970
0
RODO

Zakup bazy marketingowej a RODO – co zrobić, by nie naruszyć przepisów?

Patrycja Myśliwiec
Patrycja Myśliwiec
5 sierpnia, 2025 · 5 min read
970
0

Baza marketingowa to co do zasady uporządkowany zbiór danych (mogą być to zarówno dane osobowe, jak i nieosobowe) przetwarzany w celach marketingowych, w szczególności w celu zwiększenia sprzedaży świadczonych usług lub sprzedawanych towarów, utrzymania bieżącego kontaktu z klientem, zbadania jego preferencji, poznania jego potrzeb. Czy każdy zbiór danych będzie stanowił bazę marketingową? Nie. Zbiory danych przetwarzane w celach takich jak np. realizacja umowy ,prowadzenie rozliczeń księgowych, czy archiwizacja nie stanowią bazy marketingowej, nawet jeśli zawierają dane tych samych osób.

Baza marketingowa a baza danych w polskim porządku prawnym.

Pojęcie bazy danych zostało uregulowane w art. 2 ust. 1 pkt 1 ustawy z dnia 27 lipca 2001 r. o ochronie baz danych (Dz.U. z 2001 r. Nr 128, poz. 1402, ze zm.). Zgodnie ze wskazaną w ustawie definicją baza danych oznacza zbiór danych lub jakichkolwiek innych materiałów i elementów zgromadzonych według określonej systematyki, lub metody, indywidualnie dostępnych w jakikolwiek sposób, w tym środkami elektronicznymi, wymagający istotnego, co do jakości lub ilości, nakładu inwestycyjnego w celu sporządzenia, weryfikacji lub prezentacji jego zawartości.

Ww. ustawa nie uzależnia uznania zbioru danych za bazę danych od zawartości danych osobowych, jak również nie wprowadza definicji administratora danych osobowych ani podmiotu przetwarzającego w rozumieniu przepisów ogólnego rozporządzenia o ochronie danych (RODO).Celem ww. ustawy jest ochrona interesów producenta bazy danych – tj. podmiotu, który ponosi istotny nakład inwestycyjny (finansowy, organizacyjny lub czasowy) w celu stworzenia, weryfikacji lub prezentacji bazy danych, bez względu na to, czy jest osobą fizyczną, osobą prawną, czy jednostką organizacyjną nieposiadającą osobowości prawnej

Porozmawiaj z ekspertem 🎯

Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną! Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu.

Bezpłatna konsultacja

Jakiego rodzaju informacje zawiera baza marketingowa?

Trudno jest wskazać zamknięty katalog informacji, które mogą stanowić element bazy danych. W praktyce ich zakres jest silnie uzależniony od celu przetwarzania, charakteru działalności oraz stosowanych narzędzi informatycznych. Najczęściej są to: imię i nazwisko, adres e-mail, numer telefonu, data pozyskania danych klienta, informacje o dokonanych transakcjach, adres IP. Wraz z rozwojem narzędzi analitycznych – takich jak systemy do monitorowania ruchu na stronie internetowej czy narzędzia do analizy zachowań użytkowników – coraz częściej dysponujemy dodatkowymi informacjami, takimi jak preferencje zakupowe klienta, historia przeglądania strony www, sposób poruszania się po witrynie, lokalizacja użytkownika, które są wykorzystywane również w celach analitycznych.

W praktyce może się okazać, że to właśnie te informacje dodatkowe – dostarczające wiedzy o zachowaniach i potrzebach klientów – mają większą wartość biznesową, niż podstawowe dane identyfikacyjne, takie jak adres e-mail czy imię i nazwisko.

Gdzie legalnie zakupić bazę danych wraz z danymi osobowymi?

Miejsc, w których można dokonać zakupu baz, jest wiele. Zazwyczaj są to bazy z tzw. darknetu, co do zakupu, których należy podejść z dużą ostrożnością. Zdarza się, że ogłoszenia o możliwym zakupie bazy danych znajdują się na portalach typu olx. Tego rodzaju oferty budzą poważne wątpliwości co do legalności pozyskania i przetwarzania danych, a ich wykorzystanie może stanowić naruszenie przepisów RODO oraz przestępstwo w rozumieniu przepisów kodeksu karnego. W ostatnim czasie pojawiają się również firmy tzw. data brokers, których działalność polega na zdobywać legalnych baz. Dokonanie zakupu bazy marketingowej może mieć miejsce również w ramach zbycia przedsiębiorstwa lub jego zorganizowanej części.

Proces zakupu bazy marketingowej zgodny z RODO.

Dokonując zakupu bazy marketingowej, w ramach której przetwarzane są dane osobowe, niezbędne jest posiadanie właściwej podstawy prawnej umożliwiającej bezpieczne i legalne realizowanie celów marketingowych. Jedną z dopuszczalnych podstaw prawnych przetwarzania danych w celach marketingu bezpośredniego może być tzw. uzasadniony interes administratora lub strony trzeciej (art. 6 ust. 1 lit. f RODO). Przed powołaniem się na tę podstawę, administrator danych ma jednak obowiązek przeprowadzenia testu równowagi interesów i dokonania oceny, czy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, nie przeważają nad uzasadnionym interesem administratora. Ww. ocena zawsze będzie miała charakter indywidualny i uzależniona będzie od konkretnych okoliczności.

Kluczowym elementem analizy legalności przetwarzania danych w ramach nabytej bazy jest również ocena, czy osoba, której dane dotyczą, może w racjonalny sposób spodziewać się otrzymania komunikacji marketingowej od nowego administratora (tj. nabywcy bazy). Jeśli baza została pierwotnie utworzona przez podmiot zajmujący się sprzedażą suplementów diety, to jej wykorzystanie przez nowego właściciela prowadzącego sprzedaż sprzętu AGD może być nieadekwatne. Osoba, która udostępniła dane w kontekście zdrowia lub suplementacji, nie musi oczekiwać kontaktu marketingowego w zupełnie innej branży (np. z ofertą suszarek do włosów lub lodówek). W takim przypadku istnieje podwyższone ryzyko uznania wiadomości za spam, a nawet skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Zgoda na przetwarzanie danych osobowych zawartych w bazie przez przyszłych nabywców

Jedną z najczęściej stosowanych podstaw prawnych przetwarzania danych osobowych w ramach bazy marketingowej jest zgoda osoby, której dane dotyczą z art. 6 ust. 1 lit. a RODO. Aby była skuteczna i zgodna z prawem musi zostać wyrażona w sposób dobrowolny, świadomy, jednoznaczny i konkretny – tj. odnosić się do ściśle określonych celów przetwarzania. Niewłaściwym działaniem jest wskazanie, iż dane osobowe będą przetwarzane do tzw. do celów marketingowych. Cele te należy sprecyzować.

Co istotne w ramach procesu zakupu bazy marketingowej dochodzi do zmiany administratora danych osobowych. W związku z tym w treści zgody powinna zostać zawarta informacja o możliwości przekazania danych przyszłym nabywcom bazy. Ponadto nowy administrator powinien poinformować osoby, których dane dotyczą, o przejęciu bazy i zmianie administratora (zgodnie z art. 14 RODO) oraz zapewnić klientom realną możliwość wycofania uprzednio udzielonej zgody.

Zgoda na otrzymywanie informacji handlowej

Niezależnie od przepisów RODO, zgodnie z art. 398 ust. 1 ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej (PKE): zakazane jest używanie:

  • automatycznych systemów wywołujących,
  • telekomunikacyjnych urządzeń końcowych, w szczególności w ramach korzystania z usług komunikacji interpersonalnej
  • do celów przesyłania informacji handlowej w rozumieniu przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344 oraz z 2024 r. poz. 1222), w tym marketingu bezpośredniego, do abonenta lub użytkownika końcowego, chyba że uprzednio wyraził on na to zgodę.

Jeżeli zatem chcemy wykorzystać zawartość zakupionej bazy danych w celu wysyłania informacji handlowej musimy pamiętać nie tylko o zgodności takiego procesu z RODO, ale także z przepisami ustawy z dnia 12 lipca 2024 r. – Prawo komunikacji elektronicznej.

Umowa zakupu bazy marketingowej.

Zawierając umowę dotyczącą zakupu bazy marketingowej zawierającej dane osobowe, należy zadbać o odpowiednie postanowienia umowne, które zabezpieczą interesy nabywcy oraz zapewnią zgodność przetwarzania danych z przepisami RODO. W szczególności warto zastrzec w treści umowy, że zbywca oświadcza, iż dane osobowe zawarte w przekazywanej bazie zostały zgromadzone w sposób zgodny z obowiązującymi przepisami prawa, w szczególności z RODO, oraz zobowiązać go do przedłożenia treści zgód uzyskanych od osób, których dane dotyczą – wraz z informacją o zakresie tych zgód, celach przetwarzania, kanałach komunikacji oraz ewentualnych zastrzeżeniach lub wycofania zgody. Dzięki temu nabywca bazy marketingowej będzie miał możliwość dokonania oceny legalności dalszego przetwarzania danych przez nowego administratora oraz weryfikacji, czy zgody obejmują możliwość przekazania danych innemu podmiotowi, a także ustalenia, czy profil działalności nabywcy mieści się w zakresie pierwotnie zaakceptowanym przez osoby, których dane dotyczą.

W praktyce, brak takich postanowień może skutkować odpowiedzialnością nabywcy za nielegalne przetwarzanie danych osobowych, nawet jeśli działania zbywcy były niezgodne z prawem.

Czy warto inwestować w zakup bazy marketingowej?

Odpowiedź brzmi i tak i nie. Wszystko zależy od rodzaju naszej działalności, a także celu oraz sposobu, w jaki będzie ona wykorzystana, a ponadto środków finansowych jakimi dysponujemy. Zawsze istnieje ryzyko, że dane zawarte w świeżo zakupionej bazie będą nieaktualne lub zostaną potraktowane przez systemy pocztowe jako spam. Może się też okazać, że zakupiliśmy bazę tzw. zimnych leadów, czyli osób, które po prostu nie życzą sobie otrzymywania żadnych wiadomości. Bez wątpienia budowanie własnej bazy marketingowej od podstaw w sposób zgodny z przepisami prawa stanowi rozwiązanie obarczone mniejszym ryzykiem prawnym, niemniej jest to proces czasochłonny i wymagający większego zaangażowania organizacyjnego.

Patrycja Myśliwiec
PRAWNIK

Specjalizuję się w ochronie danych osobowych i bezpieczeństwie informacji. Od ponad 10 lat wspieram firmy i instytucje w zgodności z RODO, audytach oraz wdrażaniu systemów ochrony danych. Mam doświadczenie jako Inspektor Ochrony Danych i audytor. Pomagam organizacjom tworzyć bezpieczne i zgodne z prawem rozwiązania.

Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.

Bezpłatna konsultacja