Co jest potrzebne do przetwarzania danych osobowych w marketingu?

„Co muszę mieć, aby przetwarzać dane osobowe?” – to krótkie pytanie często zadają sobie i nam osoby, które stykają się na co dzień z wykorzystywaniem danych osobowych. Pytanie to dotyczy podstawowej kwestii przy przetwarzaniu danych osobowych, tzn. podstaw prawnych takiego działania. Abyśmy mogli przetwarzać dane legalnie, musi zajść choćby jedna z okoliczności określonych w ustawie o ochronie danych osobowych. W artykule piszemy o dwóch okolicznościach, które są najistotniejsze z marketingowego punktu widzenia.

Przepisy ustawy o ochronie danych osobowych (a konkretnie art. 23 ust. 1) wskazują pięć okoliczności, w których dopuszczalne jest przetwarzanie danych osobowych:

1) osoba, której dane dotyczą, wyrazi na to zgodę;

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

W codziennej pracy marketera szczególne znaczenie mają przesłanki określone w pkt. 1 oraz pkt. 5 powyżej, tzn. zgoda danej osoby na przetwarzanie jej danych oraz realizacja prawnie usprawiedliwionych celów administratora danych z poszanowaniem praw i wolności osoby, której dane dotyczą. Druga przesłanka jest niezwykle istotna dlatego, że ustawa o ochronie danych osobowych za prawnie usprawiedliwiony cel uznaje marketing bezpośredni własnych produktów lub usług administratora danych (art. 23 ust. 4 pkt 1).

O zgodzie na przetwarzanie danych osobowych i odpowiednim formułowaniu klauzul zawierających taką zgodę pisaliśmy już w osobnym artykule. Dla przypomnienia, klauzula powinna zawierać wyraźne oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych w konkretnym celu. Zgoda powinna być również odrębna od innych zgód (nie może być połączona np. z akceptacją regulaminu) oraz być wyrażana samodzielnie i swobodnie (nie może być z góry, domyślnie, zaznaczona).

Skupmy się zatem na innej istotnej dla marketerów podstawie przetwarzania danych osobowych – prowadzeniu marketingu bezpośredniego (jako prawnie usprawiedliwionego celu). Co oznaczają w praktyce przepisy ustawy? Otóż jeśli jakiś podmiot we własnym imieniu, ze swojej inicjatywy, zgromadził określone dane osobowe zgodnie z przepisami ustawy o ochronie danych osobowych (tzn. stał się ich administratorem), to może przetwarzać te dane dla marketingu własnych produktów lub usług i – uwaga – nie potrzebuje na to zgody od osoby, której dotyczą dane.

Dla uproszczenia, jeśli doszło do pozyskania danych na legalnej podstawie (np. osoba wyraziła nam zgodę na przetwarzanie danych w celu przeprowadzenia konkursu lub zawarła z nami umowę sprzedaży), to nie musimy mieć odrębnej zgody danej osoby na przetwarzanie jej danych dla naszych własnych celów marketingowych. Odbieranie takiej dodatkowej zgody należy zasadniczo uznać za błąd, ponieważ nie jest to w ogóle potrzebne.

Co bardzo ważne, administrator danych może przy ich wykorzystaniu prowadzić marketing bezpośredni tylko własnych produktów lub usług (co może być istotne w przypadku przedsiębiorstw złożonych z wielu osobnych podmiotów, np. spółek powiązanych). Bez zgody osoby, której dane dotyczą nie jest dopuszczalne np. udostępnienie danych innemu podmiotowi (nawet powiązanemu) dla realizacji celów marketingowych tego podmiotu. Jeśli w ramach grupy powiązanych spółek jedna z nich jest administratorem danych osobowych, to jej spółka powiązana nie może wykorzystywać tych danych dla marketingu swoich produktów lub usług.

Ponadto, trzeba pamiętać o tym, że każdej osobie przysługuje prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w celach marketingowych. Wówczas administrator bezwzględnie powinien zaprzestać przetwarzania danych takiej osoby w ww. celach.

Koniecznie trzeba również podkreślić, niektóre działania marketingowe (np. marketing e-mailowy oraz SMS-owy) mogą podlegać dodatkowym, szczególnym ograniczeniom prawnym. Nawet jeśli mamy podstawę do samego przetwarzania danych osobowych w celach marketingowych (tzn. wykorzystania ich w ogóle w tym celu), to pewne szczególne typy działań mogą wymagać spełnienia dodatkowych wymogów, np. uzyskania wyraźnej, odrębnej zgody odbiorcy.

  • Prawnych aspektów nigdy nie należy lekceważyć, a tych w marketingu – wbrew pozorom jest całkiem sporo.