Marketing

Firmy marketingowe

W dzisiejszych czasach udostępniamy swoje dane wielu firmom marketingowym nawet nie zdając sobie z tego sprawy. Następnie otrzymujemy masy telefonów i e-maili, których sobie nie życzymy. GIODO od wielu lat zajmuje się tymi kwestiami. Firmy, które przetwarzają nasze dane w celach marketingowych często lekceważą lub zupełnie ignorują sprzeciw, które są przez nas zgłaszane. Jeśli zgłaszamy uzasadniony sprzeciw wobec przetwarzania naszych danych powinien on zostać rozpatrzony. Jeśli GIODO kontrolując takie firmy stwierdził naruszenie zasad ochrony danych osobowych, kierował do organów Policji, stosowne zawiadomienia.

Niestety, podobnie jak w poprzednich latach, przypadki naruszeń ustawy o ochronie danych osobowych najczęściej kończyły się odmową wszczęcia dochodzenia bądź szybkim umorzeniem postępowań, albo uznaniem, że brak jest znamion czynu karalnego lub odrzuceniem wniosku o ściganie z uwagi na niską społeczną szkodliwość czynu przez Policję i Prokuraturę.

W takich sytuacjach sami musimy walczyć z firmami, które nie chcą usunąć naszych danych, lub przetwarzają je pomimo ustania celu ich przetwarzania. Piszmy skargi i starajmy się zrobić wszystko aby te dane zaprzestano przetwarzać.

Analizę opracowano na podstawie sprawozdania rocznego GIODO na rok 2008.

Dalsze analizy przypadków dotyczące szeroko pojętego marketingu już wkrótce!

Kluby fitness, siłownie

W spółce prowadzącej klub fitness została przeprowadzona kontrola Generalnego Inspektora Danych Osobowych. Ustalono, że wśród danych pozyskiwanych od potencjalnych klientów klubu fitness były m.in. informacje o stanie cywilnym oraz informacje na temat posiadania dzieci. Jednocześnie ustalono, że dane osobowe potencjalnych klientów klubu były wykorzystywane przez spółkę w celu prowadzenia marketingu usług własnych spółki, tzn. przedstawiania tym osobom oferty klubu.

Wykazano, że informacja na temat posiadanych dzieci była pozyskiwana w celu ustalenia, czy dany klient jest zainteresowany ofertą przygotowaną przez klub dla dzieci, natomiast informacja na temat stanu cywilnego jest pozyskiwana w celu ustalenia, czy klient jest zainteresowany ofertą klubu przygotowaną dla par. Biorąc pod uwagę zasadę wyrażoną w art. 26 ust. 1 pkt 3 ustawy o ochronie danych osobowych, Generalny Inspektor wskazał, że pytanie potencjalnych klientów klubu fitness o ich stan cywilny oraz o posiadanie dzieci w sposób nieuzasadniony wkracza w sferę ich prywatności. Pożądane przez spółkę informacje można bowiem uzyskać w sposób mniej ingerujący w prywatność osób, których dane dotyczą.

Generalny Inspektor uznał, iż pozyskiwanie od potencjalnych klientów klubu fitness tych informacji wykracza poza potrzeby wynikające z celu zbierania tych danych. Wobec spółki, jako administratora danych, zostało wszczęte postępowanie administracyjne w zakresie stwierdzonych błędów.

Dlatego przed  podpisaniem umowy z siłownią, należy sprawdzić jakich danych wymaga od nas klub i czy takich danych w ogóle może wymagać. Wszystkie zdobywane dane są wykorzystywane do celów marketingowych, których wcale nie musimy sobie życzyć.

Aby zapoznać się z przepisami przejdź do naszej podstrony Ustawy i rozporządzenia.

Analizę opracowano na podstawie sprawozdania rocznego GIODO na rok 2011.

Dalsze analizy przypadków dotyczące szeroko pojętego marketingu już wkrótce!

Banki a nabycie bazy danych osobowych

W jednej ze spraw przedstawionych GIODO skarżący podniósł, iż otrzymuje od banku propozycje zawarcia umów na produkty bankowe, które dostępne są aktualnie w ich ofercie, pomimo, że nigdy nie był on klientem tego banku. Ponadto skarżący zarzucił, iż bank wszedł w posiadanie jego danych osobowych w inny sposób niż od niego, a co za tym idzie w żaden sposób nie spełnił wobec niego obowiązku informacyjnego wynikającego z ustawy. Dodał, że nie wyrażał też zgody na przetwarzanie jego danych przez bank w celach marketingowych, nie posiada wiedzy, by bank udostępniał jego dane innym podmiotom.

Ustalenia GIODO

Po przeprowadzeniu postępowania administracyjnego w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych ustalił, iż skarżący w 2008 r. zawarł umowę o przyznanie limitu kredytowego z bankiem, który w wyniku połączenia w 2010 r. został w całości przejęty przez bank, którego dotyczy skarga. W tym stanie faktycznym Generalny Inspektor wydał decyzję nakazującą bankowi spełnienie wobec skarżącego obowiązku informacyjnego, o którym mowa w art. 25 ust. 1 ustawy o ochronie danych osobowych, zaś w pozostałym zakresie odmówił uwzględnienia wniosku.
W treści  decyzji organ podniósł, iż bank nabył całą bazę danych osobowych, w tym również i dane skarżącego, stworzoną przez inny bank w trybie art. 492 § 1 pkt 1 ustawy z dnia 15 września 2000 r. Kodeksu spółek handlowych (Dz. U. z 2013 r. poz. 1030). W ten sposób bank wstąpił w prawa i obowiązki poprzedniego administratora danych, więc co do zasady nie „zbierał” danych w ścisłym znaczeniu, o którym mowa w art. 25 ust. 1 ustawy. Niemniej jednak nie budziło wątpliwości organu, że bank ze swej perspektywy pozyskał zupełnie nowe dane osobowe, których wcześniej nie przetwarzał i pozyskał je nie od osób, których dane dotyczą, lecz od innego administratora.

W ocenie Generalnego Inspektora pojęcie „zbieranie danych” w rozumieniu art. 25 ustawy, obejmuje wszystkie przypadki, w których administrator uzyskuje nowe, ze swej perspektywy, dane osobowe. Taką szczególną formą zbierania danych osobowych jest nabywanie zbiorów danych, które zostały stworzone przez inne podmioty. W takim przypadku administrator nie zbiera pojedynczych danych osobowych, lecz rozpoczyna przetwarzanie całego zbioru danych, w skład którego wchodzą dane osobowe zebrane przez inne podmioty. Przyjęcie liberalnej koncepcji o tym, że hipotezy art. 25 ustawy nie realizuje pozyskiwanie danych od innego administratora danych, gdyż dotyczy tylko „pierwotnego” pozyskiwania danych mogłoby prowadzić do sytuacji, w której podmiot danych nie miałby wiedzy co do tego, kto, na jakiej podstawie, w jakim zakresie i w jakim celu przetwarza dotyczące go dane, a co za tym idzie, nie miałby także możliwości wykonywania uprawnień przewidzianych w art. 32 ustawy, stąd też Generalny Inspektor Ochrony Danych Osobowych z taką liberalną koncepcją się nie zgadza.

Obowiązek informacyjny i sprzeciw przed informacją marketingową

W związku z powyższym, bank bezpośrednio po utrwaleniu zebranych danych skarżącego (danych przejętych od innego banku) winien spełnić wobec skarżącego obowiązek informacyjny, o którym mowa w art. 25 ust. 1 ustawy. W sprawie nie zachodziły okoliczności z art. 25 ust. 2 ustawy wyłączające przedmiotowy obowiązek, a z materiału dowodowego sprawy nie wynikało, by obowiązek ten został spełniony. Powyższe niedopełnienie obowiązku informacyjnego uniemożliwiło w szczególności skarżącemu, który nie godził się na otrzymywanie informacji o charakterze marketingowym, odwołanie złożonej zgody, czy wniesienie sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy. Prawidłowe spełnienie przez bank obowiązku informacyjnego z art. 25 ust. 1 ustawy miało na celu umożliwienie skarżącemu skorzystania z przysługujących mu uprawnień.

Aby zapoznać się z przepisami przejdź do naszej podstrony Ustawy i rozporządzenia.

Analizę opracowano na podstawie sprawozdania rocznego GIODO na rok 2013.