Baza danych marketingowych a ochrona danych osobowych cz. I

Baza danych marketingowych to jedno z podstawowych, a zarazem najważniejszych narzędzi w całym arsenale marketingu. Istnieje wiele sposobów pozyskiwania danych kontaktowych do prowadzenia przez zainteresowane podmioty działalności marketingowej. Istotne jest aby poza wyborem odpowiedniej metody zdobywania danych osobowych klientów, zadbać również o spełnienie wymogów formalnych związanych z poprawnością przetwarzania tych danych np. pozyskania stosownej zgody czy dopełnienia obowiązku informacyjnego względem klienta. Rozpoczynanie budowania relacji z klientem od naruszenia przysługującej mu ochrony danych osobowych, to nienajlepszy pomysł. Zbudowanie z przyszłym klientem długotrwałej i wartościowej relacji nie jest możliwe bez respektowania jego praw.

Baza danych marketingowych – budować czy pozyskać?

Podstawą przygotowań do rozpoczęcia działalności marketingowej jest stworzenie bazy danych. Bazy, w których gromadzone są dane konsumentów można utworzyć na dwa sposoby: zbudować własną bazę danych dostosowaną do indywidualnych potrzeb klienta bądź kupić lub wynająć bazę danych od podmiotów zewnętrznych. Budowanie własnej bazy danych to często wymagający i długotrwały proces. Z kolei pozyskanie gotowej bazy danych, mimo ryzyka jakie za sobą niesie, kusi perspektywą uzyskania szybkich efektów.

Jedną z zalet zakupu lub najmu gotowej już bazy danych jest szybki czas realizacji umowy, a więc pozyskania danych kontaktowych potencjalnych klientów. Firmy „oczarowane” możliwością zrealizowania w krótkim czasie dużych projektów sprzedażowych i osiągnięcia szybkich zysków często decydują się na pozyskanie gotowych baz z danymi.  Wybranie drogi na skróty nie jest jednak gwarantem osiągnięcia zamierzonego celu. Po pierwsze może okazać się, że kupiona baza nie jest zupełnie dostosowana do indywidualnych potrzeb firmy, a adresatami informacji handlowych są osoby niezainteresowane jej produktami i usługami. Po drugie nie zawsze jest możliwość weryfikacji jakości bazy danych, zwłaszcza pod względem dopełnienia wszystkich wymagań ustawowych związanych z przetwarzaniem danych osobowych.

O czym musimy pamiętać kupując bazę danych?

Największym minusem pozyskania gotowej bazy jest ryzyko bezprawnego przetwarzania danych osobowych. Warto więc uzyskać informację odnośnie źródła i daty zgromadzenia danych, ilości podmiotów korzystających już z tej bazy oraz czy zostały pozyskane zgody na prowadzenie komunikacji marketingowej.  W celu zabezpieczenia się przed sankcjami grożącymi za naruszenie przepisów ustawy o ochronie danych osobowych konieczne jest zawarcie w umowie odpowiednich zapisów. Przede wszystkim należy zastrzec, że firma, od której kupujemy bazę z danymi, jako administrator tych danych spełniła ustawowe wymogi związane z przetwarzaniem danych osobowych, w tym uzyskała zgodę od osób, których te dane dotyczą na ich udostępnienie podmiotom trzecim w celach marketingowych. Ważne jest również przeniesienie na sprzedawcę bazy odpowiedzialności za niedochowanie udzielonych gwarancji.

Kupiliśmy bazę, co dalej?

Zawarcie stosownych postanowień w umowie mówiących o legalnym pozyskaniu danych przez podmiot sprzedający oraz istniejącej podstawie do ich udostępnienia nie jest jeszcze wystarczające do prawidłowego przetwarzania danych przez nabywcę bazy. Kolejnym krokiem, który należy wykonać aby przetwarzanie danych osobowych odbywało się zgodnie z przepisami ustawy jest spełnienie obowiązku informacyjnego. W związku z tym, że dane zostały zebrane nie od osoby, której dotyczą, administrator danych (nabywca bazy) musi spełnić obowiązek informacyjny określony w art. 25 ust. 1 ustawy o ochronie danych osobowych, a więc poinformować osobę, której dane dotyczą, o:

art. 25 ust. 1 UODO

  • Adresie swojej siedziby i pełnej nazwie administratora,
  • Celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
  • Źródle danych,
  • Prawie dostępu do treści swoich danych oraz ich poprawiania,
  • Uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 ustawy (m. in. o możliwości wniesienia sprzeciwu wobec przetwarzania jej danych osobowych)

Obowiązek poinformowania należy spełnić bezpośrednio po utrwaleniu zebranych danych, a więc po zapisaniu danych w sposób umożliwiający ich dalsze przetwarzanie. Zgodnie z orzecznictwem sądów klauzula obowiązku informacyjnego powinna zostać wysłana przed przesłaniem oferty marketingowej, jako treść odrębnego e-maila, czy smsa. Działanie takie ma na celu umożliwić wniesienia sprzeciwu osobom, których dane dotyczą. Administrator danych osobowych musi również zadbać o odpowiednie zabezpieczenie przetwarzanych danych oraz zgłoszenie zbioru danych do rejestru prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych, o ile nie istnieją przesłanki zwalniające z obowiązku zarejestrowania zbioru (np. wyznaczyliśmy i zarejestrowaliśmy do GIODO Administratora Bezpieczeństwa Informacji).

Przykładowa klauzula informacyjna:

Zgodnie z art. 25 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2015 r. poz. 2135 z późn. zm.) informuję, że:
  1. administratorem Pani/Pana danych osobowych jest XYZ Sp. z o. o. z siedzibą w Warszawie (00-111) ul. Przykładna 1, zwana dalej Spółką,
  2. Pani/Pana dane osobowe przetwarzane będą w celu marketingu produktów i usług Spółki i nie będą udostępniane innym odbiorcom,
  3. źródłem pozyskanych przez Spółkę Pani/Pana danych osobowych jest XXX Sp. z o. o. z siedzibą w Krakowie (10-001) ul. Kwiatowa 2,
  4. posiada Pani/Pan prawo dostępu do treści swoich danych oraz możliwość ich poprawiania,
  5. na podstawie art. 32 ust. 1 pkt 7 Ustawy przysługuje Pani/Panu prawo do wniesienia pisemnego, umotywowanego żądania zaprzestania przetwarzania Pani/Pana danych, jak również – na podstawie art. 32 ust. 1 pkt 8 Ustawy ma Pani/Pan prawo wniesienia sprzeciwu wobec przetwarzania Pani/Pana danych w celach marketingowych lub wobec przekazywania ich innemu administratorowi danych.

Podsumowanie

Największą zaletą gotowej bazy danych jest niewątpliwie szybki czas jej pozyskania. Dodatkowo gotowe bazy danych, zawierające sporą liczbę danych kontaktowych, umożliwiają prowadzenie działań marketingowych o dużym zasięgu oraz dotarcie do szerokiej rzeszy odbiorców. Pozyskanie gotowej bazy danych to przede wszystkim oszczędność czasu i wygoda. Istotą skutecznego marketingu powinna być jednak nie ilość rekordów, ale jakość bazy danych. Możliwość weryfikacji bazy i ustalenie jej jakości jest jednym z głównych kryteriów decydujących o opłacalności inwestycji w gotową bazę danych. Należy mieć to na uwadze, zwłaszcza, że zakup dobrej jakości bazy wiąże się z ogromnymi kosztami. Niektórzy specjaliści twierdzą nawet, że najbardziej wartościowe bazy danych nigdy nie będą dostępne na rynku.

Istnieje oczywiście inny znacznie bezpieczniejszy sposób korzystania z baz marketingowych – zbudowanie jej od podstaw. Temu jak skutecznie i zgodnie z przepisami prawa zbudować bazę danych marketingowych będzie poświęcona II część artykułu z cyklu Baza danych marketingowych a ochrona danych osobowych.

Powiązane artykuły

Rozporządzenie ePrivacy, dlaczego wciąż czekamy i co się zmieni?
rodo faq
Ile zgód należy pozyskiwać dla celów marketingowych? #RODOFAQ
dane w marketingu
Kontakt marketingowy zgodny z prawem – pytanie o zgodę na marketing

6 Odpowiedzi

  1. Marek

    Dzień dobry. Jak się zabezpieczyć w umowie przy kupnie np. usługi mailingu? De facto nie przetwarzam wtedy danych a robi to usługodawca, np. portal internetowy z własną bazą klientów. Czy jeżeli taki usługodawca nie spełnił wszystkich wymogów wynikających z ustawy potrzebne są jakieś dodatkowe klauzule w umowie aby w pełni zabezpieczyć nabywcę?

    1. Kancelaria Lex Artist

      W przypadku zakupu usługi mailingu administratorem danych osób, do których będą wysyłane wiadomości e-mail będzie usługodawca. Celem zabezpieczenia usługobiorcy, do umowy zakupu usługi mailingu, zalecamy wprowadzić:
      – oświadczenie, w którym usługodawca potwierdzi, że realizuje usługę mailingu zgodnie z obowiązującymi przepisami prawa tzn. ustawą o ochronie danych osobowych, o świadczeniu usług drogą elektroniczną oraz prawem telekomunikacyjnym;
      – zastrzeżenie, że adresatami mailingu będą wyłącznie osoby, które wyraziły zgodę na otrzymywanie materiałów marketingowych, promocyjnych, reklamowych lub innych informacji handlowych;
      – zobowiązanie usługodawcy do okazania na żądanie usługobiorcy dokumentów, które potwierdzą fakt, że osoby, które otrzymują mailing wyraziły na to odpowiednią zgodę, a także do zaprzestania wysyłania mailingu na adresy wskazane przez usługobiorcę;
      – wzór stopki mailowej za pośrednictwem, której usługodawca poinformuje osoby otrzymujące wiadomość e-mail, o tym kto jest odpowiedzialny za usługę mailingu, na czyje zlecenie jest ona wykonywana, a także wskaże sposób rezygnacji z otrzymywania informacji handlowej czy poprawienia danych.

  2. Anna

    Dzień dobry. Chciałabym zapytać jak Państwa zdaniem ma się budowanie bazy klientów dla celów marketingu usług własnych do obowiązku zgłoszenia bazy do GIODO? Załóżmy, że buduję własną bazę klientów (zbieram dane osób, którym udzielam usług i chcę w przyszłości informować te osoby o moich usługach). Z innych artykułów dowiedziałam się już, że nie muszę mieć zgody klienta na wykorzystanie jego danych w tym celu, ale czy w takim przypadku muszę rejestrować bazę danych w GIODO? Pozdrawiam

    1. Kancelaria Lex Artist

      Zasady dotyczące rejestracji zbiorów danych osobowych, w tym obowiązek rejestracji zbiorów danych osobowych oraz przypadki, w których administrator danych (ADO) zwolniony jest z obowiązku rejestracji, określone zostały w rozdziale 6 ustawy o ochronie danych osobowych (UODO). Zwolnienia od generalnej zasady rejestracji zbiorów danych osobowych określone zostały w art. 43 ust. 1 i 1a UODO.
      Istotną kwestią jest ustalenie, czy w firmie został powołany, a następnie zgłoszony do rejestru prowadzonego przez GIODO administrator bezpieczeństwa informacji (ABI). To bardzo ważna informacja związana z problematyką rejestracji zbiorów danych, albowiem funkcjonowanie ABI w strukturze ADO, zwalnia z obowiązku rejestracji zbiorów danych, z wyjątkiem zbiorów zawierających dane wrażliwe, o których mowa w art. 27 ust. 1 UODO. Jeżeli w firmie nie został wyznaczony ABI, to ADO zwolniony jest z obowiązku rejestracji zbioru danych wyłącznie na gruncie art. 43 ust. 1 pkt 1-11 UODO.
      Zatem jeżeli podmiot przetwarza dane osobowe w zbiorze jako administratora danych, a jednocześnie nie zachodzi żadna z przesłanek określonych w art. 43 ust 1 i 1a UODO, to jest on zobligowany do zgłoszenia tego zbioru do rejestracji GIODO.

  3. ola

    witam, kiedy mogę spodziewać się kolejnej części? jak wygląda kwestia zbierania danych z internetu i wysyłki maili na takie adresy email? czy to jest zgodne z prawem?

    1. Kancelaria Lex Artist

      Wysyłkę informacji handlowych, marketingowych, promocyjnych na adresy email należy rozpatrzeć z perspektywy trzech ustaw: ustawy o ochronie danych osobowych, ustawy o świadczeniu usług drogą elektroniczną oraz ustawy prawo telekomunikacyjne.
      Na wstępie warto zaznaczyć, iż samo zamieszczenie danych osobowych w miejscu ogólnodostępnym nie oznacza jeszcze wyrażenia zgody na ich przetwarzanie np. w celach marketingowych. W związku z tym wysyłanie wiadomości drogą elektroniczną na adresy pozyskane z Internetu są dozwolone, ale po uzyskaniu wcześniejszej zgody, od osoby której dane dotyczą (art. 23 ust. 1 pkt 1 uodo). Forma uzyskania takiej zgody jest dowolna, jednak dla celów dowodowych zaleca się pozyskiwanie zgody w formie pisemnej. W związku z przepisami ustaw, o których mowa powyżej, oferta handlowa nie powinna być przedstawiana w pierwszej wiadomości. Pierwsza wiadomość do potencjalnego klienta powinna być propozycją przedstawienia oferty i zapytaniem o zgodę.
      Więcej informacji na temat wysyłania wiadomości o treści handlowej na adresy e-mail w naszym artykule: blog-daneosobowe.pl/odpowiedzialnosc-bezprawne-wysylanie-informacji-handlowych/
      Kolejna część artykuły z cyklu Baza danych marketingowych a ochrona danych osobowych pojawi się już 5 grudnia na naszym blogu.

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO