Prawo marketingu bezpośredniego (część III )

Prawo marketingu bezpośredniego (część III ) stock.xchng

Czy informacje o preferencjach zakupowych są naszymi danymi personalnymi? Czy można podać jakąś definicję danych?

Pojęcie „marketingu bezpośredniego” pojawia się w kilku aktach prawnych, nigdzie jednak nie jest definiowane. Definicje takie pojawiają się natomiast w literaturze fachowej, w której „marketing bezpośredni” określany jest jako „interakcyjny system marketingu, który korzysta z jednego lub więcej mediów reklamowych, by wywołać określoną odpowiedź oraz/lub transakcję w dowolnym miejscu” (zob. Ph.Kotler, Marketing. Analiza, planowanie, wdrażanie i kontrola, Warszawa 1999, s. 601).

Pojęcie danych osobowych i zakres przedmiotowy ustawy 

Pojęcie danych osobowych zostało zdefiniowane w art.6 ust.1 u.o.d.o. Zgodnie z tym przepisem danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.


Jeżeli chodzi o pierwszy z powyższych elementów definicji "danych osobowych", to wyjaśnić należy, że dla zaliczenia danej informacji do tej kategorii obojętny jest jej sposób wyrażenia (np. zapis słowny, utrwalenie wizerunku na zdjęciu, nagranie głosu). Odwołanie się do kryterium "wszelkich informacji" wskazuje z kolei, że danymi osobowymi są informacje odnoszące się do każdego aspektu osoby, a więc zarówno jej życia osobistego, jak i zawodowego. Charakter taki niewątpliwie będą miały informacje wykorzystywane na potrzeby marketingowe (np. informacje o preferencjach zakupowych danej osoby, czy jej profil behawioralny stworzony na podstawie aktywności w sieci Internet).

Pojęcie danych osobowych odnosi się wyłącznie do osób fizycznych, jego zakresem nie są natomiast objęte informacje o osobach prawnych, czy jednostkach organizacyjnych nie posiadających osobowości prawnej (np. informacje o wspólnikach spółki cywilnej).  Zgodnie z wyrokiem NSA z dnia 28 listopada 2002 r. (II SA 3389/01, Mon.Praw., nr 3, poz.99), danymi osobowymi nie są również dane osobowe o osobie fizycznej-przedsiębiorcy, w zakresie w jakim są one wykorzystywane w charakterze oznaczenia tego przedsiębiorstwa (np. imię i nazwisko jako nazwa danego przedsiębiorstwa). O wyłączeniu zastosowania ustawy w takim przypadku, przesądza kontekst w jakim informacje te są przetwarzane, imię i nazwisko stanowi tu bowiem informację indywidualizującą przedsiębiorcę, a nie osobę fizyczną (podmiot danych). Od sytuacji przetwarzania informacji o osobach fizycznych-przedsiębiorcach odróżnić należy natomiast wykorzystywanie tzw. danych służbowych (np. informacje o pracownikach kontrahenta). Informacje te, odmiennie niż informacje o osobie fizycznej-przedsiębiorcy, stanowią bowiem dane osobowe w rozumieniu ustawy.

Danymi osobowymi są informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Jeżeli chodzi o te drugie informacje, to należy przyjąć, że pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia będą danymi osobowymi wówczas, gdy zostaną zestawione z innymi dodatkowymi informacjami, które można odnieść do konkretnej osoby. 

Ustalenie, że dane informacje mają charakter danych osobowych w rozumieniu art.6 ust.1.u.o.d.o. nie oznacza jeszcze, że przepisy ustawy automatycznie znajdują zastosowanie. Ustawa o ochronie danych osobowych nie chroni bowiem wszystkich danych osobowych, ale te informacje, które przetwarzane są w systemie informatycznym lub - w przypadku przetwarzania poza takim systemem (np. dane zawarte w papierowych kwestionariuszach) - w zbiorach danych (art.2 ust.2 u.o.d.o).  W praktyce marketingowej kontrowersje wywołuje w związku z tym ocena przetwarzania danych zawartych na różnego rodzaju nieuporządkowanych, papierowych nośnikach (np. kupony konkursowe z danymi osobowymi uczestników). Podkreślić jednak należy, że zgodnie z ustawą przepisy stosują się nie tylko do danych, które już są, ale mogą być również przetwarzane w zbiorach danych (art.2 ust.1 u.o.d.o.). Jeżeli więc spośród informacji zawartych na tych kuponach ma zostać stworzony zbiór np. laureatów konkursu, administrator danych powinien traktować je jako dane osobowe objęte ochroną określoną w ustawie.
Z podanym powyżej przykładem konkursów, czy innego rodzaju promocji sprzedaży, wiąże się ocena zastosowania art.2 ust.3 u.o.d.o. Zgodnie z tym przepisem, w stosunku do tzw. zbiorów doraźnych stosują się wyłącznie przepisy dotyczące zabezpieczenia danych, określone w rozdziale 5 ustawy, administrator nie musi natomiast spełniać innych obowiązków określonych w ustawie (np. obowiązku zgłoszenia zbioru do rejestracji - art.40 i n. u.o.d.o.). Przymiot "doraźności" mogą w pewnych przypadkach posiadać  zbiory marketingowe. Będzie tak w szczególności w przypadku zbiorów tworzonych w celu zorganizowania konkursu i wyłonienia laureatów, jeżeli dane niezwłocznie po wykorzystaniu są usuwane lub anonimizowane.

Podobne artykuły:

Administrator i processor jako adresaci obowiązków ochrony danych osobowych


Podmioty przetwarzające dane osobowe można podzielić na dwie podstawowe grupy: administratorów danych oraz podmioty przetwarzające dane powierzone przez administratorów (processor). Rozróżnienie to ma zasadnicze znaczenie z punktu widzenia ryzyka prawnego związanego z przetwarzaniem danych osobowych, ponieważ to administratorzy danych są  adresatami wszystkich obowiązków określonych w ustawie, a processorzy odpowiadają jedynie za należyte wypełnienie obowiązków związanych z zabezpieczeniem danych (art.36-39a u.o.d.o.). 

Kryterium podziału na administratorów danych i processorów stanowi podejmowanie decyzji o celach i środkach przetwarzania danych. Decyzje te są domeną administratora danych, a processor może przetwarzać dane wyłącznie w zakresie i celu określonym przez administratora (art.31 ust.2 u.o.d.o.). O tym komu przypisać status administratora danych decydują przy tym okoliczności stanu faktycznego, a nie rodzaj i treść zawieranych przez strony umów. Nieskuteczna byłaby więc umowa, zgodnie z którą jedna ze stron (np. agencja reklamowa), wskazana zostałaby jako administrator danych, mimo że decyzje odnośnie celów i sposobu przetwarzania danych podejmuje zleceniodawca (np. reklamodawca). Dla uzyskania przymiotu administratora danych bez znaczenia jest również element fizycznego nimi dysponowania. Administratorem danych będzie więc także podmiot, który w swoich zasobach informacyjnych nie posiada w ogóle danych osobowych, gdyż zlokalizowane są one wyłącznie u podmiotu świadczącego usługę przechowywania danych. W świetle definicji ustawowej ważne jest jedynie, aby administrator danych podejmował decyzje odnośnie sposobu wykorzystania danych, niezależnie od tego, gdzie się one znajdują. W praktyce działalności marketingowej, administratorami danych są przeważnie reklamodawcy, a processorami podmioty świadczące różnego rodzaju usługi marketingowe (np. agencje reklamowe, brokerzy baz danych, ISP utrzymujące cudze witryny internetowe).

Statusu administratora lub processora nie uzyskuje się "na zawsze". Oceny takiej powinno się bowiem dokonywać w kontekście danej operacji, czy też grupy operacji na danych. Przykładowo, dany podmiot zbierając, a następnie wykorzystując dane na własne cele marketingowe, będzie administratorem danych. Z chwilą jednak, gdy dane te zostaną przetworzone na cele marketingowe innego podmiotu, dotychczasowy administrator danych stanie się procesorem względem podmiotu na którego potrzeby marketingowe te dane są wykorzystywane. Często spotykanym przykładem takiej sytuacji będzie wykonanie przez jedną ze spółek z grupy kapitałowej spersonalizowanego mailingu, promującego towary (usługi) innej ze spółek-członków grupy (cross-selling). Działania takie określić należy jako tzw. "cudzy marketing" (zob. pkt. 3.5.2.).

Administrator danych powierzający przetwarzanie danych osobowych processorowi powinien zawrzeć pisemną umowę, w której processor zobowiązuj się do przetwarzania danych w celu i zakresie określonym przez administratora (art.31 ust.2 u.o.d.o.). Niespełnienie tego wymogu skutkować może odpowiedzialnością administracyjną i karną administratora. Umowa powierzenia przetwarzania danych osobowych może zostać zawarta przez strony odrębnie, jak również stanowić część umowy handlowej, której przedmiotem jest zlecenie dokonania określonych operacji na danych (np. umowa o obsługę kampanii marketingowej). W praktyce działalności marketingowej często spotyka się sytuacje, gdy konieczne jest dalsze powierzenie przez processora pewnych operacji na danych kolejnym podmiotom. Przypadki takie określane są mianem "podpowierzenia danych" (subprocessing). Przykładem takiej sytuacji jest powierzenie przez reklamodawcę agencji reklamowej bazy danych osobowych, celem jej wykorzystania na potrzeby różnego rodzaju akcji marketingowych. Z przeprowadzeniem tego rodzaju akcji wiąże się przeważnie konieczność skorzystania przez agencję z usług wyspecjalizowanych podwykonawców (np. drukarni), którym przekazywane są w związku z tym dane osobowe pozyskane przez agencję od reklamodawcy (administratora). W związku z działalnością "dalszych processorów" (subprocessorów) powstaje pytanie, w jaki sposób powinien zostać spełniony wymóg zawarcia pisemnej umowy powierzenia danych. Wydaje się, że nie zawsze konieczne jest, aby "dalsi processorzy" zawarli umowę powierzenia przetwarzania danych bezpośrednio z administratorem. Z punktu widzenia ustawy istotne jest jedynie, aby administrator danych miał wpływ na decyzję odnośnie przekazywania danych przez processor’a - subprocessor’om. Wpływ ten może zostać zagwarantowany bądź przez wskazanie w umowie z processorem oznaczonych co do tożsamości podmiotów, do których mogą zostać przekazane dalej dane bądź też poprzez wprowadzenie w umowie klauzuli, zgodnie z którą processor przed dalszym przekazaniem danych musi uzyskać od administratora uprzednią akceptację lub - co najmniej - poinformować go o tej okoliczności z odpowiednim wyprzedzeniem, tak aby administrator mógł ewentualnie wyrazić swój sprzeciw (zob. P.Barta, P.Fajgielski, R.Markiewicz, Ochrona danych osobowych . Komentarz, III wydanie, Kraków, s.552).



Podobne artykuły:


Stowarzyszenie Marketingu Bezpośredniego