Serwis informacyjno-usługowy dla przedsiębiorcy

Przetwarzanie danych osobowych dla celów marketingowych

Zgoda na przetwarzanie danych klienta

Nie musisz posiadać zgody klienta na przetwarzanie jego danych osobowych, jeśli chcesz wyłącznie zrealizować stosunki handlowe, czyli np. wysłać mu towar. Takie przetwarzanie jest przykładem prawnie uzasadnionego interesu realizowanego przez administratora danych (sprzedawcę).

Inaczej będzie jednak w przypadku, gdy jako sprzedający chcesz pozostawić we własnym zbiorze dane klienta po to, aby przesyłać mu na przykład:

  • informacje handlowe, oferty lub reklamy za pomocą środków komunikacji elektronicznej
  • wiadomości SMS o treści reklamowej za pomocą telefonu

Jeśli zbierasz dane klientów w celach marketingowych lub w związku z innymi działaniami promocyjnymi, musisz zadbać o to, by klient mógł wyrazić zgodę świadomie i dobrowolnie. Niewłaściwą praktyką jest zawieranie treści takiej zgody w regulaminie lub uniemożliwianie klientowi wyłączenia takiej zgody. Dodatkowo treść zgody musi być sformułowana w sposób jasny i przejrzysty – tak, aby klient nie miał wątpliwości co do tego, na co się godzi.

Zdarza się, że sprzedawca lub usługodawca zamierza przetwarzać dane osobowe na kilka sposobów np. w zakresie wysyłania własnych ofert drogą elektroniczną i dodatkowo przekazywania lub udostępniania danych innym podmiotom. Wówczas trzeba pamiętać, że klient powinien mieć możliwość wyrażenia każdej z tych zgód odrębnie, a co za tym idzie, zgody te powinny być wskazane np. w osobnych polach formularza.

Zabezpieczenie danych osobowych

W kwestii zabezpieczenia danych osobowych klientów obowiązuje podejście oparte na ryzyku. Podejście oparte na ryzyku sprowadza się do tego, że każdy podmiot przetwarzający dane osobowe powinien samodzielnie określić, jakie konkretne środki zabezpieczenia danych trzeba wdrożyć.

Każdy podmiot przetwarzający dane osobowe powinien więc:

  • ustalić, jakie dane osobowe, w jakim charakterze, po co i w jakim środowisku przetwarza
  • określić ryzyko naruszenia praw lub wolności osób fizycznych związane z takim przetwarzaniem
  • dobrać odpowiednie środki zabezpieczenia danych, uwzględniając istniejące możliwości techniczne i własne możliwości finansowe

RODO nie nakazuje stosowania żadnych konkretnych środków zabezpieczenia danych. Mogą to jednak być:

  • szyfrowanie danych osobowych
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu bezpieczeństwa (związanego z fizyczną utratą danych lub wadami technicznymi systemu)
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych

Dokumenty w zakresie ochrony danych osobowych

Zasady ochrony danych i ich zabezpieczenie można ująć w dokumentacji typu:

  • polityka bezpieczeństwa danych osobowych
  • instrukcja zarządzania systemem informatycznym, w którym przetwarza się dane osobowe

Wprawdzie RODO nie przewiduje obowiązku prowadzenia takich dokumentów (polityki bezpieczeństwa i instrukcji zarządzania systemem), ale zaleca się utrzymanie ich ze względu na konieczność doboru odpowiednich środków ochrony. Oprócz tych dokumentów trzeba prowadzić rejestr czynności przetwarzania danych.

Pamiętaj, że dane klientów podlegają też ocenie skutków ochrony danych. Ocenę przeprowadza się wtedy, gdy zachodzi wysokie ryzyko mogące powodować naruszenia praw lub wolności osób fizycznych. RODO znosi natomiast obowiązek zgłoszenia do GIODO lub PUODO rejestracji zbioru danych podlegających przetwarzaniu.


Podstawa prawna:

Czy ta strona była przydatna?