iSecure logo
Blog

Zakup bazy marketingowej w świetle RODO

Agnieszka Rapcewicz
RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania
Kategorie

Proces samodzielnego tworzenia bazy marketingowej potencjalnych klientów wymaga zazwyczaj czasu, który dla przedsiębiorców jest często zbyt długi. Prostszym rozwiązaniem wydaje się pozyskanie bazy marketingowej od innego podmiotu. W przypadku np. przejęcia jednej spółki przez inną lub połączenia kilku podmiotów (spółek), sprawa jest w miarę prosta, ponieważ nowy podmiot wstępuje w prawa i obowiązki spółki, która stworzyła daną bazę marketingową. Częściej jednak wśród przedsiębiorców spotykam się z pomysłami nabycia bazy marketingowej od zupełnie niepowiązanego podmiotu – takiego, który np. kończy swoją działalność i chce bazę sprzedać albo od brokera danych (który pozyskuje dane ze źródeł powszechnie dostępnych w ramach procesu zwanego “data scraping” lub “web scraping”).

 

Czy z prawnego punktu widzenia takie działanie jest legalne? Poniżej zamieszczam wyjaśnienia odnoszące się do zakupu baz marketingowych zawierających wyłącznie dane konkretnych osób fizycznych (a nie również ogólne dane kontaktowe firm).

 

1. Wymagania prawne

Na wstępie krótko przypomnę, że jeśli przedsiębiorca chce bezpośrednio wysyłać informacje handlowe drogą elektroniczną lub kontaktować się z potencjalnym klientami telefonicznie w celach marketingowych, zastosowanie znajdą nie tylko przepisy RODO, ale też ustawa o świadczeniu usług drogą elektroniczną (UŚUDE) oraz prawo telekomunikacyjne (PT). Wskazane regulacje mają zostać ujednolicone w najbliższym czasie w ramach ustawy Prawo komunikacji elektronicznej, której projekt jest już dostępny publicznie – prace legislacyjne mozna śledzić tutaj: Projekt (legislacja.gov.pl). Przepisy UŚUDE oraz PT nie mają natomiast zastosowania do wysyłania materiałów marketingowych wyłącznie drogą tradycyjną – w tym przypadku zastosowanie ma tylko RODO.

Przedsiębiorca dokonujący wysyłki informacji marketingowych dotyczących własnej działalności do podmiotów, których dane znajdują się w jego bazie, będzie administratorem danych osobowych. Podstawą prawną przetwarzania danych osobowych w celu prowadzenia marketingu drogą elektroniczną lub telefoniczną będzie co do zasady zgoda osoby, której dane dotyczą. Należy pamiętać, że UŚUDE oraz PT również wymagają pozyskania uprzedniej zgody na kontakt w celach marketingowych (przesyłanie informacji handlowych). W przypadku marketingu prowadzonego drogą tradycyjną (wysyłka listów), można rozważać przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu, czyli zgoda na takie działania nie byłaby potrzebna. Wymaga to jednak analizy, uzasadnienia oraz przyjęcia ryzyka biznesowego związanego z podjęciem działań, które potencjalnie mogą zostać uznane przez organy nadzorcze za niezgodne z zasadami ochrony danych (w przypadku chęci oparcia przetwarzania na prawnie uzasadnionym interesie należy porównać interesy administratora i podmiotu danych; organ nadzorczy wcale nie musi się zgodzić z wynikami analizy przeprowadzonej przez przedsiębiorcę i potencjalnie może uznać, że prawa podmiotu danych zostały naruszone).

Zgoda powinna być konkretna, świadoma, dobrowolna i jednoznaczna. Oznacza to, że dana osoba musi wiedzieć, na co dokładnie wyraża zgodę, komu zgoda jest udzielana (powinny być znane konkretnie wszystkie podmioty, które na podstawie zgody będą przetwarzać dane), nie może być wymuszona, musi polegać na aktywnym wyrażeniu woli przez daną osobę (np. niedopuszczalne są automatycznie zaznaczone checkboxy czy włączenie zgód marketingowych do regulaminu usług).

Jeśli dany podmiot przewiduje udostępnianie bazy marketingowej innym podmiotom, powinien w pozyskiwanych przez siebie oświadczeniach uwzględnić zgodę na taki cel i wskazać listę podmiotów, którym dane będą udostępniane w celu prowadzenia przez nie działań marketingowych.

 

2. Co należy zweryfikować przed zakupem bazy?

Należy wskazać, że nie występują przepisy zakazujące zbywania, jak i nabywania baz marketingowych. Aby było to legalne należy jednak zweryfikować:

  • czy potencjalny zbywca dysponuje w ogóle zgodami na przesyłanie informacji handlowych drogą elektroniczną/marketing bezpośredni drogą telefoniczną,
  • jaka jest dokładna treść zgód, w tym na rzecz jakiego podmiotu została wyrażona,
  • czy został wobec osób spełniony obowiązek informacyjny dotyczący przetwarzania danych osobowych,
  • w jaki sposób były zbierane zgody,
  • czy zgody i posiadane dane osobowe są aktualne.

 

3. Dlaczego powyższa weryfikacja jest taka ważna?

Nabywca bazy marketingowej stanie się administratorem danych osobowych w niej zawartych. Oznacza to, że ciążą na nim wszelkie obowiązki wynikające z RODO. W szczególności przetwarzanie przez niego danych osobowych musi odpowiadać zasadom określonym w art. 5 RODO – zwłaszcza zasadzie legalności, prawidłowości i rozliczalności. Administrator nie tylko musi działać zgodnie z prawem – czyli mieć podstawę prawną do przetwarzania danych osobowych w konkretnych celach (np. zgodę), ale musi być również w stanie wykazać (rozliczyć się) z przestrzegania przepisów RODO.

W zależności od wyników powyższego „audytu”, możemy mieć do czynienia z następującymi przypadkami:

  • Baza nie posiada żadnych wyrażonych zgód – to bardzo zła wiadomość dla nabywcy. Można zakupić taką bazę, ale raczej nie będzie to miało większego sensu biznesowego. Na pewno nie będzie można wysyłać do osób z bazy informacji handlowych drogą elektroniczną ani kontaktować się telefonicznie w celach marketingowych. Zgoda na takie działania nie została bowiem uprzednio pozyskana przez zbywcę, a nabywca jako nowy administrator, zgodnie z decyzjami właściwych organów i wyrokami sądów, nie może kontaktować się z daną osobą tylko po to, aby zapytać o zgodę marketingową. Jeśli w takiej bazie marketingowej są adresy korespondencyjne osób fizycznych, można potencjalnie rozważać przetwarzanie danych w celu marketingu drogą tradycyjną (papierową) na podstawie prawnie uzasadnionego interesu, czyli zgoda na takie działania nie byłaby potrzebna. Wymaga to jednak analizy, o której była mowa w pkt. 1. powyżej. Dopiero wówczas można by przejść do rozważań, czy takie działania są biznesowo wartościowe i uzasadniają akceptację ryzyka. Dodatkowo należy pamiętać, że przy pierwszym kontakcie, a najpóźniej w ciągu miesiąca od pozyskania danych, należy spełnić wobec takich osób obowiązek informacyjny.
  • Baza posiada zgody, ale z audytu wynika, że nie spełniają wymagań prawnych. To też zła wiadomość. Należy ten przypadek traktować tak, jakby zgód nie było – zastosowanie mają więc uwagi wskazane w punkcie powyżej. Podejmowanie działań w oparciu o takie nieważne zgody jest obarczone bardzo dużym ryzykiem prawnym. Odpowiedzialność za zgodne z prawem przetwarzanie danych zawartych w takiej bazie marketingowej spoczywa nie tylko na zbywcy, ale również na nabywcy, jako nowym administratorze danych. Przedsiębiorca kupujący bazę powinien zadbać o jej legalność i być w stanie rozliczyć się ze spełnienia obowiązków nałożonych przez RODO. Jeśli nie będzie w stanie wykazać powyższej zgodności, może odpowiadać bezpośrednio za naruszenie przepisów dotyczących przetwarzania danych osobowych. 
  • Zgody są, w dodatku odpowiadają wymogom prawa – w tej sytuacji ważne jest, na czyją rzecz zgody zostały wyrażone. Jeśli zbywca w treści zgody wskazał, że dane będą udostępniane partnerom, których lista została podana przy wyrażaniu zgody, a dane nabywcy tam się znajdowały – świetnie, można z takiej bazy legalnie korzystać! Trzeba jednak pamiętać, że przy pierwszym kontakcie, a najpóźniej w ciągu miesiąca od pozyskania danych konieczne jest spełnienie obowiązku informacyjnego zgodnie z art. 14 RODO.
  • Zgody są i odpowiadają wymogom prawa, ale zostały wyrażone wyłącznie na rzecz zbywcy. Co w takiej sytuacji? Aby nabywca mógł legalnie korzystać z takiej bazy w celach marketingowych, zbywca powinien skontaktować się z osobami, które znajdują się w bazie i uzyskać od nich zgodę na sprzedaż bazy konkretnemu podmiotowi w celu prowadzenia przez niego działań marketingowych. Warto, aby zgody były wyrażane technicznie w taki sposób, że w bazie nabywcy będzie odnotowywała się ich treść i data wyrażenia. Takie zgody oczywiście powinny przewidywać wszelkie sposoby komunikacji marketingowej, planowane przez nabywcę. Również w tym przypadku należy pamiętać o obowiązku informacyjnym dotyczącym przetwarzania danych osobowych.

 

Warto pamiętać, że istnieją także firmy posiadające własne bazy danych, u których można po prostu wykupić reklamę własnych produktów i usług. Wówczas wyłącznym administratorem danych znajdujących się w bazie będzie właśnie ta firma, a podmiot zlecający reklamę nie będzie pełnił żadnej roli w procesie przetwarzania danych. Ważne jednak, aby w wiadomościach wysyłanych przez powyższy podmiot dysponujący bazą wyraźnie zaznaczono, kto jest administratorem danych, a więc podmiotem odpowiedzialnym za przetwarzanie danych. Pozwoli to uniknąć błędnego przesyłania przez podmioty danych skarg i wniosków do podmiotu, który jedynie wykupił reklamę (a przynajmniej pozwoli to bardzo ograniczyć takie przypadki).

Powyższe uwagi stanowią jedynie zarys kwestii, które należy wziąć pod uwagę, rozważając zakup bazy marketingowej. Szczegóły będą zależeć od konkretnego stanu faktycznego, dlatego jeśli macie pytania dotyczące omówionych zagadnień, zapraszamy do kontaktu z nami!

Pobierz wpis w wersji pdf

Podobne wpisy:

Monitoring a ochrona danych osobowych
Michał Sztąberek

Monitoring a ochrona danych osobowych

Monitoring w kontekście prawa do prywatności, o którym mowa w Konstytucji czy też w ustawie o ochronie danych osobowych to od dłuższego czasu kwestia mocno kontrowersyjna.

Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…
Michał Sztąberek

Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…

W obecnym stanie prawnym przedsiębiorca zobowiązany jest do dopełnienia szeregu obowiązków informacyjnych wynikających z wielu ustaw. W niniejszym wpisie skupię się na ustawie o ochronie niektórych praw konsumentów oraz o odpowiedzialności za szkodę wyrządzoną przez produkt niebezpieczny, na ustawie o świadczeniu usług drogą elektroniczną i na ustawie o ochronie danych osobowych.

O bezpiecznych portalach społecznościowych
Michał Sztąberek

O bezpiecznych portalach społecznościowych

Pisząc o serwisach społecznościowych pod kątem ich bezpieczeństwa dla prywatności i ochrony danych osobowych, warto na początek spróbować zdefiniować sobie, czym są takie serwisy. W tym miejscu pozwolę sobie sięgnąć po definicję zawartą na stronach Wikipedii, zgodnie z którą serwisem społecznościowym będzie rodzaj interaktywnych stron www, które są współtworzone przez sieci społeczne osób podzielających wspólne zainteresowania lub chcących poznać zainteresowania innych.

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki