Prowadzenie marketingu jako prawnie uzasadniony interes administratora danych

prowadzenie marketingu

Przetwarzając dane osobowe w celach marketingowych, administrator może, w pewnych okolicznościach, powołać się na konieczność ich przetwarzania w celach wynikających z jego prawnie uzasadnionych interesów. W takim przypadku nie jest konieczne odbieranie zgody na przetwarzanie danych osobowych w celu prowadzenia marketingu. Zastosowanie tej konstrukcji nie jest niczym nowym, ponieważ obowiązująca przez 25 maja 2018 r. ustawa o ochronie danych osobowych również dopuszczała taką możliwość.

Różnica pomiędzy RODO a uchyloną już ustawą o ochronie danych osobowych (na potrzeby niniejszego artykułu określmy ją jako sUODO) polega na zawartości treści marketingowych, które administrator może wysyłać przy zastosowaniu tej podstawy prawnej. W art. 23 ust. 4 pkt 1) sUODO stanowiła, iż za prawnie usprawiedliwiony cel administratora uważało się w szczególności „marketing bezpośredni własnych produktów lub usług administratora danych”. Istotne jest w tym przypadku użycie sformułowania „własnych”. Oznaczało to, iż administrator może w takim przypadku przetwarzać dane osobowe podmiotu danych w celach marketingowych tylko kierując do niego ofertę dotyczącą jego produktów i usług.

Należy również pamiętać, że w sUODO nieznana była konstrukcja współadministrowania danymi, którą wprowadziło RODO. Zatem, o ile samodzielnie funkcjonujący administrator nie odczuwał problemów praktycznych sformułowania tego przepisu sUODO, o tyle administrator funkcjonujący w grupie kapitałowej musiał często wybrać pomiędzy ograniczeniem działalności marketingowej, a zgodnością z przepisami.

RODO w powyższym zakresie daje potencjalnie większe możliwości. Co prawda w art. 6, który określa możliwe podstawy prawne do przetwarzania danych osobowych, nie odnosi się wprost do marketingu, to nieco więcej światła w tej kwestii rzuca motyw 47. Zgodnie z jego treścią za działanie wykonywane w prawnie uzasadnionym interesie administratora „można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”.

Jak widać, przytoczony motyw nie ogranicza działalności marketingowej do własnych produktów lub usług administratora, co potencjalnie daje możliwość przesyłania odbiorcom treści marketingowych treści dotyczące np. innej spółki, będącej członkiem grupy kapitałowej administratora. Należy jednak pamiętać, że administrator nie może udostępniać danych osobowych odbiorców innej spółce, aby ona we własnym zakresie opisany marketing prowadziła – treści muszą być nadal kierowane przez pierwotnego administratora.

Ekspert w dziedzinie ochrony danych

Autor

Michał Rogoziński

Od kilku lat doradza polskim przedsiębiorcom przy budowaniu i rozwijaniu bezpiecznego biznesu. Zrealizował dziesiątki audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Aktywny trener prowadzący szkolenia z zakresu bezpieczeństwa przetwarzania danych osobowych. Posiada certyfikat audytora wewnętrznego ISO 27001 (Bezpieczeństwo Informacji).

Z tej samej kategorii

Kategorie