Odpowiednio duże i dobrze sprofilowane marketingowe bazy danych to kluczowy czynnik, warunkujący powodzenie kampanii i osiągnięcie spodziewanych efektów. Pozyskiwanie danych osobowych jest jednak zajęciem żmudnym i długotrwałym, dlatego coraz więcej podmiotów decyduje się na zakup gotowych baz.
Zakup bazy danych zdecydowanie przyspiesza działania marketingowe, jednak w takiej sytuacji należy zadbać o ochronę gromadzonych i przetwarzanych informacji o osobach fizycznych. Jakie warunki trzeba spełnić, żeby wszystko odbyło się zgodnie z zapisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych? Jakie sankcje grożą za niedopełnienie obowiązku informacyjnego?
Zgody na przetwarzanie danych
Przy zakupie bazy danych marketingowych ważne jest ustalenie, czy podmiot sprzedający ją uzyskał stosowne zgody od osób, których dane są gromadzone i przetwarzane – wszystkie informacje muszą być pozyskane w sposób legalny.
W takiej sytuacji najlepszym rozwiązaniem będzie podpisanie umowy, z której wynika, że podmiot sprzedający ma prawo dysponować zebranymi danymi. Jednocześnie warto tak skonstruować zapisy umowne, żeby to na podmiocie sprzedającym bazę ciążyła odpowiedzialność np. za ewentualne niepozyskanie zgody na przekazywanie danych innym podmiotom w celach marketingowych.
Obowiązki podmiotu kupującego bazę danych marketingowych
Podmiot kupujący bazę danych jest na mocy ustawy zobowiązany do powiadomienia o tym fakcie każdej osoby, której dane przetwarza. Zgodnie z treścią art. 25, ust. 1 ustawy o ochronie danych osobowych, bezpośrednio po utrwaleniu zebranych danych, administrator musi poinformować o:
- adresie swojej siedziby lub miejscu zamieszkania (jeśli administrator jest osobą fizyczną);
- celu zbierania danych oraz odbiorcach, źródle danych;
- prawie dostępu do treści swoich danych oraz ich poprawiania.
Osobom, których dane są przetwarzane, przysługuje także prawo do wniesienia pisemnego umotywowanego żądania zaprzestania przetwarzania danych ze względu na szczególną sytuację – o czym administrator również powinien poinformować.
Sankcje za złamanie przepisów
Ustawa o ochronie danych osobowym nakłada na podmioty niewywiązujące się z przepisów prawa szereg sankcji. Według art. 53 administrator danych osobowych, który nie dopełni obowiązku związanego z koniecznością poinformowania o przysługujących prawach osobie, której dane są przetwarzane, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Podobne sankcje grożą za naruszenie obowiązku zabezpieczania danych osobowych przed zabraniem ich przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. Osobie, która dopuści się takiego czynu grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.
Szczegółowe informacje o ochronie danych osobowych znajdziesz na stronie internetowej firmy Proxymo – przeprowadzającej szkolenia z zakresu ochrony danych osobowych w firmach.