Czy dokumentować zgody na cele marketingowe innych podmiotów

Marcin Sarna

Autor: Marcin Sarna

Dodano: 29 stycznia 2018
Dokument archiwalny
Czy dokumentować zgody na cele marketingowe innych podmiotów
Pytanie:  Spółka X przy zawieraniu umowy na usługi własne uzyskuje zgodę osoby fizycznej na przetwarzanie danych osobowych w celach marketingowych dla Spółki Y, po czym następnie przekazuje jej tę zgodę. Czy zgodnie z przepisami spółka X musi w jakiś sposób archiwizować tę przekazaną zgodę?
Odpowiedź: 

Zdecydowanie zalecam archiwizowanie zgody na marketing obcy, ze szczególnym uwzględnieniem treści samej zgody, daty jej wyrażenia, oznaczenia zgadzającego się. Jeżeli w toku działalności administratora danych zgoda na marketing cudzy miała różne brzmienie w różnych okresach, należy także zaznaczyć, w jakiej wersji zgoda była wyrażona w konkretnym przypadku.

Zgodnie z art. 23 ust. 1 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych przetwarzania danych jest dopuszczalne tylko w określonych sytuacjach. W przypadku gdy administrator danych otrzymuje je od podmiotu danych i chciałby wykorzystać je na tzw. marketing obcy (tj. marketing produktów lub usług niepochodzących od administratora danych lecz od podmiotu trzeciego), to jest zobowiązany pozyskać zgodę podmiotu danych na wykorzystywanie ich właśnie dokładnie do tego celu. Jest to związane z tym, że ustawa o ochronie danych osobowych nie przewiduje wyraźnie takiego wykorzystania danych osobowych, a co za tym, idzie konieczne jest spełnienie podstawowej przesłanki legalności przetwarzania danych osobowych, czyli zgody podmiotu danych (podmiotu, którego dane dotyczą).

Skoro zgoda ta jest tak istotna i od jej wyrażenia zależy to, czy administrator danych przetwarza legalnie dane osobowe, wysyłając podmiotowi danych oferty towarów lub usług podmiotów trzecich, to w najlepszym interesie administratora danych leży, aby móc udowodnić, że zgoda taka została wyrażona. Przede wszystkim zarchiwizowanie takiej zgody wpłynie korzystnie na sytuację administratora danych podczas ewentualnej kontroli prowadzonej przez organ nadzorczy (Generalnego Inspektora Ochrony Danych Osobowych). Taka kontrola może zostać wszczęta na przykład wskutek zawiadomienia dokonanego przez podmiot danych, jakoby administrator danych wysyłał informacje marketingowe innych podmiotów bez uprzedniej zgody na taki proceder.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x