iSecure logo
Blog

Zakup bazy marketingowej w świetle RODO

Agnieszka Rapcewicz

Proces samodzielnego tworzenia bazy marketingowej potencjalnych klientów wymaga zazwyczaj czasu, który dla przedsiębiorców jest często zbyt długi. Prostszym rozwiązaniem wydaje się pozyskanie bazy marketingowej od innego podmiotu. W przypadku np. przejęcia jednej spółki przez inną lub połączenia kilku podmiotów (spółek), sprawa jest w miarę prosta, ponieważ nowy podmiot wstępuje w prawa i obowiązki spółki, która stworzyła daną bazę marketingową. Częściej jednak wśród przedsiębiorców spotykam się z pomysłami nabycia bazy marketingowej od zupełnie niepowiązanego podmiotu – takiego, który np. kończy swoją działalność i chce bazę sprzedać albo od brokera danych (który pozyskuje dane ze źródeł powszechnie dostępnych w ramach procesu zwanego “data scraping” lub “web scraping”).

 

Czy z prawnego punktu widzenia takie działanie jest legalne? Poniżej zamieszczam wyjaśnienia odnoszące się do zakupu baz marketingowych zawierających wyłącznie dane konkretnych osób fizycznych (a nie również ogólne dane kontaktowe firm).

 

1. Wymagania prawne

Na wstępie krótko przypomnę, że jeśli przedsiębiorca chce bezpośrednio wysyłać informacje handlowe drogą elektroniczną lub kontaktować się z potencjalnym klientami telefonicznie w celach marketingowych, zastosowanie znajdą nie tylko przepisy RODO, ale też ustawa o świadczeniu usług drogą elektroniczną (UŚUDE) oraz prawo telekomunikacyjne (PT). Wskazane regulacje mają zostać ujednolicone w najbliższym czasie w ramach ustawy Prawo komunikacji elektronicznej, której projekt jest już dostępny publicznie – prace legislacyjne mozna śledzić tutaj: Projekt (legislacja.gov.pl). Przepisy UŚUDE oraz PT nie mają natomiast zastosowania do wysyłania materiałów marketingowych wyłącznie drogą tradycyjną – w tym przypadku zastosowanie ma tylko RODO.

Przedsiębiorca dokonujący wysyłki informacji marketingowych dotyczących własnej działalności do podmiotów, których dane znajdują się w jego bazie, będzie administratorem danych osobowych. Podstawą prawną przetwarzania danych osobowych w celu prowadzenia marketingu drogą elektroniczną lub telefoniczną będzie co do zasady zgoda osoby, której dane dotyczą. Należy pamiętać, że UŚUDE oraz PT również wymagają pozyskania uprzedniej zgody na kontakt w celach marketingowych (przesyłanie informacji handlowych). W przypadku marketingu prowadzonego drogą tradycyjną (wysyłka listów), można rozważać przetwarzanie danych osobowych na podstawie prawnie uzasadnionego interesu, czyli zgoda na takie działania nie byłaby potrzebna. Wymaga to jednak analizy, uzasadnienia oraz przyjęcia ryzyka biznesowego związanego z podjęciem działań, które potencjalnie mogą zostać uznane przez organy nadzorcze za niezgodne z zasadami ochrony danych (w przypadku chęci oparcia przetwarzania na prawnie uzasadnionym interesie należy porównać interesy administratora i podmiotu danych; organ nadzorczy wcale nie musi się zgodzić z wynikami analizy przeprowadzonej przez przedsiębiorcę i potencjalnie może uznać, że prawa podmiotu danych zostały naruszone).

Zgoda powinna być konkretna, świadoma, dobrowolna i jednoznaczna. Oznacza to, że dana osoba musi wiedzieć, na co dokładnie wyraża zgodę, komu zgoda jest udzielana (powinny być znane konkretnie wszystkie podmioty, które na podstawie zgody będą przetwarzać dane), nie może być wymuszona, musi polegać na aktywnym wyrażeniu woli przez daną osobę (np. niedopuszczalne są automatycznie zaznaczone checkboxy czy włączenie zgód marketingowych do regulaminu usług).

Jeśli dany podmiot przewiduje udostępnianie bazy marketingowej innym podmiotom, powinien w pozyskiwanych przez siebie oświadczeniach uwzględnić zgodę na taki cel i wskazać listę podmiotów, którym dane będą udostępniane w celu prowadzenia przez nie działań marketingowych.

 

2. Co należy zweryfikować przed zakupem bazy?

Należy wskazać, że nie występują przepisy zakazujące zbywania, jak i nabywania baz marketingowych. Aby było to legalne należy jednak zweryfikować:

  • czy potencjalny zbywca dysponuje w ogóle zgodami na przesyłanie informacji handlowych drogą elektroniczną/marketing bezpośredni drogą telefoniczną,
  • jaka jest dokładna treść zgód, w tym na rzecz jakiego podmiotu została wyrażona,
  • czy został wobec osób spełniony obowiązek informacyjny dotyczący przetwarzania danych osobowych,
  • w jaki sposób były zbierane zgody,
  • czy zgody i posiadane dane osobowe są aktualne.

 

3. Dlaczego powyższa weryfikacja jest taka ważna?

Nabywca bazy marketingowej stanie się administratorem danych osobowych w niej zawartych. Oznacza to, że ciążą na nim wszelkie obowiązki wynikające z RODO. W szczególności przetwarzanie przez niego danych osobowych musi odpowiadać zasadom określonym w art. 5 RODO – zwłaszcza zasadzie legalności, prawidłowości i rozliczalności. Administrator nie tylko musi działać zgodnie z prawem – czyli mieć podstawę prawną do przetwarzania danych osobowych w konkretnych celach (np. zgodę), ale musi być również w stanie wykazać (rozliczyć się) z przestrzegania przepisów RODO.

W zależności od wyników powyższego „audytu”, możemy mieć do czynienia z następującymi przypadkami:

  • Baza nie posiada żadnych wyrażonych zgód – to bardzo zła wiadomość dla nabywcy. Można zakupić taką bazę, ale raczej nie będzie to miało większego sensu biznesowego. Na pewno nie będzie można wysyłać do osób z bazy informacji handlowych drogą elektroniczną ani kontaktować się telefonicznie w celach marketingowych. Zgoda na takie działania nie została bowiem uprzednio pozyskana przez zbywcę, a nabywca jako nowy administrator, zgodnie z decyzjami właściwych organów i wyrokami sądów, nie może kontaktować się z daną osobą tylko po to, aby zapytać o zgodę marketingową. Jeśli w takiej bazie marketingowej są adresy korespondencyjne osób fizycznych, można potencjalnie rozważać przetwarzanie danych w celu marketingu drogą tradycyjną (papierową) na podstawie prawnie uzasadnionego interesu, czyli zgoda na takie działania nie byłaby potrzebna. Wymaga to jednak analizy, o której była mowa w pkt. 1. powyżej. Dopiero wówczas można by przejść do rozważań, czy takie działania są biznesowo wartościowe i uzasadniają akceptację ryzyka. Dodatkowo należy pamiętać, że przy pierwszym kontakcie, a najpóźniej w ciągu miesiąca od pozyskania danych, należy spełnić wobec takich osób obowiązek informacyjny.
  • Baza posiada zgody, ale z audytu wynika, że nie spełniają wymagań prawnych. To też zła wiadomość. Należy ten przypadek traktować tak, jakby zgód nie było – zastosowanie mają więc uwagi wskazane w punkcie powyżej. Podejmowanie działań w oparciu o takie nieważne zgody jest obarczone bardzo dużym ryzykiem prawnym. Odpowiedzialność za zgodne z prawem przetwarzanie danych zawartych w takiej bazie marketingowej spoczywa nie tylko na zbywcy, ale również na nabywcy, jako nowym administratorze danych. Przedsiębiorca kupujący bazę powinien zadbać o jej legalność i być w stanie rozliczyć się ze spełnienia obowiązków nałożonych przez RODO. Jeśli nie będzie w stanie wykazać powyższej zgodności, może odpowiadać bezpośrednio za naruszenie przepisów dotyczących przetwarzania danych osobowych. 
  • Zgody są, w dodatku odpowiadają wymogom prawa – w tej sytuacji ważne jest, na czyją rzecz zgody zostały wyrażone. Jeśli zbywca w treści zgody wskazał, że dane będą udostępniane partnerom, których lista została podana przy wyrażaniu zgody, a dane nabywcy tam się znajdowały – świetnie, można z takiej bazy legalnie korzystać! Trzeba jednak pamiętać, że przy pierwszym kontakcie, a najpóźniej w ciągu miesiąca od pozyskania danych konieczne jest spełnienie obowiązku informacyjnego zgodnie z art. 14 RODO.
  • Zgody są i odpowiadają wymogom prawa, ale zostały wyrażone wyłącznie na rzecz zbywcy. Co w takiej sytuacji? Aby nabywca mógł legalnie korzystać z takiej bazy w celach marketingowych, zbywca powinien skontaktować się z osobami, które znajdują się w bazie i uzyskać od nich zgodę na sprzedaż bazy konkretnemu podmiotowi w celu prowadzenia przez niego działań marketingowych. Warto, aby zgody były wyrażane technicznie w taki sposób, że w bazie nabywcy będzie odnotowywała się ich treść i data wyrażenia. Takie zgody oczywiście powinny przewidywać wszelkie sposoby komunikacji marketingowej, planowane przez nabywcę. Również w tym przypadku należy pamiętać o obowiązku informacyjnym dotyczącym przetwarzania danych osobowych.

 

Warto pamiętać, że istnieją także firmy posiadające własne bazy danych, u których można po prostu wykupić reklamę własnych produktów i usług. Wówczas wyłącznym administratorem danych znajdujących się w bazie będzie właśnie ta firma, a podmiot zlecający reklamę nie będzie pełnił żadnej roli w procesie przetwarzania danych. Ważne jednak, aby w wiadomościach wysyłanych przez powyższy podmiot dysponujący bazą wyraźnie zaznaczono, kto jest administratorem danych, a więc podmiotem odpowiedzialnym za przetwarzanie danych. Pozwoli to uniknąć błędnego przesyłania przez podmioty danych skarg i wniosków do podmiotu, który jedynie wykupił reklamę (a przynajmniej pozwoli to bardzo ograniczyć takie przypadki).

Powyższe uwagi stanowią jedynie zarys kwestii, które należy wziąć pod uwagę, rozważając zakup bazy marketingowej. Szczegóły będą zależeć od konkretnego stanu faktycznego, dlatego jeśli macie pytania dotyczące omówionych zagadnień, zapraszamy do kontaktu z nami!

Pobierz wpis w wersji pdf

Podobne wpisy:

Katarzyna Ułasiuk

iSecure partnerem w biznesie

Bardzo miło nam poinformować o naszych kolejnych nowych projektach i współpracach partnerskich, jakie nawiązaliśmy w ostatnim czasie. iSecure partnerem Grupy Twoja Kariera i autorem publikacji Pomocnik HR Grupa Twoja Kariera to twórca specjalistycznych portali, których celem jest przyspieszenie procesów rekrutacyjnych w poszczególnych sektorach rynku. W ramach nawiązanej współpracy specjaliści z naszego Zespołu będą przygotowywać infografiki z […]

Kurs ochrony danych osobowych przez e-mail
Olga Skotnicka

Czy znasz prawa osób, których dane przetwarzasz ?

Z pełnym przekonaniem mogę stwierdzić, że jednym z większych wyzwań Administratora jest obsługa wniosków dotyczących realizacji praw osób których dane dotyczą. RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały świadomość, co do podejmowanych działań przez Administratora. Mam na myśli najczęściej stosowane prawa wskazane w art. 15-22 RODO, tj. prawo do: […]

Maria Lothamer

Audyt RODO – czy rzeczywiście jest potrzebny i w jaki sposób go przeprowadzić?

Gdy rozmawiam z potencjalnymi klientami, często od nich słyszę, że nie chcą żadnych audytów tylko chcą być zgodni z RODO. Rzeczywiście istnieją w naszej branży podmioty, które oferują gotowe „pakiety” zgodności z RODO w postaci wzorów dokumentacji, klauzul i ogólnych zaleceń. Warto jednak zadać sobie wówczas pytanie czy otrzymując taki pakiet będziecie wiedzieli co z […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki