Odpowiedź
Gdy przejmujesz od innej organizacji listę kontaktów lub bazę danych zawierającą dane kontaktowe osób fizycznych, ta organizacja musi wykazać, że dane zostały pozyskane zgodnie z ogólnym rozporządzeniem o ochronie danych i że może je wykorzystać w celach reklamowych. Przykładowo, jeśli organizacja nabyła dane na podstawie zgody, taka zgoda powinna była obejmować możliwość przekazania danych do innych odbiorców do ich własnych celów marketingu bezpośredniego.
Twoja firma/organizacja musi także zadbać o aktualizację listy lub bazy danych oraz o to, by nie wysyłać materiałów reklamowych osobom, które sprzeciwiły się przetwarzaniu ich danych osobowych do celów marketingu bezpośredniego. Używając do celów marketingu bezpośredniego takich form komunikowania się jak wiadomości e-mail, Twoja firma/organizacja musi ponadto przestrzegać przepisów określonych w dyrektywie o prywatności i łączności elektronicznej (dyrektywa 2002/58/WE1).
Przetwarzanie takich list odbywa się w oparciu o prawnie uzasadniony interes Twojej firmy, a osoby, których dane dotyczą, będą miały prawo sprzeciwu wobec takiego przetwarzania. Twoja firma/organizacja musi ponadto poinformować osoby, których dane dotyczą – najpóźniej w momencie pierwszego kontaktu z nimi – o tym, że zebrała ich dane osobowe i że będzie je przetwarzać podczas przesyłania im materiałów reklamowych.
Przykład
Dwoje przyjaciół, pani A i pan B, prowadzą swoje firmy – odpowiednio siłownię oraz księgarnię. Każde z nich zbiera dane od swoich klientów. Księgarnia pana B przynosi małe dochody. Jego baza danych klientów zawiera mało wpisów, a do samej księgarni przychodzi niewiele osób. Informuje panią A, że ma w sprzedaży nową biografię słynnego sportowca, i pyta, czy być może klienci pani A chcieliby otrzymać reklamę tej książki. W warunkach dotyczących polityki prywatności pani A poinformowała swoich klientów, że może udostępniać ich dane swoim partnerom biznesowym oferującym produkty z dziedziny zdrowia i sportu. Jeżeli udzielono konkretnej zgody na przekazanie danych innym odbiorcom do celów ich własnego marketingu bezpośredniego, pani A może wysłać listę klientów do pana B. Nie może jednak wysyłać żadnych informacji o osobie, która sprzeciwiła się przetwarzaniu swoich danych osobowych.
Odnośniki
- art. 4 pkt 10, art. 5, art. 6, art. 14 i art. 21 RODO
- Wytyczne EROD w sprawie przejrzystości na podstawie rozporządzenia 2016/679
- Przepisy dotyczące marketingu bezpośredniego zawarte w dyrektywie 2002/58/WE o prywatności i łączności elektronicznej, w szczególności w art. 13
Example
Two friends, Mrs. A and Mr. B, run, respectively, a gym and a book shop. Each collects data from their respective customers. Mr. B’s book shop isn’t doing well. His client database has few entries and not many people walk into his shop. He tells Mrs. A that he has a new biography of a famous athlete and asks whether Mrs. A’s clients would be interested in receiving advertising about the book. The terms of Mrs. A’s privacy notice informed her clients that she could share the data with partners offering products in the health and fitness area. As far as specific consent was given for the purpose of transmitting the data to other recipients for their own direct marketing, Mrs. A can send the client list to Mr. B. No data can be sent about an individual who objected to the processing of their personal data.
References
- Article 4(10) and Articles 5, 6, 14 and 21 of the GDPR
- EDPB guidelines on Transparency under Regulation 2016/679
- ePrivacy Directive 2002/58/EC rules on direct marketing, in particular Article 13
1 Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector (Directive on privacy and electronic communications) (OJ L 201, 31.07.2002 p.37).