Niestety Dostawcy baz danych, nawet jeżeli w umowach sprzedaży danych gwarantują pełną legalność danych, to w praktyce nie jest możliwa żadna weryfikacja tego typu oświadczeń. Dostawcy stosują dość ogólne i abstrakcyjne postanowienia umowne w tym zakresie. Przedsiębiorca zadowalający się takim oświadczeniem, korzystając z zakupionej bazy danych jest narażony na zarzut nielegalnego wykorzystywania danych osobowych i zapłaty kary administracyjnej.

Często można się spotkać z bardzo przebiegłą praktyką sprzedaży danych. Otóż, Dostawca oświadcza, że pozyskał dane w sposób legalny i posiada pełne prawo do sprzedaży danych (ich udostępnienia), jednocześnie pozyskując od Odbiory danych gwarancję, że będzie on przetwarzał dane zgodnie z wymogami prawa. W takim przypadku Dostawca faktycznie mógł zrealizować ciążące na nim obowiązki i dane udostępnić legalnie, ale już Obiorca nie nabędzie prawa do przetwarzania danych w celach marketingowych. W skrócie pisząc Odbiorca wszedł w posiadanie danych legalnie i może je archiwizować, ale nie może wykonywać czynności marketingowych.

Jakie warunki powinna spełniać konsumencka baza danych, aby była w pełni legalna?

Mówiąc o legalnej bazie danych pozyskanej przez Dostawcę w celu dalszego jej udostępniania, należy wziąć po uwagę właściwą realizację obowiązku informacyjnego oraz skuteczność i treść pozyskanych zgód od osoby, której dane dotyczą.

Czym jest obowiązek informacyjny? Otóż, należy zauważyć, że przepisy o ochronie danych osobowych przede wszystkim służą ochronie prywatności osoby fizycznej. Przepisy nie wprowadzają zakazu przetwarzania danych osobowych, ale wprowadzają pewne reguły, do których podmioty zamierzające przetwarzać dane osobowe powinny się stosować. W przypadku, gdy jakiś podmiot wchodzi w posiadanie danych powinien osobę, której dane pozyskał poinformować o tym fakcie. Nie ma też znaczenia, że mogą być publicznie dostępne, ponieważ liczy się fakt, że określony podmiot rozpoczął samodzielne ich przetwarzanie. Czynność poinformowania osoby o tym, że jej dane będą od tego momentu przetwarzane przez określony podmiot, daje szansę tej osobie na skorzystanie ze swoich praw (np. przy przetwarzaniu w celu marketingowym osoba, której dane dotyczą może złożyć sprzeciw w stosunku do przetwarzania danych w tym celu).

W tym kontekście możemy powiedzieć, że obowiązek informacyjny jest obowiązkiem ciążącym na podmiocie pozyskującym dane osobowe (zwanym Administratorem), a obowiązek ten polega na poinformowaniu osoby, której dane dotyczą o rozpoczęciu przetwarzania jej danych oraz na udostępnieniu jej katalogu informacji przewidzianych przez przepis prawa (w szczególności firmie Administratora, adresie siedziby, celu przetwarzania, okresie przetwarzania, podstawie prawnej przetwarzania, czy też prawach tejże osoby). Brak realizacji tego obowiązku może być uznany za nielegalne przetwarzanie danych. Opisując cel przetwarzania danych osobowych Administrator powinien ująć także cel wynikający z treści pozyskanych zgód, które będą wywierać skutek w stosunku do danych przetwarzanych już przez późniejszego Odbiorcę danych w celach marketingowych.

Drugim, kluczowym zagadnieniem związanym z legalnością bazy konsumenckiej jest skuteczność i treść zgód marketingowych. Skuteczność wyrażonych zgód należałoby zweryfikować na płaszczyźnie prawa cywilnego. W trakcie weryfikacji procesu pozyskania zgód (np. za pośrednictwem strony internetowej) należałoby potwierdzić, że osoba wyrażająca zgodę była w pełni świadoma czynności, którą wykonała, a treść zgody była zrozumiała.

Chcąc lepiej zobrazować zagadnienie wagi pozyskanych zgód można byłoby powiedzieć, że pozyskane zgody „podążają” za danymi osobowymi w czasie ich przetwarzania do momentu usunięcia (czy też anonimizacji). Cóż to znaczy? W momencie pozyskania danych, kształtują się konkretne prawa do wykorzystania danych i późniejsze ich przetwarzanie jest ograniczone przez te prawa wyrażone w treści zgód. Administrator i każdy kolejny podmiot wchodzący w posiadanie danych, powinien respektować treść zgód pozyskanych od osób, których dane dotyczą przy późniejszym przetwarzaniu danych osobowych.

Jak więc uchronić się przez zakupem nielegalnych lub bezużytecznych baz danych?

Przede wszystkim należy uzyskać maksymalnie pełną informację o pozyskaniu danych, czyli sposobie pozyskania danych, treści zrealizowanego obowiązku informacyjnego oraz o sposobie i treści pozyskanych zgód. Dobrze jak Dostawca gwarantuje pozyskanie zgód marketingowych, jednak nie możemy opierać naszej późniejszej działalności na ogólnej deklaracji. W umowie zawieranej z Dostawcą danych osobowych powinny być wskazane konkretne treści pozyskanych zgód, z pełną odpowiedzialnością Dostawcy za takie oświadczenie. Dostawca powinien być zobowiązany umownie do udostępnienia i udokumentowania informacji, o których mowa powyżej. Sugerowanym działaniem jest też przed wykorzystaniem bazy danych dokonanie próbnego testu, polegającego na losowej weryfikacji posiadania przez Dostawcę dowodów na okoliczność pozyskanych zgód.

Konstrukcja prawna procesu marketingowego

Konstrukcja prawna zastosowanego procesu marketingowego w bezpośredni sposób wpływa na obowiązki podmiotu, wykorzystującego dane w celach marketingowych.

Wstępnie należy zaznaczyć, że przepisy o ochronie danych osobowych wskazują tylko dwa podmioty przetwarzające dane osobowe, może to być Administrator decydujący o celach i sposobach przetwarzania (czyli podmiot z przyczyny, którego doszło do przetwarzania danych osobowych i posiadający pełne władztwo nad danymi w granicach prawa) oraz może to być tzw. Podmiot przetwarzający, pełniący funkcję służebną w stosunku do Administratora (czyli podmiot wykonujący jakąś usługę na rzecz Administratora z wykorzystaniem jego danych osobowych).

Uwzględniając powyższe, punktem wyjścia przy projektowaniu procesu marketingowego powinna być ocena naszej pozycji w tym procesie.

Jeżeli chcielibyśmy pozyskać dane na okoliczność marketingu własnego, czyli promocji naszych towarów czy usług możemy przyjąć dopuszczalność dwóch konstrukcji.

Po pierwsze Dostawca jako Administrator pierwotny, udostępnia dane osobowe Odbiorcy na okoliczność czynności marketingu własnego, a Odbiorca w momencie pozyskania danych staje się nowym Administratorem. Pod drugie, Odbiorca jako podmiot zainteresowany pozyskaniem danych, zleca Dostawcy gromadzenie danych na swoją rzecz, gdzie Dostawca wykonując dla Odbiorcy usługę pełni funkcję służebną, jako wspominany wyżej Podmiot przetwarzający.

W pierwszym przypadku na Obiorcy, jako nowym Administratorze ciąży obowiązek informacyjny, który powinien być zrealizowany po pozyskaniu danych. W drugim przypadku oprócz rozstrzygnięcia, który z podmiotów będzie realizował obowiązek informacyjny w imieniu Odbiory (zlecającego gromadzenie danych), należy zawrzeć dodatkowo tzw. umowę powierzenia przetwarzania danych osobowych, zweryfikować podmiot działający na rzecz Odbiorcy w zakresie stosowania przez niego przepisów o ochronie danych osobowych oraz dokonywać takiej weryfikacji cyklicznie jeżeli współpraca ma charakter ciągły. Pierwszy przypadek wydaje się funkcjonalnie i organizacyjnie prostszy.

Jeżeli natomiast chcielibyśmy pozyskać dane na okoliczność marketingu na rzecz podmiotów trzecich, czyli promocji towarów i usług podmiotów trzecich, to oprócz dwóch wyżej wskazanych konstrukcji można byłoby dodać jeszcze jedną, gdzie Odbiorca wykonywałby usługę na rzecz Dostawcy (Administratora), a usługa polegałaby na wykonywaniu czynności marketingowych na rzecz podmiotów trzecich na zlecenie Dostawcy. W tym przypadku powinniśmy zawrzeć umowę powierzenia przetwarzania danych osobowych, o której była mowa powyżej, jednak z tą różnicą, że Administratorem jest Dostawca, a Odbiorca podmiotem pełniącym funkcję służebną, czyli tzw.Podmiotem przetwarzającym. Taka konstrukcja procesu marketingowego wymusza na Odbiorcy poddawaniu się okresowej weryfikacji dokonywanej przez Dostawcę w zakresie stosowania przepisów o ochronie danych osobowych. Należy też wskazać, że przy ocenie zastosowanej konstrukcji prawnej uregulowanego procesu marketingowego decyduje stan faktyczny, a nie uregulowany umownie stan prawny, dlatego należy zwrócić szczególną uwagę na jej ocenę. Błędne zaklasyfikowanie naszej pozycji może skutkować zarzutem niestosowania przepisów o ochronie danych osobowych i w konsekwencji zapłatą kary administracyjnej.

Tak jak to zostało powiedziane we wstępie, choć same wymogi prawne dotyczące marketingu z wykorzystaniem baz konsumenckich nie są złożone, to jak zauważyliśmy kontekst biznesowy i praktyki stosowane na rynku powinny być przedmiotem dokładnej weryfikacji dokonanej przez zakupem bazy danych.

Zamów bezpłatną konsultację z naszym ekspertem, który pokaże Ci najlepsze praktyki w kontekście Twoich potrzeb!