Biuro Porad Prawnych
Oskar Zacharski

ul. Żwirki i Wigury 33/43
26-600 Radom

NIP: 7962987711

600 784 526

o.zacharski@bppz.pl

Kto jest administratorem danych w outsourcingu marketingu?

Outsourcing usług marketingowych jest powszechnym rozwiązaniem stosowanym przez małe i średnie firmy, które chcą skupić się na rozwoju biznesu, jednocześnie korzystając z wiedzy specjalistów w zakresie reklamy. Jednak przekazanie działań marketingowych podmiotowi zewnętrznemu rodzi pytania o odpowiedzialność za dane osobowe. Kto jest administratorem danych w outsourcingu marketingu? I jakie obowiązki z tego wynikają?

Administrator danych w outsourcingu – kto nim jest?

Administrator danych to podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. W praktyce oznacza to, że firma zlecająca marketing, określająca zasady działań, grupy docelowe i metody wykorzystania danych, będzie uznana za administratora – nawet jeśli sama nie ma dostępu do danych, na przykład w przypadku korzystania z zaszyfrowanych informacji.

Przykład z decyzji szwedzkiego IMY

W decyzji z 27 czerwca 2022 roku, szwedzki organ ochrony danych (IMY) rozstrzygał sprawę Nordax Bank AB. Bank zlecił realizację działań marketingowych zewnętrznej firmie Iper Direkt AB, która wybierała odpowiednie dane z własnej bazy na podstawie kryteriów ustalonych przez Nordax.

IMY uznał, że to Nordax był administratorem danych, ponieważ:

  • określał cele przetwarzania,
  • definiował kryteria wyboru danych,
  • przetwarzanie odbywało się na jego zlecenie.

Decyzja ta pokazuje, że administrator danych nie musi mieć bezpośredniego dostępu do danych, by ponosić odpowiedzialność. Kluczowe jest, kto podejmuje decyzje o ich przetwarzaniu.

Kto odpowiada za dane w outsourcingu marketingu?

Podmiot zlecający (administrator danych) pozostaje odpowiedzialny za przetwarzanie danych, nawet jeśli zadanie wykonuje firma zewnętrzna (procesor). W przypadku naruszeń, takich jak brak zgody na działania marketingowe, to zleceniodawca może ponosić konsekwencje prawne.

Decyzja Sądu Najwyższego w Polsce

Polski Sąd Najwyższy w uchwale z 17 lutego 2016 r. (III SZP 7/15) potwierdził, że firma zlecająca działania marketingowe z użyciem automatycznych systemów wywołujących (ASW) jest odpowiedzialna za uzyskanie zgód na takie działania. Nawet jeśli fizyczne wykorzystanie systemów było realizowane przez podmiot trzeci, to przedsiębiorca dostarczający bazę kontaktów i określający zasady działań marketingowych jest odpowiedzialny za ich legalność.

Bezpłatna porada RODO

Masz pytanie dotyczące ochrony danych osobowych ale nie zależy Ci na wielostronicowej opinii prawnej? Zamów bezpłatną poradę w zakresie RODO i otrzymaj krótką i zwięzłą odpowiedź od ręki!

Kluczowe wnioski dla MŚP

Jeśli Twoja firma zleca działania marketingowe podmiotom zewnętrznym, musisz pamiętać o kilku istotnych kwestiach:

  1. Administrator danych a procesor:
    • Administrator decyduje o celach i metodach przetwarzania danych.
    • Procesor działa zgodnie z instrukcjami administratora.
  2. Odpowiedzialność za zgody:
    • To zleceniodawca musi zadbać o zgodność z przepisami, w tym uzyskanie zgód marketingowych.
  3. Zasady współpracy z procesorem:
    • Umowy z podmiotami zewnętrznymi muszą jasno określać zakres odpowiedzialności obu stron.
    • Warto upewnić się, że procesor spełnia standardy RODO.
  4. Przechowywanie danych:
    • Nawet jeśli dane są zaszyfrowane lub spseudonimizowane, to administrator może nadal ponosić odpowiedzialność za ich przetwarzanie.

Podsumowanie

Administratorem danych w outsourcingu marketingu w większości przypadków będzie firma zlecająca działania. Outsourcing nie zwalnia jednak zleceniodawcy z odpowiedzialności za przestrzeganie przepisów RODO, w tym uzyskanie zgód na działania marketingowe. Aby uniknąć sankcji, warto zadbać o właściwe umowy z procesorami i upewnić się, że każda kampania jest zgodna z przepisami.

Pamiętaj, że ochrona danych osobowych to nie tylko kwestia prawna, ale także budowanie zaufania klientów do Twojej marki.

| Redakcja BPPZ

Przeczytaj także:

Więcej na Blog BPPZ