Blog / Możliwość przekazywania danych podmiotom trzecim na potrzeby marketingowe (CZ. 2)

Kategoria: Bazy danych DBMS Greensender Marketing Poradnik Baz Danych Sprawdź bazę

Zasadniczo każda ze wskazanych w poprzednich punktach, trzech podstawowych zgód jest transferowalna – czyli z zachowaniem określonych przepisami wymogów może być udostępnia innym podmiotom lub stanowić przedmiot obrotu. Kluczowe znaczenie ma w tym przypadku treść zgody, a konkretnie, czy przewidziano możliwość przekazywania danych podmiotom trzecim i czy zostało to sformułowane w sposób zgodny z wymogami prawnymi w tym zakresie.

Uważaj na zbyt szerokie ujęcie!

Przepisy nie wymagają w tym przypadku precyzyjnego określenia grona potencjalnych odbiorców jak również bardzo szczegółowego zakresu wymaganego od zgody, tak więc dopuszczalnej jest bardzo szerokie określenie zarówno celu przetwarzania danych jak również potencjalnego grona ich odbiorców, niemniej należy brać pod uwagę, że sformowania nazbyt szerokie mogą być uznane za próbę obejścia przepisów i w związku z tym – nie wywołujące skutków prawnych.

Ustawa o świadczeniu usług drogą elektroniczną

Ponieważ ani ustawa o świadczeniu usług drogą elektroniczną, ani prawo telekomunikacyjne nie zawiera zakazu takich działań, z zasady swobody wykonywania działalności gospodarczej jak również z posiłkowego zastosowania regulacji ustawy o ochronie danych osobowych wywieść można, iż dopuszczalna jest działalność polegająca na obrocie zgodami. Żadna z w/w ustaw nie wskazuje również odrębnych procedur w zakresie transferu czy obrotu zgodami. Oznacza t o, że ze względu na związek funkcjonalny przepisów w tym zakresie powinno stosować się posiłkowo przepisy ustawy o ochronie danych osobowych, szczególnie, że jak się podkreśla w doktrynie, pozostałe zgody mają charakter lex specialis względem ustawy o ochronie danych osobowych. Tak więc art. 31 u.d.o. dotyczący powierzenia przetwarzania danych innemu podmiotowi będzie miał odpowiednie zastosowanie odnośnie zgód związanych z kampaniami e-mail marketingowymi, czego konsekwencją jest zarówno dopuszczalność zawierania umów powierzenia jak i brak obowiązku informowania o tym odbiorcy oraz obowiązek zapewnienia przez niego odpowiedniego poziomu ochrony powierzonych danych.

Odpowiednie zastosowanie powinny mieć również przepisy o transferze zbioru danych – a w szczególności obowiązek poinformowania osoby, której dane dotyczą o fakcie wejścia w posiadanie tych danych i sposobie ich pozyskania jak również o nowym administratorze danych, analogicznie jak to ma miejsce w przypadku transferu zbiorów danych osobowych (art. 25 u.d.o.). Jest to szczególnie istotne choćby ze względu na ustawowe prawo odbiorcy do odwołania swojej zgody – musi on mieć wiedzę, jakie podmioty wykorzystują jego dane i w jakim zakresie.

dbms

Ustawodawstwo a wtórne powierzenie zgód

Duże wątpliwości budzi również możliwość wtórnego powierzania zgód – szczególnie, że standardowa treść nawet szeroko sformułowanej zgody wskazuje najczęściej na prawo do wykorzystania zgody w celach marketingowych przez „firmę x i podmioty z nią współpracujące” co w żadnym wypadku nie obejmuje kolejnego poziomu odbiorców. Należy również zauważyć, że zbyt liberalna interpretacja przepisów w tym zakresie bardzo utrudniłaby bądź nawet uniemożliwiła odbiorcy realizację
ustawowych uprawnień do odwołania zgody, jak również niezgodna byłaby z zasadami powierzania danych wynikającymi z u.d.o.

Żadna z wymienionych ustaw nie zawiera specyficznych uregulowań, różnicujących wymogi zarówno co do treści zgody jak również co do warunków jej przenoszenia w zależności od podstawy, na jakiej dokonano transferu bądź powierzenia tych danych. Tak więc zgodna na „(…) przekazywanie przedsiębiorcom współpracującym z X danych osobowych w celach przedstawienia oferty(…)” spełnia wymogi niezbędne do przekazania danych innym podmiotom, z którymi Zamawiającego łączy umowa cywilnoprawna– co wyczerpuje definicję „współpracy” – zarówno nieodpłatnie jak i za wynagrodzeniem.

A jeśli realizujesz kampanię na czyjąś rzecz?

Sytuacja przedstawia się odmiennie w odniesieniu do podmiotów, które realizują kampanie na czyjąś rzecz, ale przy wykorzystaniu swoich baz danych i narzędzi. W tym wypadku nie dochodzi do przekazania informacji o odbiorcy (w tym danych osobowych i mailingowych) osobie trzeciej, więc o ile działanie takie mieści się w zakresie uzyskanej wcześniej zgody, jest ono zgodne z przepisami.

Wydaje się, że analogiczną interpretację można przyjąć w przypadku, gdy przedsiębiorca, będąc w posiadaniu bazy na potrzeby e-mail marketingu umożliwia dostęp do swoich rozwiązań informatycznych, zawartych w chmurze obliczeniowej, dopuszczając możliwość bezpośredniego generowania kampanii przez swoich klientów, którzy nie posiadają jednak bezpośredniego dostępu do baz e-mailingowych ani danych osobowych. W tym wypadku można bowiem przyjąć, że realizacja kampanii poprzez użycie ograniczonego dostępu do systemu teleinformatycznego wyspecjalizowanej firmy stanowi specyficzną formę zlecenia realizacji kampanii przez administratora tego serwisu.

Sytuacja komplikuje się, gdy serwis ten dopuszcza możliwość zasilenia baz kampanijnych o własne dane klienta. Wydaje się że w takim przypadku koniecznym byłoby przyjęcie, iż w odniesieniu do baz, posiadanych przez administratora, kampania realizowana jest przez niego na zlecenie klienta, zaś w odniesieniu do baz własnych klienta – bezpośrednio przez klienta jedynie przy wy korzystaniu narzędzi udostępnianych przez administratora i za jego pośrednictwem.

Autor: Tomasz Ciupka, Prawnik