Audyt ochrony danych osobowych w działach marketingu
Administratorzy danych osobowych niezależnie od branży swojej działalności decydują się na kompleksowy audyt ochrony danych osobowych w swoich firmach. Jego celem jest sprawdzenie zgodności działania przedsiębiorcy w zakresie przetwarzania danych osobowych z obowiązującymi przepisami prawa ? w tym przede wszystkim z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (dalej: ?uodo?) i przepisami wykonawczymi do tej ustawy.
Przedsiębiorcy największe ryzyka swojej działalności w kontekście przetwarzania danych osobowych zauważają w dziale marketingu. Fakt ten nie dziwi ? bowiem jest to miejsce, w którym przepisy co do zasady nie mówią wprost kiedy i jakie dane osobowe można przetwarzać, dając przy tym duże pole do samodzielnej interpretacji, która nie zawsze jest prawidłowa. Dział marketingu jest również miejscem, w którym istnieje największa pokusa, często świadoma, do nieadekwatnego przetwarzania danych osobowych (tj. zbyt dużej ilości danych) lub z pominięciem podstaw pozwalających na przetwarzanie danych osobowych (np. klauzuli zgody).
Kompleksowy audyt ochrony danych osobowych w dziale marketingu poza sprawdzeniem zgodności działalności administratora danych osobowych z wyżej wymienionym aktem prawnym, uwzględnia również przepisy ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, jak również ustawę z dnia 16 lipca 2004 r. prawo telekomunikacyjne.
Działy marketingu, będące wsparciem sprzedaży, dążą przede wszystkim do zbudowania jak najobszerniejszych baz danych osobowych, które jednocześnie będą mówiły jak najwięcej (w aspekcie preferencji konsumpcyjnych) o osobach, które w nich się znajdują. W efekcie, najistotniejszym zadaniem audytu ochrony danych osobowych jest ustalenie, czy administrator danych osobowych posiada bazy danych osobowych legalnie ? pozyskał je w oparciu o obowiązujące przepisy prawa oraz czy może posiadać dane osobowe w analizowanym zakresie, mając na uwadze cel dla jakiego te dane osobowe przetwarza. Zastosowanie znajdą tutaj zapisy art. 23 i 26 uodo.
Warto również wskazać, jakie inicjatywy podlegają kontroli audytowej oraz jak wygląda takie sprawdzenie. Audytorzy sprawdzają legalność źródeł danych marketingowych. Jeśli bazy danych zostały zakupione ? sprawdzane są umowy o zakup lub licencję baz danych, a przede wszystkim to czy sprzedający miał prawo do udostępnienia baz danych, a następnie w jaki sposób podmiot, który nabył bazę może z niej skorzystać. W przypadku gdy dane osobowe pozyskiwane są bezpośrednio od osoby, której dotyczą – sprawdzana jest podstawa pozyskania danych osobowych do działań marketingowych. Najczęściej będzie nią zgoda, przy czym co istotne zgoda na przetwarzanie danych osobowych nie będzie wystarczająca aby właściciel tych samych danych mógł być odbiorcą wysyłki informacji handlowej drogą elektroniczną w rozumieniu ustawy o świadczeniu usług drogą elektroniczną, czy aby możliwe było świadczenie względem niego marketingu bezpośredniego przy użyciu automatycznych systemów wywołujących w rozumieniu prawa telekomunikacyjnego. W dziale marketingu audytowi poddawany jest cały kompleks działań. Inicjatywy, które analizowane są u większości audytowanych administratorów to m.in.: wysyłka newslettera, działania konkursowe, loterie, programy lojalnościowe, problematyka zakupu baz danych, aktywność administratorów w serwisach społecznościowych typu Facebook.
Reasumując należy wskazać, iż profesjonalnie wykonany audyt ochrony danych osobowych w dziale marketingu będzie miał dla administratora danych osobowych walor zabezpieczający, a w dłuższej perspektywie wdrożenie zaleceń audytu, doprowadzi do tego, iż budowane przez lata bazy danych będą wartościowe i bezpieczne, zaś na wypadek kontroli Generalnego Inspektora Ochrony Danych Osobowych, nie okaże się iż z uwagi na nieprawidłowości w ich pozyskaniu – należy je usunąć.
Justyna Matuszak-Leśny, LL.M.
Radca Prawny
JPL Group Sp. z o. o.
