Dane osobowe w marketingu – administrator danych

Artykuł autorstwa Macieja Chmieleckiego ukazał się pierwotnie na łamach www.marketing-news.pl

Kto jest administratorem danych osobowych (w skrócie ADO) zbieranych podczas akcji marketingowej – klient, który tę akcję zleca, czy agencja, która tę akcję organizuje? Mówimy oczywiście tylko o takich działaniach marketingowych, w kontekście których pozyskiwane są dane osobowe, np. zbierane są leady, budowana jest baza mailingowa lub dane są zbierane w celu organizacji konkursu. W artykule odpowiadam na najczęściej pojawiające się pytanie dotyczące zasad przetwarzania danych osobowych w układzie „Klient – Agencja”.

Odpowiednie przypisanie funkcji ADO jest szalenie istotne, ponieważ wiąże się z tą funkcją wiele obowiązków, np. właściwe zabezpieczenie danych oraz dbałość o to, aby były one przetwarzane zgodnie z prawem. W przypadku uchybień, to administrator będzie miał problemy w pierwszej kolejności.

Jaka jest rola administratora danych osobowych i jakie ma znaczenie, kto nim jest? W konkurencji „na trudność interpretacji” większość postanowień ustawy o ochronie danych osobowych (uodo) może z powodzeniem rywalizować z Talmudem. Ale to jedno, zawierające definicję administratora danych (artykuł 7 pkt 4 uodo), jest dosyć jasne:

administrator danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, (…), decydujące o celach i środkach przetwarzania danych osobowych

W uproszczeniu, możemy nazwać ADO „właścicielem” danych osobowych. Jest to podmiot, który ma możliwość decydowania o tym, w jakim celu dane są przetwarzane, oraz jakie środki (sposoby) przetwarzania są wykorzystywane.

Zastanówmy się więc: kto decyduje o „celach i środkach” przetwarzania danych osobowych w relacji Klient – Agencja?

Klient zleca agencji działania, których celem jest promocja jego marki, i za te działania płaci. W ramach tych działań zbierane (i w inny sposób przetwarzane) będą dane osobowe konsumentów, więc rozsądne wydaje się uznać, że to przetwarzanie jest również objęte pierwotnym celem – promocją marki. Zatem klient, zlecając agencji realizację działań marketingowych, tym samym decyduje o celu przetwarzania zbieranych podczas tej akcji danych osobowych.

A co, jeżeli dane w ogóle nie trafiają do klienta? Agencja organizuje konkurs, dane uczestników trafiają na jej serwery. Agencja rozdaje nagrody, a następnie usuwa dane. To powszechny scenariusz. Nie ma to jednak wpływu na to, kto faktycznie włada procesem przetwarzania danych osobowych. Nie jest ADO ten, kto przechowuje dane (posiada je fizycznie, np. na własnych lub dzierżawionych przez siebie serwerach), ale ten, kto ma kontrolę nad przetwarzaniem tych danych osobowych. A kontrolę ma klient. Potwierdza to komentarz do ustawy o ochronie danych osobowych:

Administrator danych nie musi oczywiście >>osobiście<< przetwarzać danych. Tak więc nie każdy dysponent danych jest administratorem danych (…). Nie jest administratorem ten, kto przetwarza dane w pełni według poleceń, wskazówek innego podmiotu, na jego zlecenie (Barta, J., Fajgielski, P. i Markiewicz, R., Art. 7. W: Ochrona danych osobowych. Komentarz, wyd. V. LEX, 2011).

Dobór odpowiedniej strategii, właściwych mediów, formy przekazu marketingowego – to wszystko środki, które służą realizacji celu promocji marki. Agencja doradza, jak skonstruować działania marketingowe, aby były najskuteczniejsze, jakie środki zastosować, przedstawia propozycje kreacji – ale to Klient podejmuje ostateczną decyzję. Byłoby pięknie, gdyby marketingowcy samodzielnie decydowali, jak zrobić kampanię – o ileż skuteczniejsze mogłyby one być! Akceptacja konkretnej drogi do celu i zastosowanych rozwiązań to jednak rola klienta – i rzadko z tego przywileju rezygnuje. Tym samym decyduje on również o środkach przetwarzania danych podczas realizacji zlecenia.

W układzie „Klient – Agencja” to klient decyduje o celach i środkach przetwarzania danych, a więc to on jest administratorem danych osobowych. Agencja będzie przetwarzała dane na zlecenie klienta, występuje więc w roli procesora. Taki podział ról jest ustalony przez prawo, wynika z ustawy o ochronie danych osobowych i nie ma możliwości, aby zmienić go wolą stron.

W praktyce spotykam sytuacje, w których agencja umownie przyjmuje na siebie rolę administratora danych osobowych uczestników konkursu lub promocji. Nie ma to jednak skutku prawnego. Nie można umówić się, że to agencja będzie administratorem – postanowienie takie, zawarte w umowie lub regulaminie akcji, wykracza poza granicę swobody umów. Umowne ustalenie, że administratorem danych jest podmiot inny niż ten, któremu taką rolę przypisuje artykuł 7 pkt 4 uodo, jest sprzeczne z tą ustawą i w związku z artykułem 58 ust. 1 KC jest nieważne.

Interpretację taką potwierdza wprost GIODO, który w jednej z decyzji wskazał, że:

Zgodnie z ustawą o ochronie danych osobowych status administratora danych nie jest kwestią umowną lecz o jego przyznaniu decyduje stan faktyczny. Zatem, określenie administratora danych w umowie zawartej pomiędzy stronami w sytuacji, gdy wskazany w umowie podmiot nie decyduje w rzeczywistości o celach i środkach przetwarzania danych osobowych nie ma znaczenia dla oceny, która ze stron umowy jest administratorem danych osobowych (decyzja GIODO z dnia 19 sierpnia 2008, DIS/DEC -487/21468, 21472/08). Cytowana decyzja dotyczy właśnie relacji klient – agencja i realizacji loterii. W razie wątpliwości odsyłam do tej decyzji.

W przypadku kontroli GIODO to klient, jako administrator danych, będzie tłumaczył się z uchybień w procesie przetwarzania. Umowne wskazanie agencji jako ADO zrodzi tylko kolejne negatywne konsekwencje dla klienta, wynikające z braku umowy powierzenia z agencją (obowiązek zawarcia takiej umowy wynika z art. 31 uodo) oraz ewentualnych nieprawidłowości w realizacji innych obowiązków, które przypisane są ADO (np. rejestracja zbiorów w GIODO).

Dodatkowym argumentem, który niekiedy ułatwia nam ustalenie, kto jest administratorem danych, jest odpowiedź na pytanie „Czy agencja przetwarzałaby dane osobowe, gdyby klient jej tego nie zlecił”? Odpowiedź oczywiście brzmi „Nie!”. Przetwarzanie odbywa się zatem na zlecenie klienta i z jego inicjatywy. To tylko pomocniczy argument, ale pozwala spojrzeć na tę kwestię w bardziej praktyczny sposób, w oderwaniu od przepisów ustawy.

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.