Przedsiębiorcy budują bazy swoich klientów zbierając dane bezpośrednio od samych konsumentów

Jednak, w jaki sposób można uzyskać pogłębioną wiedzę na temat zainteresowań swoich klientów lub jak uzyskać nowe, bardziej skuteczne formy komunikacji z nimi, nie naruszając przy tym zasad ochrony prywatności?

W większości przypadków przedsiębiorcy budują bazy swoich klientów zbierając dane bezpośrednio od samych konsumentów, przy realizacji umów, jakie z nimi zawarli. Jednak tak zbudowaną bazę trudno wykorzystać w efektywny sposób w działalności marketingowej, ponieważ z czasem dane dezaktualizują się a ich wąski zakres utrudnia dopasowanie oferty do oczekiwań klienta.

Z tych względów powinno rozważyć się wzbogacenie posiadanych danych. Wzbogacanie polega na pozyskiwaniu przez przedsiębiorcę dodatkowych informacji na temat osób, których dane już posiada. Kategorie danych, o jakie można uzupełnić bazę zależą głównie od tego, w jaki sposób chcemy się nimi posłużyć. Bazę można wzbogacać o dane kontaktowe (np. e-mail lub numer telefonu komórkowego), które będą wykorzystane w kampaniach marketingowych, prowadzonych za pomocą środków elektronicznych. W takim przypadku mamy do czynienia z tzw. data appending. Można jednak uzupełnić wiedzę o swoich klientach poprzez pozyskanie informacji socjo-demograficznych na ich temat (np. dotyczących zainteresowań lub stanu rodzinnego). Wtedy jest to tzw. data enhancement.

Legalność najważniejsza dla każdej ze stron

Z perspektywy przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych („uodo") proces wzbogacania bazy danych opiera się o konstrukcję udostępnienia danych. Tak więc w każdym przypadku mamy dwóch administratorów.Jeden z nich ma bazę, która ma zostać wzbogacona. Zgodnie z art. 7 pkt. 6 uodo jest on odbiorcą danych. Drugi, bazę zawierającą dane, które mają zostać udostępnione. Jest on udostępniającym.Bardzo ważne aby każdym z tych podmiotów miał świadomość ciążących na nim obowiązków.

W pierwszej kolejności, udostępniający powinien dokonać oceny, czy zachodzi któraś z ustawowych przesłanek, pozwalających odbiorcy na przetwarzanie danych, które mają zostać udostępnione. W przypadku danych kontaktowych taką przesłanką może być uzasadniony interes odbiorcy, polegający na oferowaniu własnych produktów lub usług, o którym mowa w art. 23 ust. 4 pkt 1 uodo. Jednak w przypadku procesów dotyczących danych, które mają dać pogłębioną wiedzę na temat klientów, ryzykowne będzie posłużenie się tym przepisem i konieczne będzie uzyskanie innej podstawy prawnej. Na marginesie można wskazać, że firmy świadczące usługi wzbogacania, co do zasady, posiadają zgody na wykorzystanie danych w tego rodzaju procesach. Taka zgoda, o ile sformułowana i zebrana we właściwy sposób przez udostępniającego, może zdjąć z odbiorcy danych obowiązek pozyskiwania legitymacji dla swoich działań.

Z drugiej strony, również udostępniający powinien legitymować się podstawą prawną dla udostępnienia danych. Najpowszechniejszą z nich jest zgoda osoby, której dane dotyczą. W tym miejscu można zaznaczyć, że nie spełnienie tego obowiązku może pośrednio nieść konsekwencje również w stosunku do odbiorcy danych. Osoba, której dane zostały udostępnione bez podstawy prawnej i wykorzystane przez odbiorcę, w pierwszej kolejności będzie kierowała swoje roszczenia właśnie do niego. Oczywiście sprawdzanie każdego udostępnionego rekordu będzie procesem mało efektywnym, dlatego odbiorca danych powinien zadbać o dodanie odpowiedniego postanowienia w umowie z udostępniającym.

Dodatkowo, taka umowa powinna wskazywać jakie dane mają zostać udostępnione oraz przewidywać uprawnienie odbiorcy z tytułu przekazania niedokładnych lub niekatulanych danych.

Należy również zaznaczyć, że chociaż udostępnienie danych dotyczy relacji dwóch niezależnych administratorów, to trudno je przeprowadzić bez powierzenia przetwarzania. Żeby ustalić, w jakim zakresie udostępniający może wzbogacić bazę odbiorcy, musi on porównać obydwie bazy danych. Nie będzie mógł tego dokonać, o ile odbiorca nie zapewni mu faktycznego dostępu do posiadanych informacji. Tak więc, udostępniający będzie działał również na rzecz odbiorcy, jako przetwarzający powierzone dane. Dlatego umowa,jaką zawrą powinna uwzględniać również postanowienia wynikające art. 31 uodo.

Pozostałe obowiązki

Niemniej, po uzyskaniu danych od udostępniającego, odbiorca jest zobowiązany spełnić również dalsze wymogi związane z ich posiadaniem. W pierwszej kolejności, jeżeli pozyskał nowe kategorie danych o swoich klientach, powinien dokonać aktualizacji w rejestrze zbiorów prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych.Natomiast, jeżeli jedynie zaktualizował posiadane informacje, nie zmieniając zakresu kategorii danych, jaki już zarejestrował, ten obowiązek nie powstanie. Jest również zobowiązany do spełnienia obowiązku informacyjnego, o którym mowa w art. 25 uodo, podając konsumentom informacje na temat nowych danych, jakie posiada oraz kto jest ich źródłem.

Dodatkowe obowiązki związane są z pewnymi szczególnymi kategoriami danych. Dla przykładu, zgodnie z ustawa z dnia 18 lipca 2002 r.o świadczeniu usług drogą elektroniczną, wykorzystanie adresu e-mail w celach marketingowych wymaga zgody adresata. Co ważne, nie jest to zgoda na przetwarzanie danych w celach marketingowych. Natomiast zgodnie z przepisami ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne posługiwanie się automatycznymi systemami wywołującymi (ang. voicemailig) wymaga zgody użytkownika końcowego. Każdą z tych zgód należy uzyskać przed wykorzystaniem danych we wskazany powyżej sposób.

Tak więc, powstaje pytanie, czy warto podejmować wysiłek i koszty związane z przeprowadzeniem wzbogacania bazy danych naszych klientów. Trudno o jednoznaczną odpowiedź, ale obserwując rosnącą popularność tego rodzaju rozwiązań wydaje się, że tak.

Autor jest radcą prawnym w Acxiom Polska sp. o.o.