COLD MAILING W KONTEKŚCIE ADMINISTRATORA DANYCH OSOBOWYCH I PROCESORA

• 28.11.2023

• Autor: Patrycja Szarama

• Analizy

W dzisiejszym świecie, kiedy rynek jest coraz bardziej konkurencyjny, skuteczna komunikacja z potencjalnym klientem jest kluczowym elementem strategii marketingowej wielu firm. Jednym z narzędzi, które cieszy się ogromną popularnością w tym kontekście jest cold mailing. W niniejszym artykule wyjaśnimy, kiedy cold mailing wykonywany jest z poziomu Administratora Danych Osobowych, a kiedy z poziomu Procesora oraz jakie obowiązki i ryzyka występują po każdej ze stron.

Czym właściwie jest cold mailing?

Cold mailing to praktyka wysyłania niezamówionych wiadomości e-mail do osób lub przedsiębiorstw w celu nawiązania kontaktu biznesowego. Najprościej rzecz ujmując jest to narzędzie wykorzystywane do zdobycia nowych klientów lub partnerów biznesowych. Z powyższej definicji wynika, iż czynności podejmowane w ramach cold mailingu związane są ściśle zarówno z informacją handlową jak i marketingiem bezpośrednim. Aby korzystać z owego narzędzia zgodnie z prawem, należy zatem uwzględnić – poza przepisami dotyczącymi ochrony danych osobowych – również przepisy dotyczące legalnego prowadzenia marketingu bezpośredniego rozumianego jako przesyłanie informacji handlowej drogą elektroniczną. Na temat dopuszczalności narzędzia marketingowego jakim jest cold mailing oraz obowiązujących w tym zakresie przepisów prawa wspominaliśmy już wcześniej w publikacji:

Dopuszczalność cold calling i cold mailing na gruncie RODO

W niniejszym artykule chcielibyśmy się skupić na roli Administratora Ochrony Danych oraz Procesora w procesie cold mailingu.

Różnica pomiędzy Administratorem Danych Osobowych a Procesorem:

Aby zrozumieć rolę Administratora Danych Osobowych oraz Procesora w procesie cold mailingu, dla przypomnienia należy wskazać podstawową różnicę pomiędzy tymi dwiema rolami występującymi w procesie przetwarzania danych osobowych:

1. Administrator Danych Osobowych: to podmiot, który określa cele i środki przetwarzania danych osobowych. Tym samym, Administrator decyduje o tym, dlaczego i jakie dane osobowe są przetwarzane.
2. Procesor: jest podmiotem przetwarzającym dane osobowe w imieniu i na rzecz Administratora. Procesor działa zgodnie z instrukcjami Administratora.

Mając powyższe na uwadze, rozważmy kilka możliwych scenariuszy:

1. przedsiębiorca samodzielnie realizuje cold mailing – w tej sytuacji podmiot występuje w roli Administratora Danych Osobowych. Odpowiada w szczególności za: legalność przetwarzanych danych (czy dane znajdujące się w bazie zostały pozyskane legalnie, również w przypadku zakupu bazy danych), prawidłowość spełnienia obowiązku informacyjnego oraz pozyskanie skutecznych i ważnych zgód. Wszelkie obowiązki wynikające z przetwarzania danych osobowych w ramach prowadzonego cold mailingu spoczywają na podmiocie, który go realizuje (w tym również obowiązek informacyjny, o którym mowa w art. 14 RODO, w przypadku zakupu bazy danych). 
2. przedsiębiorca zleca cold mailing firmie zewnętrznej, przy czym cold mailing będzie realizowany w stosunku do podmiotów z bazy danych będących w posiadaniu wykonawcy – w takiej sytuacji to podmiot zewnętrzny odpowiada za legalność posiadanej bazy danych i spełnienie obowiązku informacyjnego. Jednakże, mając na uwadze fakt, iż kampania marketingowa prowadzona jest w imieniu i na rzecz podmiotu zlecającego, należy podkreślić, iż podmiot zlecający uzyska rolę Administratora Danych Osobowych, który będzie zobowiązany do spełnienia obowiązku informacyjnego i pozyskania ważnych zgód, celem prowadzenia komunikacji z potencjalnym klientem.
3. przedsiębiorca zleca cold mailing podmiotowi zewnętrznemu, przy czym będzie on prowadzony w stosunku do adresatów z bazy danych podmiotu zlecającego – jesteśmy zobowiązani jako Administrator Danych Osobowych do zawarcia z podmiotem zewnętrznym umowy powierzenia przetwarzania danych osobowych zgodnie z przepisem art. 28 RODO. Jako Administrator Danych Osobowych ponosimy również pełną odpowiedzialność za legalność i prawidłowość prowadzonego cold mailingu.
4. przedsiębiorca zleca cold mailing firmie zewnętrznej, przy czym baza danych adresatów będzie budowana przez wykonawcę, zgodnie z założeniami przekazanymi przez zlecającego, z danych dostępnych publicznie – Administratorem Danych Osobowych będzie podmiot zlecający, tym samym obowiązki z tego wynikające spoczywać będą właśnie na tym podmiocie. Jednakże jeśli po zrealizowaniu umowy, wykonawca będzie korzystał z utworzonej w ten sposób bazy danych również na potrzeby innych klientów, wówczas będzie musiał zweryfikować podstawę prawną swojego działania i określić swoją rolę. Warto w tym miejscu krótko omówić kwestie korzystania na potrzeby cold mailingu z danych dostępnych publicznie. Dane dostępne publicznie to dane, z którymi bez większego nakładu sił i środków może zapoznać się nieograniczony krąg osób. Niezależnie jednak o tego, że dane te zostały upublicznione, należy uznać je za dane osobowe ( o ile będą stanowiły informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej). W przypadku korzystania z danych dostępnych publicznie do celów marketingowych, należy przede wszystkim pamiętać o spełnieniu obowiązku informacyjnego, o którym mowa w art. 14 RODO. Jak wynika jasno z art. 14 ust. 2 lit f) RODO: administrator podaje osobie, której dane dotyczą informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania wobec osoby, której dane dotyczą, w tym źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych. Sam fakt, iż dane adresatów zostały pozyskane ze źródeł dostępnych publicznie, nie zwalnia zatem Administratora z obowiązku spełnienia w stosunku do tych osób obowiązku informacyjnego.  

Rola Procesora w cold mailingu:

W sytuacji, w której zlecamy firmie zewnętrznej realizację strategii marketingowej w formie cold mailing, wówczas firma ta występuje w roli Procesora. Dzieje się tak dlatego, ponieważ to Administrator Danych Osobowych (firma, która inicjuje wysyłkę wiadomości) decyduje o celach i sposobach przetwarzania danych osobowych, podczas gdy podmiot realizujący tę wysyłkę wykonuje jedynie polecenie Administratora. Procesor nie ma kontroli nad listą adresową i nie może korzystać z niej do celów innych aniżeli określone przez Administratora.  

Podsumowanie:

Cold mailing może być skutecznym narzędziem biznesowym, ale musi być prowadzony z poszanowaniem obowiązujących przepisów, w tym w zakresie ochrony danych osobowych. Rozróżnienie roli Administratora oraz Procesora jest kluczowe i od tego należy zacząć decydując się na korzystanie z tej formy marketingu.

Przed przeprowadzeniem cold mailingu, podmiot musi zrozumieć swoją rolę i obowiązki wynikające z ochrony danych osobowych oraz dostosować swoje działania i środki, aby działać zgodnie z prawem i uniknąć ryzyka naruszenia danych osobowych.

Autor

Patrycja Szarama

Radca prawny, Konsultant ds. Danych Osobowych.

Absolwentka Wydziału Prawa Uniwersytetu Gdańskiego. Od 2011 roku Członek Okręgowej Izby Radców Prawnych w Gdańsku. Od 2018 r w ramach pracy własnej kancelarii specjalizuje się w obsłudze podmiotów gospodarczych w zakresie ochrony danych osobowych.
Przeprowadziła wiele audytów w zakresie ochrony danych osobowych, wdrażała RODO, prowadzała szkolenia oraz pełniła funkcję inspektora ochrony danych.
Posiada również doświadczanie w zakresie bieżącej obsługi przedsiębiorstw, w tym w szczególności reprezentowania klientów w sporach sądowych, negocjacjach handlowych, konstruowania wzorów umów i regulaminów oraz nadzorowania inwestycji kapitałowych.