Dziennik Przedsiebiorcy

Publikacja 23.02.2016

KW_TAGS

Praktycznie w każdej firmie działającej na rynku prowadzone są różnorodne działania marketingowe (loterie, promocje sprzedażowe, programy lojalnościowe). W związku z tym, że z reguły działania te wiążą się ze zbieraniem danych osobowych, należy pamiętać, że podlegają one regulacjom ustawy o ochronie danych osobowych. Jak powinno wyglądać przetwarzanie danych osobowych w celach marketingowych wyjaśniamy poniżej.

Problem nieprawidłowego prowadzenia działań marketingowych

Agencje marketingowe, jak również przedsiębiorcy i wydzielone w firmach działy marketingu nie zawsze znają swoje obowiązki wynikające z przepisów ustawy o ochronie danych osobowych. Niektóre działania są uznawane wręcz za nielegalne. Wśród nich wymienia się:

  • nieudzielenie podstawowych informacji o firmie osobom, którym przekazywane są materiały reklamowe,
  • wymuszanie zgody na przetwarzanie danych osobowych,
  • wymuszanie zgody na przekazywanie danych osobowych innym podmiotom,
  • nieuwzględnianie sprzeciwu dotyczącego przetwarzania danych osobowych,
  • brak udzielania informacji na wniosek osoby, której dane dotyczą.

Jak prowadzić działania marketingowe w zgodzie z ustawą o ochronie danych osobowych?

Obowiązek informowania o zbieraniu danych osobowych

Art. 24 ust. 1 ustawy o ochronie danych osobowych określa podstawowe obowiązki informacyjne związane ze zbieraniem danych osobowych od osoby, której one dotyczą. Obliguje on administratora danych osobowych (ADO) do poinformowania tej osoby o:

  • adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku;
  • celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach bądź kategoriach odbiorców danych;
  • prawie dostępu do treści swoich danych oraz ich poprawiania;
  • dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Natomiast w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych co do zasady jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:

  • adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku;
  • celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych;
  • źródle danych;
  • prawie dostępu do treści swoich danych oraz ich poprawiania;
  • o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 (żądanie zaprzestania przetwarzania danych osobowych, sprzeciw wobec przetwarzania danych osobowych) .

Zakaz wymuszania zgody na przetwarzanie i przekazywanie danych osobowych

Firmy funkcjonujące na rynku nie mogą uzależniać możliwości wykonania usługi lub dostarczenia towaru od wyrażenia przez nabywcę zgody na przetwarzanie danych osobowych w celach marketingowych. Tego typu działania są niedopuszczalne. Każda osoba ma bowiem prawo do swobodnego, nieskrępowanego podjęcia decyzji i wyrażenia woli w sprawie zgody na przetwarzanie danych osobowych w celu udostępnienia innym podmiotom lub marketingu produktów i usług podmiotów trzecich.

Uwzględnienie sprzeciwu wobec przetwarzania danych osobowych

Jak stanowi art. 32 ust. 1 pkt 8 ustawy o ochronie danych osobowych każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych, a zwłaszcza prawo do wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

Art. 23 ust. 1
(...)
4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Po otrzymaniu sprzeciwu należy zaprzestać przetwarzania danych w celach i zakresach objętych sprzeciwem.

Ważne!

Osoba wyrażająca sprzeciw wobec przetwarzania jej danych nie musi podawać przyczyny sprzeciwu.
Obowiązek udzielania informacji na wniosek osoby, której dane są przetwarzane

Zgodnie z art. 33 ustawy o ochronie danych osobowych administrator danych osobowych jest zobowiązany na wniosek osoby, której dane dotyczą, w terminie 30 dni poinformować o przysługujących jej prawach oraz udzielić, odnośnie do jej danych osobowych, informacji:

  • czy taki zbiór istnieje oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska;
  • o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze;
  • od kiedy przetwarza się w zbiorze dane jej dotyczące oraz podania w powszechnie zrozumiałej formie treści tych danych;
  • o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie w tajemnicy informacji niejawnych lub zachowania tajemnicy zawodowej;
  • o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane;
  • o przesłankach podjęcia rozstrzygnięcia, o którym mowa w art. 26a ust. 2 ustawy.

Ważne!

Jeżeli osoba, której dane dotyczą, wystosuje wniosek o wydanie powyższych informacji na piśmie, wówczas administrator danych osobowych (ADO) ma obowiązek wydać je w takiej formie.

Podejmując się działań marketingowych firmy mogą wspomagać się tzw. listą Robinsonów, która zawiera dane osób które nie chcą otrzymywać materiałów reklamowych. W Polsce prowadzona jest przez Stowarzyszenie Marketingu Bezpośredniego.

Ważne!

Sprawdź, czy osoba której dane chcesz przetwarzać znajduje się na liście Robinsonów: www.listarobinsonow.pl
Kiedy zgoda na przetwarzanie danych osobowych w celach marketingowych jest zbędna?

Art. 23 ust. 1 ustawy o ochronie danych osobowych stanowi, że przetwarzanie danych osobowych jest dopuszczalne, gdy:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych;
  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Ważne!

Za prawnie usprawiedliwiony cel uważa się przede wszystkim:

  • marketing bezpośredni własnych produktów lub usług administratora danych;
  • dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej.

Zgoda na przetwarzanie danych nie będzie wymagana w sytuacji, gdy zebrane przez przedsiębiorcę dane zostaną wykorzystane do celów marketingu bezpośredniego własnych produktów i usług. Jeżeli marketing miałby dotyczyć produktów i usług obcych wówczas uzyskanie zgody jest niezbędne.

Rejestracja zbioru danych do celów marketingowych

Czym jest zbiór danych osobowych?

Zgodnie z ustawą pod pojęciem zbioru danych osobowych należy rozumieć każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie

Kto rejestruje zbiór danych?

Osobą odpowiedzialną za rejestrację zbiorów danych co do zasady jest administrator danych, czyli podmiot (przedsiębiorca prowadzący jednoosobową działalność gospodarczą, spółka prawa handlowego, fundacja, stowarzyszenie).

Kiedy nie ma obowiązku rejestracji zbioru danych?

Art. 43 ustawy o ochronie danych osobowych wskazuje, że:

Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

  • zawierających informacje niejawne;
  • które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;
  • przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
  • przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
  • przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
  • przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej;
  • dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;
  • przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
  • dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
  • tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
  • dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
  • przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
  • powszechnie dostępnych;
  • przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
  • przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;
  • przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 ustawy.

Kiedy zgłosić zbiór danych do GIODO?

Zbiór danych osobowych, o ile nie korzysta ze zwolnienia, powinien zostać zgłoszony do GIODO przed rozpoczęciem przetwarzania danych, czyli przed pozyskaniem pierwszych danych do zbioru.

Ważne!

Gdy administrator danych (ADO) zamierza przetwarzać dane określone w art. 27 ustawy o ochronie danych osobowych może rozpocząć przetwarzanie danych dopiero po zarejestrowaniu zbioru, chyba że ustawa zwalnia go z tego obowiązku.

Jak zarejestrować zbiór danych w GIODO?

Istnieją trzy ścieżki rejestracji:

  • wysyłka elektroniczna (za pomocą platformy egiodo.giodo.gov.pl)
  • wysyłka pocztą (ul. Stawki 2, 00-193 Warszawa)
  • złożenie osobiście w Biurze Generalnego Inspektora Ochrony Danych Osobowych

Zgłoszenie zbioru danych powinno zawierać:

  • wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;
  • oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania;
  • cel przetwarzania danych;
  • opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;
  • sposób zbierania oraz udostępniania danych;
  • informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
  • opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39;
  • informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a;
  • informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Angelika Borowska
WFirma.pl
www.wfirma.pl

Dołącz do dyskusji

Kod antyspamowy
Odśwież

FacebookGoogle Bookmarks

Czytaj również

kruczki w umowach

Kruczki w umowach leasingowych - czego należy się wytrzegać?

Leasing należy do najpopularniejszych form zewnętrznego finansowania inwestycji w biznesie. Rynek rośnie w dynamicznym tempie.

Dlaczego warto składać odwołanie od decyzji ZUSu?

Postępowanie w sprawach odwołań od decyzji ZUS jest wolne od kosztów i opłat sądowych, ale nie tylko dlatego warto się odwoływać!

Co trzeba wiedzieć wybierając Biuro rachunkowe

Pomimo wielu zapowiedzi i prób uproszczenia przepisów prawno-podatkowych związanych z prowadzeniem działalności, sektor ten dalej kryje wiele pułapek.

Auto na firme za granica

Czy warto kupić auto na firmę za granicą?

Polacy coraz chętniej sprowadzają samochody z krajów Unii Europejskiej. Kupujący chwalą sobie dobry stan pojazdów, ich bogate wyposażenie, a także duży...

okiem prawnika

Spółka cywilna - zalety i wady, okiem prawnika

Spółka cywilna ciągle pozostaje najpopularniejszą formą współpracy dwu i więcej przedsiębiorców. Jej zaletą jest łatwość i niskie koszty utworzenia... ...

Terminy opłacania składek ZUS, kiedy płacić ubezpiecznie?

Opłacenie składek na ZUS 10 dnia miesiąca też może spowodować niedopełnienie terminu, jeśli zrobimy to późnym wieczorem. Dlaczego?

Kasy fiskalne dla lekarzy, prawników, samochodów i kosmetyczek

Od początku 2015 r. zmniejszy się liczba przedsiębiorców, którzy będą mogli skorzystać ze zwolnienia z obowiązku stosowania kasy fiskalnej.

zawiedzenie działalności

Na czym polega zawieszenie działalności gospodarczej?

Każdy przedsiębiorca dochodzi w pewnym momencie do granic swoich możliwości i po dłuższym czasie nieustającej walki, musi naładować akumulatory.