Działania marketingowe w grupach spółek w kontekście ochrony danych osobowych
Zaprojektowanie działań marketingowych w organizacji tak, aby były one zgodne z przepisami, w tym z regulacjami z zakresu ochrony danych osobowych, może być problematyczne. Sytuacja staje się jeszcze bardziej skomplikowana, jeżeli działania marketingowe na rzecz kilku podmiotów z grupy spółek wykonuje jedna spółka, zobowiązana do tego na podstawie nieformalnych ustaleń wewnętrznych (często bez zawierania jakichkolwiek umów).
W przedstawionym scenariuszu zawiłości pojawiają się zasadniczo na dwóch płaszczyznach. Pierwszą z nich jest obszar przenikania się regulacji ochrony danych osobowych z regulacjami zawartymi w prawie telekomunikacyjnym oraz ustawie o świadczeniu usług drogą elektroniczną. Chodzi oczywiście o sposób i formę odbierania zgody na wysyłanie informacji handlowej, w tym np. newslettera. Ten temat szczegółowo omawiamy w artykule Komunikaty marketingowe do indywidualnych osób, czyli jak to jest z tą zgodą.
Drugą płaszczyzną jest ustalenie ról, jakie poszczególne podmioty odgrywają w procesach przetwarzania danych. Chodzi po pierwsze o to, by zmapować procesy przetwarzania danych w organizacji, a po drugie o to, aby zawrzeć wymagane przez RODO umowy powierzenia przetwarzania pomiędzy podmiotami biorącymi udział w działaniach polegających na marketingu bezpośrednim w ramach grupy spółek.
Istota powyższego zagadnienia polega na skonfrontowaniu praktyki działania grup spółek, w tym także międzynarodowych, z wymogami wynikającymi z istniejących regulacji prawnych, w tym z RODO. Częstokroć przepływy danych pomiędzy spółkami z jednej grupy kapitałowej nie są, na potrzeby wewnętrzne, uważane za przekazywanie danych do podmiotów trzecich. Tymczasem na gruncie RODO nie ma podstaw do uznania, że do przepływów danych pomiędzy spółkami z jednej grupy kapitałowej stosuje się inne zasady niż do przepływów danych pomiędzy niezależnymi od siebie spółkami. Innymi słowy okoliczność, że dana spółka zleca jakąś część swojej działalności, np. działania marketingowe, innej spółce z tej samej grupy kapitałowej (a nie spółce całkowicie niezależnej), nie ma wpływu na obowiązek zawarcia umowy powierzenia przetwarzania, o której mowa w art. 28 RODO, a także na istnienie ograniczeń co do podstaw przekazywania danych do państw spoza Europejskiego Obszaru Gospodarczego. Jeżeli z uwagi na specyficzne ustalenia wewnątrzgrupowe newsletter wysyłany jest do klientów polskiej spółki przez spółkę z tej samej grupy kapitałowej, ale np. z siedzibą w Stanach Zjednoczonych, to nie ma podstaw do uznania, że związany z takimi działaniami transfer danych osobowych do Stanów Zjednoczonych nie podlega wymogom wskazanym w rozdziale V RODO i że taki podmiot nie powinien być objęty np. programem Privacy Shield, aby taki transfer danych był zgodny z prawem.
Oczywiście nie należy zapominać, że w ramach grupy spółek muszą istnieć mechanizmy pozwalające sprawnie reagować na przypadki naruszenia ochrony danych osobowych w podmiocie, któremu zostało powierzone wykonywanie konkretnych czynności związanych z marketingiem bezpośrednim z uwagi na odpowiedzialność cywilną i administracyjną przewidzianą w RODO oraz w przepisach z zakresu prawa telekomunikacyjnego. Mechanizmy te muszą umożliwiać nie tylko sprawne raportowanie naruszeń, ale także ocenę ryzyk z nimi związanych. Należy wprowadzić wytyczne pozwalające wyznaczonym do tego osobom ustalić, czy dane naruszenie powinno zostać zgłoszone do właściwego organu nadzorczego, a także jakie środki należy zaimplementować, aby zminimalizować potencjalne negatywne skutki naruszenia dla osób, których dane osobowe dotyczą. Jest to o tyle istotne, że zgodnie z RODO sytuację naruszenia ochrony danych osobowych należy zgłosić organowi nadzorczemu nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.
Katarzyna Szczudlik, adwokat, praktyka prawa nowych technologii kancelarii Wardyński i Wspólnicy
