Ochrona Danych Osobowych w Automatyzacji Marketingu

Nie ma chyba osoby, która nie wyraziłaby kiedykolwiek zgody na przetwarzanie jej danych osobowych. W dobie rosnącej popularności automatyzacji marketingu budowanie baz danych potencjalnych klientów i pozyskiwanie ich informacji kontaktowych jest na wagę złota. Umożliwia to marketerom kierowanie kampanii reklamowych do odpowiedniej grupy docelowej, osobiście i personalnie. Należy pamiętać, że korzystanie z danych osobowych, czyli informacji umożliwiających bezpośrednią lub pośrednią  identyfikację osób (w tym adresy email), podlega zabezpieczeniu przez szereg wymogów prawnych.

Zadania Administratora Danych Osobowych

Osobą odpowiedzialną za przetwarzanie danych osobowych jest Administrator Danych Osobowych (ADO), który zgodnie z treścią art. 36 ust.2 ustawy o ochronie danych osobowych ma obowiązek prowadzić dokumentację opisującą sposoby przetwarzania danych osobowych. W myśl tej ustawy, ADO przedstawia środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych w zależności od wystąpienia możliwych zagrożeń oraz kategorii danych objętych ochroną. Jest on również odpowiedzialny za ich zabezpieczenie przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator odpowiada za nadzór przestrzegania zasad ustalonych w Polityce Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym.  

Prowadzenie Polityki Bezpieczeństwa odnosi się do działań oraz reguł postępowania i zasad  w celu zabezpieczenia danych osobowych. Zalecane elementy, które powinny zostać zawarte zostały opracowane przez Generalny Inspektorat Ochrony Danych Osobowych w dokumencie pt. “Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa”. Instrukcja Zarządzania Systemem Informatycznym jest tworzona jako druga część dokumentacji. Powstaje jako uzupełnienie Polityki Bezpieczeństwa w zakresie technicznych aspektów przetwarzania danych osobowych w systemach informatycznych firmy lub organizacji. Instrukcja zawiera wszystkie elementy wskazane w rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Lista załączników jest zależna od każdej dokumentacji, niemniej pewne jej części są stałe, ponieważ wprost wynikają z obowiązujących przepisów.

Procedury zgłaszania

W przypadku braku powołania Administratora Bezpieczeństwa Informacji (ABI), przed rozpoczęciem przetwarzania danych osobowych, ADO ma obowiązek dokonania zgłoszenia zbioru w Generalnym Inspektoracie Ochrony Danych Osobowych. Rejestracja listy lub powołanie ABI w GIODO nie podlegają opłacie. Płatne jest jedynie zaświadczenie, o dokonanej rejestracji, a jego uzyskanie wymaga uiszczenia opłaty skarbowej w wysokości 17 zł.

Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536). Zgłoszenie powinno zawierać wszystkie załączniki, oraz muszą być podpisane przez administratora danych.

Rejestracji podlegają takie usystematyzowane zestawy danych, które są zbiorami danych osobowych w rozumieniu art. 7 pkt 1 ustawy o ochronie danych osobowych. Istnieje jednak  grupa zwolniona od generalnej zasady rejestracji zbiorów danych osobowych. Zatem jeżeli podmiot przetwarza dane osobowe w zbiorze jako administrator danych, a jednocześnie nie zachodzi żadna z przesłanek o ich zwolnieniu, to jest on zobligowany do dokonania zgłoszenia zbioru w urzędzie GIODO.

Dostęp do Informacji

Każdej osobie przysługuje prawo do uzyskania wyczerpujących informacji na temat dotyczących jej danych osobowych, które są przetwarzane w zbiorach danych. Zgodnie z art. 32 ust. 5 ustawy o ochronie danych osobowych, prawo do informacji przysługuje osobie zainteresowanej nie częściej niż raz na 6 miesięcy. Na podstawie ustawy o ochronie danych osobowych osoba, której dane dotyczą, może żądać udostępnienia przez administratora w terminie 30 dni wymienionych w rozporządzeniu informacji.

Zgody Handlowe

Prawne zabezpieczenie pozyskiwania danych osobowych zawarte jest w trzech głównych  aktach prawnych: Ustawie o ochronie danych osobowych, Ustawie o świadczeniu usług drogą elektroniczną oraz Prawie Telekomunikacyjnym.

Treść Ustawy o ochronie danych osobowych stanowi informację o tym kiedy i do jakich celów możemy wykorzystywać dane. Wymusza również na osobie, której dane są przetwarzane, wyrażenia zgody na otrzymywanie materiałów marketingowych innych niż marketing bezpośredni produktów własnych.

Ustawa o świadczeniu usług drogą elektroniczną określa cele przy przetwarzaniu danych osobowych e-usługobiorców przez e-usługodawców, tj. reklama, badania rynkowe lub zachowań i preferencji usługobiorców. Przetwarzanie danych osobowych może nastąpić tylko po uprzednim poinformowaniu osoby oraz wskazania celu, której dane osobowe będą zbierane i gromadzone. Możliwe do przetwarzania dane e-usługobiorcy są ściśle określone ustawą.

Dopełnienie wyżej wymienionych procedur stanowi Prawo Telekomunikacyjne, a w szczególności art. 172 ust. 3 tej ustawy.  Wymusza ona na usługodawcy uzyskanie bezpośredniej zgody użytkownika na wykonywanie telefonicznych połączeń w związku z działalnością marketingową.  Ustawa umożliwia wycofanie akceptacji w każdym czasie, w sposób prosty i wolny od opłat, a także warunkuje jej sposób uzyskania.

Dane osobowe usługobiorców są informacją możliwą do porównania z pieniędzmi. Stanowią realną wartość handlową przedsiębiorstwa, które jest ich właścicielem. Nie jest dobrze, gdy usługodawca czy zewnętrzna agencja marketingowa zapominają, że po zakończeniu akcji mają bazę danych klientów, która sama w sobie jest narzędziem do zarabiania pieniędzy. Im lepsza baza danych, tym większa jej wartość rynkowa dla właściciela. Szczególnie, jeśli zamierza w oparciu o nią budować zaufanie i lojalność konsumentów w przyszłości. Nieznajomość przepisów prawa stwarza właścicielom baz zagrożenie utraty dobrej reputacji na rynku. Można tego skutecznie uniknąć, współpracując z doświadczonymi w ochronie danych osobowych, firmami marketingowymi. Outsourcing zarządzania bazą jest zazwyczaj tańszym rozwiązaniem niż wdrażanie własnej polityki bezpieczeństwa informacji czy ewentualnego kosztu postępowania administracyjno-prawnego. Dlatego operując bazą danych osobowych zwykłych lub wrażliwych, warto znać podstawowe regulacje prawne zarządzające procedurami ich zabezpieczania, ponieważ w razie stwierdzenia, że działanie lub zaniechanie osoby fizycznej będącej ich administratorem wykazuje znamiona przestępstwa określonego w ustawach, Generalny Inspektor może skierować wniosek do organu powołanego do ścigania przestępstw.

Przypisy

1. Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. (Dz.U. Nr 100 poz.1024)
2. Ustawa o Ochronie Danych Osobowych – art. 41 ust. 1 pkt 1-7
3. Ustawa o Ochronie Danych Osobowych – art. 43 ust. 1 pkt 1–11
4. Ustawa o Ochronie Danych Osobowych – art. 32 ust.1 pkt 1-5a