Poradnik Przedsiębiorcy

Przetwarzanie danych osobowych w celach marketingowych

W niemal każdej firmie działającej na rynku prowadzone są różnorodne działania marketingowe (loterie, promocje sprzedażowe, programy lojalnościowe). W związku z tym, że z reguły działania te wiążą się ze zbieraniem danych osobowych, należy pamiętać, że podlegają one regulacjom przepisów  o ochronie danych osobowych. Jak powinno wyglądać przetwarzanie danych osobowych w celach marketingowych wyjaśniamy poniżej.

Problem nieprawidłowego prowadzenia działań marketingowych

Agencje marketingowe, jak również przedsiębiorcy i wydzielone w firmach działy marketingu nie zawsze znają swoje obowiązki wynikające z przepisów ustawy o ochronie danych osobowych. Niektóre działania są uznawane wręcz za nielegalne. Wśród nich wymienia się:

  • nieudzielenie podstawowych informacji o firmie osobom, którym przekazywane są materiały reklamowe,

  • wymuszanie zgody na przetwarzanie danych osobowych,

  • wymuszanie zgody na przekazywanie danych osobowych innym podmiotom,

  • nieuwzględnianie sprzeciwu dotyczącego przetwarzania danych osobowych,

  • brak udzielania informacji na wniosek osoby, której dane dotyczą.

Jak prowadzić działania marketingowe w zgodzie z przepisami o ochronie danych osobowych?

Obowiązek informowania o zbieraniu danych osobowych

Przepisy o ochronie danych osobowych określają podstawowe obowiązki informacyjne związane ze zbieraniem danych osobowych od osoby, której one dotyczą. Obliguje on administratora danych osobowych (ADO) do poinformowania tej osoby o:

  • adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku;

  • celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach bądź kategoriach odbiorców danych;

  • prawie dostępu do treści swoich danych oraz ich poprawiania;

  • dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Natomiast w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych co do zasady jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

  • adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku;

  • celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych;

  • źródle danych;

  • prawie dostępu do treści swoich danych oraz ich poprawiania;

  • o uprawnieniach danej osoby - prawie do żądania zaprzestania przetwarzania danych osobowych, prawie do sprzeciwu wobec ich przetwarzania.

Zakaz wymuszania zgody na przetwarzanie i przekazywanie danych osobowych

Firmy funkcjonujące na rynku nie mogą uzależniać możliwości wykonania usługi lub dostarczenia towaru od wyrażenia przez nabywcę zgody na przetwarzanie danych osobowych w celach marketingowych. Tego typu działania są niedopuszczalne. Każda osoba ma bowiem prawo do swobodnego, nieskrępowanego podjęcia decyzji i wyrażenia woli w sprawie zgody na przetwarzanie danych osobowych w celu udostępnienia innym podmiotom lub marketingu produktów i usług podmiotów trzecich.

Uwzględnienie sprzeciwu wobec przetwarzania danych osobowych

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, a zwłaszcza prawo do wniesienia sprzeciwu wobec przetwarzania jej danych - gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych

 

Po otrzymaniu sprzeciwu należy zaprzestać przetwarzania danych w celach i zakresach objętych sprzeciwem.

Ważne!

Osoba wyrażająca sprzeciw wobec przetwarzania jej danych nie musi podawać przyczyny sprzeciwu.

Obowiązek udzielania informacji na wniosek osoby, której dane są przetwarzane

Administrator danych osobowych jest zobowiązany na wniosek osoby, której dane dotyczą, w terminie 30 dni poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji:

  • czy taki zbiór istnieje oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska;

  • o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze;

  • od kiedy przetwarza się w zbiorze dane jej dotyczące oraz podania w powszechnie zrozumiałej formie treści tych danych;

  • o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej;

  • o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane;

  • o przesłankach podjęcia rozstrzygnięcia.

Ważne!

Jeżeli osoba, której dane dotyczą, wystosuje wniosek o wydanie powyższych informacji na piśmie, wówczas administrator danych osobowych (ADO) ma obowiązek wydać je w takiej formie.

Lista Robinsonów w marketingu

Podejmując się działań marketingowych firmy mogą wspomagać się tzw. listą Robinsonów, która zawiera dane osób które nie chcą otrzymywać materiałów reklamowych. W Polsce prowadzona jest przez Stowarzyszenie Marketingu Bezpośredniego.

Ważne!

Sprawdź, czy osoba, której dane chcesz przetwarzać, znajduje się na liście Robinsonów: http://www.listarobinsonow.pl/

Kiedy zgoda na przetwarzanie danych osobowych w celach marketingowych jest zbędna?

Przetwarzanie danych osobowych jest dopuszczalne, gdy:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;

  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;

  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;

  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Ważne!

Za prawnie usprawiedliwiony cel uważa się przede wszystkim:

  • marketing bezpośredni własnych produktów lub usług administratora danych;

  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Zgoda na przetwarzanie danych osobowych nie będzie wymagana w sytuacji, gdy zebrane przez przedsiębiorcę dane zostaną wykorzystane do celów marketingu bezpośredniego własnych produktów i usług. Jeżeli marketing miałby dotyczyć produktów i usług obcych wówczas uzyskanie zgody jest niezbędne.