującego w formie elektronicznej
    • osoba, której dane dotyczą wyraziła świadomą, jednoznaczną, konkretną i dobrowolną zgodę na udostępnienie jej danych osobowych przez przekazującego do nabywcy w celu wykonywania przez nabywcę połączeń telefonicznych na numery telefonów w celu przedstawienia treści marketingowych (ofert, reklam, promocji, informacji handlowych, itp.) dotyczących produktów lub usług nabywcy (albo w niektórych przypadkach – podmiotów współpracujących z nabywcą) – w przypadku, gdy nabywca jest zainteresowany realizacją połączeń telefonicznych do osób, których dane otrzyma od przekazującego
    • przekazujący zbierając dane i zgody, o których mowa powyżej, poinformował w sposób zgodny z RODO, że zostaną one udostępnione przez przekazującego, jako administratora, do nabywcy, jako odrębnego administratora, do realizacji własnych celów nabywcy
    • przekazujący podczas przekazania danych osobowych spełniał wymagania RODO, a zwłaszcza art. 6 ust. 1 i art. 13 RODO, a także wymagania art. 10 ustawy o świadczeniu usług drogą elektroniczną i art. 172 i art. 174 Prawa telekomunikacyjnego
    1. Dowody udostępnienia danych i pozyskanych zgód na udostępnienie

    Jak to mówią: „papier wszystko przyjmie” i trudno się z tym nie zgodzić. Natomiast wiedząc, ile kosztów, czasu i nerwów może kosztować reperowanie wadliwych lub niekompletnych postanowień umownych, tym bardziej jeżeli doszło do szkody lub nieprawidłowego wykonywania postanowień umownych, zalecam, aby już na etapie zawierania współpracy i podpisywania umowy udostępnienia danych potwierdzić dowody na to, że obowiązki dotyczące posiadania prawidłowych danych i zgód na udostępnienie danych do nabywcy nie istnieją tylko na papierze.

    Czego szukać w umowie udostępnienia? Potwierdzenia, że każde udostępnienie przez przekazującego danych osobowych wymaga wykazania i udokumentowania właściwej podstawy udostępnienia tych danych. W związku z tym przekazujący udostępniając dane osobowe powinien udostępnić wszystkie informacje, pozwalające na udokumentowanie, że konkretny podmiot wyraził konkretną, niezbędną zgodę na udostępnienie danych do nabywcy, w szczególności:

    • typ wyrażonej zgody
    • treść wyrażonej zgody
    • datę wyrażonej zgody
    • źródło wyrażonej zgody
    • adres e-mail/numer telefonu/adres IP powiązany z wyrażoną zgodą

    Warto też zastrzec w umowie udostępnienia, aby przekazujący przedstawił nabywcy przykłady, próbki, wzory stosowanych przez siebie formularzy bądź linki źródłowe do nich, w celu upewnienia się, że zebrane dane będące przedmiotem udostępnienia nie są obarczone wadą prawną wynikającą z niezgodności z przepisami RODO, art. 10 ustawy o świadczeniu usług drogą elektroniczną lub art. 172 i art. 174 Prawa telekomunikacyjnego.

    Co poza tym?

    Oczywiście, powyższe podpowiedzi to jedynie przykłady i każda firma powinna rozważyć nie tylko te, ale też inne kwestie dotyczące zasad udostępnienia danych osobowych, które powinny być zadeklarowane w umowie udostępnienia. W tym kontekście mam na myśli np.:

    • ustalenie bezpiecznej formy udostępnienia danych
    • ustalenie, co ma się zadziać z dostępami do współdzielonego zasobu (np. serwera sftp służącego do przekazania danych) lub danymi po ich udostępnieniu
    • ustalenie zasad odpowiedzialności w razie niewykonania lub nienależytego wykonywania umowy lub powstania szkody

    Zachęcam do uważnego i szczegółowego rozważenia każdego przypadku takiej współpracy zanim do niej nastąpi, aby jak najpełniej zabezpieczyć własne interesy (nie tylko biznesowe, ale też prawne).

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Ewa Eluszkiewicz

    Dokumentacja związana z monitoringiem wizyjnym w firmie

    Prawidłowe wprowadzenie monitoringu wizyjnego, nie tylko w miejscu pracy, z punktu widzenia ochrony danych osobowych wiąże się z koniecznością szeregu czynności, jakie trzeba podjąć. Można tu wskazać kilka etapów wprowadzania monitoringu: etap oceny zasadności zainstalowania systemu, dokonania ogólnej oceny przetwarzania danych osobowych za pomocą monitoringu biorącej pod uwagę potrzeby i możliwości podmiotu wprowadzającego taki monitoring, […]

    Czytaj więcej
    Michał Sztąberek

    Jak zabezpieczyć dane osobowe graczy na forum internetowym?

    Wiele firm z branży gamedev jest w stałym kontakcie ze społecznością graczy. Często taka relacja zaczyna się na długo przed wydaniem gry, czasami może to być etap beta – testów albo tzw. early access (tu świetnym przykładem może być chyba największy hit 2023 r. czyli Baldur’s Gate 3) podczas którego gracze mają możliwość przetestować dany […]

    Czytaj więcej
    RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania
    Agnieszka Rapcewicz

    Zakup bazy marketingowej w świetle RODO

    Proces samodzielnego tworzenia bazy marketingowej potencjalnych klientów wymaga zazwyczaj czasu, który dla przedsiębiorców jest często zbyt długi. Prostszym rozwiązaniem wydaje się pozyskanie bazy marketingowej od innego podmiotu. W przypadku np. przejęcia jednej spółki przez inną lub połączenia kilku podmiotów (spółek), sprawa jest w miarę prosta, ponieważ nowy podmiot wstępuje w prawa i obowiązki spółki, która […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki