Outsourcing usług marketingowych jest powszechnym rozwiązaniem stosowanym przez małe i średnie firmy, które chcą skupić się na rozwoju biznesu, jednocześnie korzystając z wiedzy specjalistów w zakresie reklamy. Jednak przekazanie działań marketingowych podmiotowi zewnętrznemu rodzi pytania o odpowiedzialność za dane osobowe. Kto jest administratorem danych w outsourcingu marketingu? I jakie obowiązki z tego wynikają?
Administrator danych w outsourcingu – kto nim jest?
Administrator danych to podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. W praktyce oznacza to, że firma zlecająca marketing, określająca zasady działań, grupy docelowe i metody wykorzystania danych, będzie uznana za administratora – nawet jeśli sama nie ma dostępu do danych, na przykład w przypadku korzystania z zaszyfrowanych informacji.
Przykład z decyzji szwedzkiego IMY
W decyzji z 27 czerwca 2022 roku, szwedzki organ ochrony danych (IMY) rozstrzygał sprawę Nordax Bank AB. Bank zlecił realizację działań marketingowych zewnętrznej firmie Iper Direkt AB, która wybierała odpowiednie dane z własnej bazy na podstawie kryteriów ustalonych przez Nordax.
IMY uznał, że to Nordax był administratorem danych, ponieważ:
- określał cele przetwarzania,
- definiował kryteria wyboru danych,
- przetwarzanie odbywało się na jego zlecenie.
Decyzja ta pokazuje, że administrator danych nie musi mieć bezpośredniego dostępu do danych, by ponosić odpowiedzialność. Kluczowe jest, kto podejmuje decyzje o ich przetwarzaniu.
Kto odpowiada za dane w outsourcingu marketingu?
Podmiot zlecający (administrator danych) pozostaje odpowiedzialny za przetwarzanie danych, nawet jeśli zadanie wykonuje firma zewnętrzna (procesor). W przypadku naruszeń, takich jak brak zgody na działania marketingowe, to zleceniodawca może ponosić konsekwencje prawne.
Decyzja Sądu Najwyższego w Polsce
Polski Sąd Najwyższy w uchwale z 17 lutego 2016 r. (III SZP 7/15) potwierdził, że firma zlecająca działania marketingowe z użyciem automatycznych systemów wywołujących (ASW) jest odpowiedzialna za uzyskanie zgód na takie działania. Nawet jeśli fizyczne wykorzystanie systemów było realizowane przez podmiot trzeci, to przedsiębiorca dostarczający bazę kontaktów i określający zasady działań marketingowych jest odpowiedzialny za ich legalność.
Bezpłatna porada RODO
Masz pytanie dotyczące ochrony danych osobowych ale nie zależy Ci na wielostronicowej opinii prawnej? Zamów bezpłatną poradę w zakresie RODO i otrzymaj krótką i zwięzłą odpowiedź od ręki!
Kluczowe wnioski dla MŚP
Jeśli Twoja firma zleca działania marketingowe podmiotom zewnętrznym, musisz pamiętać o kilku istotnych kwestiach:
- Administrator danych a procesor:
- Administrator decyduje o celach i metodach przetwarzania danych.
- Procesor działa zgodnie z instrukcjami administratora.
- Odpowiedzialność za zgody:
- To zleceniodawca musi zadbać o zgodność z przepisami, w tym uzyskanie zgód marketingowych.
- Zasady współpracy z procesorem:
- Umowy z podmiotami zewnętrznymi muszą jasno określać zakres odpowiedzialności obu stron.
- Warto upewnić się, że procesor spełnia standardy RODO.
- Przechowywanie danych:
- Nawet jeśli dane są zaszyfrowane lub spseudonimizowane, to administrator może nadal ponosić odpowiedzialność za ich przetwarzanie.
Podsumowanie
Administratorem danych w outsourcingu marketingu w większości przypadków będzie firma zlecająca działania. Outsourcing nie zwalnia jednak zleceniodawcy z odpowiedzialności za przestrzeganie przepisów RODO, w tym uzyskanie zgód na działania marketingowe. Aby uniknąć sankcji, warto zadbać o właściwe umowy z procesorami i upewnić się, że każda kampania jest zgodna z przepisami.
Pamiętaj, że ochrona danych osobowych to nie tylko kwestia prawna, ale także budowanie zaufania klientów do Twojej marki.
| Redakcja BPPZ
Przeczytaj także: