iSecure logo
  • pl
  • en
    • Blog

    Zakup bazy marketingowej w świetle RODO

    Agnieszka Rapcewicz
    RODO krok po kroku – część 2: obowiązek prowadzenia rejestru przetwarzania
    Kategorie

    Proces samodzielnego tworzenia bazy marketingowej potencjalnych klientów wymaga zazwyczaj czasu, który dla przedsiębiorców jest często zbyt długi. Prostszym rozwiązaniem wydaje się pozyskanie bazy marketingowej od innego podmiotu. W przypadku np. przejęcia jednej spółki przez inną lub połączenia kilku podmiotów (spółek), sprawa jest w miarę prosta, ponieważ nowy podmiot wstępuje w prawa i obowiązki spółki, która stworzyła daną bazę marketingową. Częściej jednak wśród przedsiębiorców spotykam się z pomysłami nabycia bazy marketingowej od zupełnie niepowiązanego podmiotu – takiego, który np. kończy swoją działalność i chce bazę sprzedać albo od brokera danych (który pozyskuje dane ze źródeł powszechnie dostępnych w ramach procesu zwanego “data scraping” lub “web scraping”).

     

    Czy z prawnego punktu widzenia takie działanie jest legalne? Poniżej zamieszczam wyjaśnienia odnoszące się do zakupu baz marketingowych zawierających wyłącznie dane konkretnych osób fizycznych (a nie również ogólne dane kontaktowe firm).

     

    1. Wymagania prawne

    Na wstępie krótko przypomnę, że jeśli przedsiębiorca chce bezpośrednio wysyłać informacje handlowe drogą elektroniczną lub kontaktować się z potencjalnym klientami telefonicznie w celach marketingowych, zastosowanie znajdą nie tylko przepisy RODO, ale też ustawa o świadczeniu usług drogą elektroniczną (UŚUDE) oraz prawo telekomunikacyjne (PT). Wskazane regulacje mają zostać ujednolicone w najbliższym czasie w ramach ustawy Prawo komunikacji elektronicznej, której projekt jest już dostępny publicznie – prace legislacyjne mozna śledzić tutaj: Projekt (legislacja.gov.pl). Przepisy UŚUDE oraz PT nie mają natomiast zastosowania do wysyłania materiałów marketingowych wyłącznie drogą tradycyjną – w tym przypadku zastosowanie ma tylko RODO.

    Przedsiębiorca dokonujący wysyłki informacji marketingowych dotyczących własnej działalności do podmiotów, których dane znajdują się w jego bazie, będzie administratorem danych osobowych. Podstawą prawną przetwarzania danych osobowych w celu prowadzenia marketingu drogą elektroniczną lub telefoniczną będzie co do zasady zgoda osoby, której dane dotyczą. Należy pamiętać, że UŚUDE oraz PT również wymagają pozyskania uprzedniej zgody na kontakt w celach marketingowych (przesyłanie informacji handlowych). W przypadku marketingu prowadzonego drogą tradycyjną (wysyłka listów), można rozważać przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu, czyli zgoda na takie działania nie byłaby potrzebna. Wymaga to jednak analizy, uzasadnienia oraz przyjęcia ryzyka biznesowego związanego z podjęciem działań, które potencjalnie mogą zostać uznane przez organy nadzorcze za niezgodne z zasadami ochrony danych (w przypadku chęci oparcia przetwarzania na prawnie uzasadnionym interesie należy porównać interesy administratora i podmiotu danych; organ nadzorczy wcale nie musi się zgodzić z wynikami analizy przeprowadzonej przez przedsiębiorcę i potencjalnie może uznać, że prawa podmiotu danych zostały naruszone).

    Zgoda powinna być konkretna, świadoma, dobrowolna i jednoznaczna. Oznacza to, że dana osoba musi wiedzieć, na co dokładnie wyraża zgodę, komu zgoda jest udzielana (powinny być znane konkretnie wszystkie podmioty, które na podstawie zgody będą przetwarzać dane), nie może być wymuszona, musi polegać na aktywnym wyrażeniu woli przez daną osobę (np. niedopuszczalne są automatycznie zaznaczone checkboxy czy włączenie zgód marketingowych do regulaminu usług).

    Jeśli dany podmiot przewiduje udostępnianie bazy marketingowej innym podmiotom, powinien w pozyskiwanych przez siebie oświadczeniach uwzględnić zgodę na taki cel i wskazać listę podmiotów, którym dane będą udostępniane w celu prowadzenia przez nie działań marketingowych.

     

    2. Co należy zweryfikować przed zakupem bazy?

    Należy wskazać, że nie występują przepisy zakazujące zbywania, jak i nabywania baz marketingowych. Aby było to legalne należy jednak zweryfikować:

    • czy potencjalny zbywca dysponuje w ogóle zgodami na przesyłanie informacji handlowych drogą elektroniczną/marketing bezpośredni drogą telefoniczną,
    • jaka jest dokładna treść zgód, w tym na rzecz jakiego podmiotu została wyrażona,
    • czy został wobec osób spełniony obowiązek informacyjny dotyczący przetwarzania danych osobowych,
    • w jaki sposób były zbierane zgody,
    • czy zgody i posiadane dane osobowe są aktualne.

     

    3. Dlaczego powyższa weryfikacja jest taka ważna?

    Nabywca bazy marketingowej stanie się administratorem danych osobowych w niej zawartych. Oznacza to, że ciążą na nim wszelkie obowiązki wynikające z RODO. W szczególności przetwarzanie przez niego danych osobowych musi odpowiadać zasadom określonym w art. 5 RODO – zwłaszcza zasadzie legalności, prawidłowości i rozliczalności. Administrator nie tylko musi działać zgodnie z prawem – czyli mieć podstawę prawną do przetwarzania danych osobowych w konkretnych celach (np. zgodę), ale musi być również w stanie wykazać (rozliczyć się) z przestrzegania przepisów RODO.

    W zależności od wyników powyższego „audytu”, możemy mieć do czynienia z następującymi przypadkami:

    • Baza nie posiada żadnych wyrażonych zgód – to bardzo zła wiadomość dla nabywcy. Można zakupić taką bazę, ale raczej nie będzie to miało większego sensu biznesowego. Na pewno nie będzie można wysyłać do osób z bazy informacji handlowych drogą elektroniczną ani kontaktować się telefonicznie w celach marketingowych. Zgoda na takie działania nie została bowiem uprzednio pozyskana przez zbywcę, a nabywca jako nowy administrator, zgodnie z decyzjami właściwych organów i wyrokami sądów, nie może kontaktować się z daną osobą tylko po to, aby zapytać o zgodę marketingową. Jeśli w takiej bazie marketingowej są adresy korespondencyjne osób fizycznych, można potencjalnie rozważać przetwarzanie danych w celu marketingu drogą tradycyjną (papierową) na podstawie prawnie uzasadnionego interesu, czyli zgoda na takie działania nie byłaby potrzebna. Wymaga to jednak analizy, o której była mowa w pkt. 1. powyżej. Dopiero wówczas można by przejść do rozważań, czy takie działania są biznesowo wartościowe i uzasadniają akceptację ryzyka. Dodatkowo należy pamiętać, że przy pierwszym kontakcie, a najpóźniej w ciągu miesiąca od pozyskania danych, należy spełnić wobec takich osób obowiązek informacyjny.
    • Baza posiada zgody, ale z audytu wynika, że nie spełniają wymagań prawnych. To też zła wiadomość. Należy ten przypadek traktować tak, jakby zgód nie było – zastosowanie mają więc uwagi wskazane w punkcie powyżej. Podejmowanie działań w oparciu o takie nieważne zgody jest obarczone bardzo dużym ryzykiem prawnym. Odpowiedzialność za zgodne z prawem przetwarzanie danych zawartych w takiej bazie marketingowej spoczywa nie tylko na zbywcy, ale również na nabywcy, jako nowym administratorze danych. Przedsiębiorca kupujący bazę powinien zadbać o jej legalność i być w stanie rozliczyć się ze spełnienia obowiązków nałożonych przez RODO. Jeśli nie będzie w stanie wykazać powyższej zgodności, może odpowiadać bezpośrednio za naruszenie przepisów dotyczących przetwarzania danych osobowych. 
    • Zgody są, w dodatku odpowiadają wymogom prawa – w tej sytuacji ważne jest, na czyją rzecz zgody zostały wyrażone. Jeśli zbywca w treści zgody wskazał, że dane będą udostępniane partnerom, których lista została podana przy wyrażaniu zgody, a dane nabywcy tam się znajdowały – świetnie, można z takiej bazy legalnie korzystać! Trzeba jednak pamiętać, że przy pierwszym kontakcie, a najpóźniej w ciągu miesiąca od pozyskania danych konieczne jest spełnienie obowiązku informacyjnego zgodnie z art. 14 RODO.
    • Zgody są i odpowiadają wymogom prawa, ale zostały wyrażone wyłącznie na rzecz zbywcy. Co w takiej sytuacji? Aby nabywca mógł legalnie korzystać z takiej bazy w celach marketingowych, zbywca powinien skontaktować się z osobami, które znajdują się w bazie i uzyskać od nich zgodę na sprzedaż bazy konkretnemu podmiotowi w celu prowadzenia przez niego działań marketingowych. Warto, aby zgody były wyrażane technicznie w taki sposób, że w bazie nabywcy będzie odnotowywała się ich treść i data wyrażenia. Takie zgody oczywiście powinny przewidywać wszelkie sposoby komunikacji marketingowej, planowane przez nabywcę. Również w tym przypadku należy pamiętać o obowiązku informacyjnym dotyczącym przetwarzania danych osobowych.

     

    Warto pamiętać, że istnieją także firmy posiadające własne bazy danych, u których można po prostu wykupić reklamę własnych produktów i usług. Wówczas wyłącznym administratorem danych znajdujących się w bazie będzie właśnie ta firma, a podmiot zlecający reklamę nie będzie pełnił żadnej roli w procesie przetwarzania danych. Ważne jednak, aby w wiadomościach wysyłanych przez powyższy podmiot dysponujący bazą wyraźnie zaznaczono, kto jest administratorem danych, a więc podmiotem odpowiedzialnym za przetwarzanie danych. Pozwoli to uniknąć błędnego przesyłania przez podmioty danych skarg i wniosków do podmiotu, który jedynie wykupił reklamę (a przynajmniej pozwoli to bardzo ograniczyć takie przypadki).

    Powyższe uwagi stanowią jedynie zarys kwestii, które należy wziąć pod uwagę, rozważając zakup bazy marketingowej. Szczegóły będą zależeć od konkretnego stanu faktycznego, dlatego jeśli macie pytania dotyczące omówionych zagadnień, zapraszamy do kontaktu z nami!

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…
    Agnieszka Rapcewicz

    Kiedy procesor staje się administratorem?

    Czy w toku obowiązywania umowy powierzenia przetwarzania danych osobowych procesor może jednocześnie pełnić rolę administratora? Czy po rozwiązaniu umowy powierzenia procesor może stać się administratorem danych osobowych, które wcześniej przetwarzał wyłącznie w imieniu innego podmiotu? Odpowiedzi na te pytania mają istotne znaczenie dla określenia obowiązków i potencjalnej odpowiedzialności podmiotów biorących udział w procesie przetwarzania danych osobowych. […]

    Czytaj więcej
    Przemysław Siarka

    Weryfikacja przestrzegania przepisów dotyczących inspektora ochrony danych – Norwegia

    W ostatnich miesiąca nie cichną komentarze po kontroli przeprowadzonej przez UODO w zakresie sprawdzenia sposobu działań IOD-ów, na podstawie listy 27 pytań. Ich treść można poznać na stronie Urzędu (link: https://uodo.gov.pl/pl/138/2336), a także na naszym blogu (link: https://www.isecure.pl/blog/uodo-sprawdza-jak-pracuje-iod-czyli-o-co-chodzi-z-lista-27-pytan/). Z ciekawości przejrzałem strony innych organów ochrony danych osobowych i interesujące wyniki swojej kontroli/ankiety przedstawił w ubiegłym […]

    Czytaj więcej
    Agnieszka Rapcewicz

    Czy zgodnie z RODO można wysyłać kartki świąteczne do klientów lub potencjalnych klientów?

    Zbliżają się Święta Bożego Narodzenia, a firmy rozpoczynają wysyłkę kartek świątecznych do aktualnych, byłych lub potencjalnych klientów. Niekiedy do kartek dołączają oferty dotyczące świadczonych usług lub sprzedawanych produktów (zwłaszcza teraz, w czasie pandemii, chcąc pozyskać nowych klientów). Otrzymujemy w związku z tym pytania, czy takie działania są zgodne z RODO. W niniejszym wpisie wyjaśniamy, co […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki