Wiele czasu zajmuje tworzenie własnej bazy danych współpracowników i sympatyków naszej organizacji. Jej wykorzystywanie to najlepsza forma budowania relacji z organizacją. Jeśli jednak chcemy się rozwijać i stawiamy sobie za cel dotarcie z naszą kampanią społeczną do szerokiego grona odbiorców, warto zastanowić się na kupnem gotowej bazy danych od brokera.

Na co powinniśmy zwrócić uwagę podczas wyboru brokera?

Musimy sprawdzić, czy nasz partner biznesowy jest rzetelny i czy dane osobowe, które ma w swojej ofercie, zostały pozyskane przez niego zgodnie z prawem. W szczególności, czy osoby, których dane osobowe znajdują się w jego bazie danych, wyraziły zgodę na przetwarzanie dotyczących ich danych do celów marketingowych, w tym na przekazywanie tych danych innym podmiotom. Broker musi nam odpowiedzieć na pytanie, z jakiego źródła nabył dane osobowe i musi być w stanie wykazać, że nabył je legalnie z zachowaniem wszystkich obowiązujących przepisów.

Sprawdźmy również, przez jaki czas broker działa na rynku i czy jest w stanie nam pomóc:

  • w wyborze grupy docelowej w oparciu, o którą sprecyzujemy bazę. W ten sposób broker pomoże nam wybrać taką grupę docelową, spośród której największy odsetek osób będzie zainteresowany naszą kampanią społeczną,
  • w spełnieniu wszystkich obowiązków wynikających z RODO w związku z przetwarzaniem danych osobowych,
  • w przeprowadzeniu kampanii testowej 
  • w opracowaniu raportu ze statystykami kampanii.

Jakie zapisy powinna zawierać umowa z brokerem, aby zabezpieczyć nas przed niechcianymi sprzeciwami, protestami a nawet sprawami sądowymi z powodu niezgodnego z prawem korzystania z pozyskanych danych?

Gdy już podjęliśmy decyzję o kupnie określonej bazy danych i znaleźliśmy brokera, czas na sprecyzowanie warunków umowy. Organizacja przez nas zarządzana wybiera np. kupno bazy danych do jednokrotnego, czasowego wykorzystania. Czym to skutkuje i jak sprecyzować warunki umowy? Oznacza to, że w naszej umowie ramowej powinniśmy mieć co najmniej zapisy określające:

  1. Zasady składania przez naszą organizację i realizowania przez brokera zamówień na czasowe korzystanie z baz danych. Nasze kampanie będą wówczas prowadzone w ściśle określonym terminie. Dane osobowe pochodzące z baz danych zostaną nam udostępnione do ściśle określonej kampanii, do wykorzystania ich do jednorazowego użytku, w jednej konkretnej kampanii.
  2. Termin, od którego będziemy mieli prawo do korzystania z baz danych. Możemy go określić np. na 3 miesiące od daty potwierdzenia otrzymania baz danych od brokera. Terminy te mogą być krótsze lub dłuższe, w zależności od tego, jaki czas wykorzystania baz danych uzgodnimy z brokerem.
  3. Zasady usunięcia wszystkich wykorzystanych przez nas baz danych, łącznie z ich kopiami, o ile co innego nie wynika z przepisów obowiązującego prawa.
  4. Zasadę, że jeśli osoby z udostępnionych nam do wykorzystania baz danych, w wyniku przeprowadzonej kampanii, nawiążą z nami relację, poprzez np. rejestrację do newslettera, przekazanie darowizny na rzecz naszej organizacji, udział w kampanii społecznej, prelekcji, odczycie, konkursie, to możemy je umieścić w naszej bazie danych i nabywamy prawo do wielokrotnego wykorzystania ich danych w ramach prowadzonej przez naszą organizację działalności.
  5. Termin, np. 6 miesięcy od daty wysyłki naszej kampanii społecznej, w którym będziemy oczekiwali na reakcję naszego potencjalnego sympatyka, darczyńcy, współpracownika. Jeśli przed upływem tego terminu zareaguje on na naszą kampanię społeczną i np. wpłaci na rzecz kampanii darowiznę, to wówczas zgodnie z umową z brokerem, możemy taką osobę wpisać do naszego zbioru danych osobowych. Jeśli zaś nie będzie żadnej reakcji ze strony potencjalnego darczyńcy, nie możemy, po upływie określonego przez nas 6 miesięcznego terminu, dokonywać kolejnych do niego wysyłek a bazę „przekazujemy” z powrotem brokerowi. Usuwamy wszystkie rekordy, których nie udało nam się wpisać do naszego zbioru danych i informujemy o tym naszego brokera.
  6. Oświadczenie brokera, że osoby, których dane osobowe znajdują się w bazie danych, wyraziły zgodę na przetwarzanie dotyczących ich danych do celów marketingowych, w tym na przekazywanie tych danych innym podmiotom w celach marketingowych.
  7. Oświadczenie naszej organizacji, w którym zobowiążemy się do przetwarzania danych osobowych zawartych w bazie danych zgodnie z celem określonym w Umowie i zamówieniu, ochrony danych osobowych przed osobami nieuprawnionymi do wykorzystania bazy danych i złożymy oświadczenie o realizacji obowiązku informacyjnego zgodnie z art. 14 RODO.

Oczywiście w umowie powinniśmy również zamieścić zapis o wynagrodzeniu, czasie trwania umowy i inne dodatkowe zapisy, np. o zachowaniu poufności, reklamacjach, możemy wskazać adresy do korespondencji i osoby odpowiedzialne za realizację umowy oraz przepisy końcowe dotyczące możliwości rozwiązania umowy, stosowania odpowiednich przepisów prawa, zasad rozwiązywania sporów i inne. Można również zawrzeć zapisy dotyczące kar umownych. 

Do naszej umowy ramowej dołączamy również druk zamówienia, który powinien zawierać co najmniej: oznaczenie bazy danych, kryteria selekcji, liczbę fakturowanych rekordów, zawartość rekordu w bazie danych: np. imię, nazwisko, adres korespondencyjny, adres e-mail, deduplikację (opis procesu), termin dostawy bazy danych, czas wykorzystania bazy danych, rodzaj kampanii do której użyjemy bazy danych, opis procesu przekazania bazy danych, adres e-mail osoby upoważnionej do odbioru bazy danych, wartość jednego rekordu, wartość całego zamówienia, jak również cel wykorzystania bazy danych.

Jakich obowiązków powinniśmy dopełnić, aby być w zgodzie z RODO?

Gdy już zakupiliśmy bazę danych do czasowego wykorzystania i zorganizowaliśmy kampanię społeczną, wysyłając list, e-mail do osoby z zakupionej przez nas bazy, musimy poinformować ją kim jesteśmy, skąd mamy jej dane osobowe, jakie prawa przysługują osobie, do której wysłaliśmy nasz apel, czyli musimy wypełnić obowiązki wynikające z art. 14 RODO.

Musimy przy tym pamiętać, aby poinformować osobę, do której kierujemy naszą kampanię, o źródle pochodzenia jej danych (art. 14 ust. 2 pkt. f RODO). Klauzula informacyjna umieszczona w pierwszym liście lub e-mailu może wyglądać w ten sposób:

Informujemy, że Państwa dane są przetwarzane przez Stowarzyszenie AaBbCc z siedzibą w Warszawie, ul. Kwiatowa 15, 00-877 Warszawa (administrator danych osobowych), w następujących celach: a) w celu wykonania zamówienia i wsparcia akcji, przetwarzanie Państwa danych w wyżej wskazanym celu służy podjęciu działań przed zawarciem umowy zgodnie z art. 6 ust. 1. lit. b Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), b) w ramach utrzymywania stałego kontaktu ze Stowarzyszeniem w związku z jego celami statutowymi, w szczególności poprzez informowanie o organizowanych akcjach społecznych i możliwościach wspierania działalności Stowarzyszenia. Przetwarzanie Państwa danych w wyżej wskazanym celu uzasadnione jest prawnie usprawiedliwionymi interesami realizowanymi przez Stowarzyszenie, zgodnie z art. 6 ust. 1. lit. f RODO. Podanie przez Państwa danych jest dobrowolne, niemniej bez ich wskazania nie będzie możliwe wykonanie zamówienia i wsparcie akcji.

Mają Państwo prawo dostępu do swoich danych, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania, jak również prawo wniesienia sprzeciwu wobec przetwarzania oraz prawo do przenoszenia danych. Wszystkie te żądania będziecie mogli Państwo zgłaszać na adres siedziby Stowarzyszenia, ul. Kwiatowa 15, 00-877 Warszawa z dopiskiem „Inspektor Ochrony Danych Osobowych” lub na adres e-mail: iodo@stowarzyszenieabc.pl. Mają również Państwo prawo do wniesienia skargi do organu nadzorczego. Do Państwa danych osobowych mogą mieć również dostęp podmioty świadczące na rzecz Stowarzyszenia  usługi, w szczególności hostingowe, informatyczne, wysyłkowe. Podane dane osobowe mogą być przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania. Jednak decyzje dotyczące indywidualnej osoby, związane z tym przetwarzaniem nie będą zautomatyzowane. Państwa dane osobowe będą przechowywane przez nas bezterminowo, jednak nie dłużej niż przez okres przedawnienia roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych w razie otrzymania od Państwa sprzeciwu wobec przetwarzania danych.

Państwa dane pochodzą z bazy administrowanej przez XYZ Spółka z ograniczoną odpowiedzialności z siedzibą w Krakowie, ul. Brzegowa 25, 31-054 Kraków i zostały nam udostępnione do jednorazowego wykorzystania w celach marketingowych.

Bądź na bieżąco z RODO!

Pobierz nasz darmowy ePoradnik RODO dla NGO.

Poradnik zawiera między innymi:

  • Wzór zgody na przetwarzanie danych osobowych
  • Wzór upoważnienia do przetwarzania danych osobowych
  • Wzór klauzuli informacyjnej
  • Rejestr czynności przetwarzania danych osobowych

Jakie są mankamenty kupionej od brokera bazy?

Często minusem naszej bazy będzie ryzyko, że dotrzemy z promowanymi przez nas treściami nie do tej grupy docelowej, do której kierowana jest nasza kampania, pomimo sprecyzowania wcześniej warunków, jakie powinny spełniać zakupione przez nas rekordy. Toteż musimy liczyć się z tym, że osoba, do której dotarł nasz list (kampania e-mailingowa) wniesie sprzeciw, co do przetwarzania jej danych osobowych a nawet skargę na naszą organizację do organu nadzorczego. Wówczas bardzo ważną rzeczą będzie wykazanie przez nas, że:

  1. Dopełniliśmy obowiązku informacyjnego, wynikającego z art. 14 RODO.
  2. Bez zbędnej zwłoki, po wniesieniu sprzeciwu przez daną osobę, usunęliśmy ją z bazy zakupionych przez nas rekordów.
  3. Zgodnie z podpisaną przez nas umową, dane osobowe zakupiliśmy tylko do jednokrotnego wykorzystania do realizacji naszych celów statutowych, z zastrzeżeniem, że jeżeli dana osoba podejmie z naszą organizacją kontakt, np. poprzez wpłatę darowizny, wpisujemy ją do naszego zbioru danych.
  4. Dopełniliśmy obowiązku ochrony danych osobowych poprzez zastosowanie zabezpieczeń technicznych i organizacyjnych (hasła dostępu do plików z rekordami, hasła dostępu do sprzętu elektronicznego, na którym znajdują się pliki z rekordami, zabezpieczenia łączy, zabezpieczenia pomieszczeń, w których znajdują się dane osobowe: monitoring, pomieszczenia i szafy zamykane na klucz, upoważnienia do przetwarzania danych osobowych dla pracowników, którzy zajmują się przetwarzaniem danych w naszej organizacji i inne zabezpieczenia przez nas stosowane, zgodnie z wdrożoną przez naszą organizację dokumentacją wewnętrzną: np. Instrukcją zarządzania systemami informatycznymi, Polityką Bezpieczeństwa Ochrony Danych Osobowych).
  5. Udostępnimy organowi nadzorczemu, na jego żądanie, umowę z brokerem (można zastrzec poufność pewnych danych z umowy na podstawie przepisu art. 65 i art. 66 ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych, DZ.U. z 2019 r., poz. 1781 t.j.).

To wszystko pozwoli organowi nadzorczemu na analizę sytuacji zgodnie ze stanem faktycznym i prawnym i najczęściej postępowanie takie zakończy się jego umorzeniem ze względu na stwierdzenie przez organ, że nasza organizacja nie naruszyła przepisów o ochronie danych osobowych, a my będziemy mogli nadal tworzyć swoją bazę danych.


Dagmara Knaga – reprezentuje Stowarzyszenie Kultury Chrześcijańskiej im. ks. Piotra Skargi