fbpx

Marketing bezpośredni w zgodzie z prawem

Regulacje Ogólnego rozporządzenia objęły każdą sferę przetwarzania danych osób fizycznych, powodując niekiedy rewolucję w działach kadr, księgowości czy w HR. Jednym z obszarów, który w istotny sposób przeszedł przeobrażeniom jest marketing bezpośredni i reklama kierowana do odbiorcy indywidualnego.

Pomimo, że od wejścia w życie przepisów o ochronie danych osobowych minęły już prawie 2 lata, w dalszym ciągu spotykamy się z niezrozumieniem przepisów zarówno unijnych jak i krajowych dotyczących w szczególności obszaru marketingu. Często jednak mylnie obwinia się przepisy rozporządzenia o ochronie danych osobowych jako tych, które ograniczają stosowanie działań marketingowych

Marketing bezpośredni w rozporządzeniu RODO

Zgodnie z motywem 10 preambuły RODO intencją prawodawcy było zapewnienie równorzędnego we wszystkich krajach członkowskich stopnia ochrony praw i wolności osób fizycznych w związku z przetwarzaniem danych. Dostrzeżono również iluzoryczność dotychczasowego modelu ochrony danych osobowych, do której można zaliczyć chociażby sprzeczne z prawem tworzenie baz potencjalnych klientów i obrót takimi zbiorami. W koncepcji prawodawcy, sposobem na zwiększenie skuteczności systemu ochrony danych jest wzmocnienie i sprecyzowanie praw osób, których dane dotyczą, a co za tym idzie również skorelowanych z nimi obowiązków podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu.

Unijny prawodawca nie podejmuje się zdefiniowania pojęcia ,,marketingu bezpośredniego’’ (ang. direct marketing, direct advertising). Wobec powyższego należy zdać się w pierwszej kolejności na wykładnie językową omawianego terminu. Przez ,,marketing bezpośredni’’ rozumie się najczęściej bezpośrednie komunikaty kierowane do indywidualnie oznaczonego (np. poprzez adres e–mail) klienta, często w indywidualnym kontakcie, w celu uzyskania bezpośredniej reakcji odbiorcy komunikatu. Za podstawowe narzędzia wykorzystywane do kontaktów z klientem uznaje się pocztę tradycyjną oraz elektroniczną, rozmowy telefoniczne, komunikaty SMS, spotkania „face–to–face” oraz reklamę internetową. Z przywołanych definicji można wywnioskować, że marketing bezpośredni jako część szerszych działań marketingowych ma zwiększać komfort potencjalnego klienta poprzez lepsze dopasowanie treści informacji do jego potrzeb. Dla przedsiębiorstwa będącego nadawcą komunikatu cecha bezpośredniości pozwala na uzyskanie niezwłocznej i dającej się zmierzyć reakcji potencjalnego klienta.

Obowiązki jakie wynikają z RODO

Do prowadzenia marketingu bezpośredniego niezbędne jest posiadanie bazy danych osobowych osób fizycznych, do których komunikaty marketingowe będą bezpośrednio kierowane.

Wspomniane bazy danych osobowych stanowią uporządkowane zbiory danych o potencjalnych klientach. Obejmują one często dane geograficzne, wiek oraz dane kontaktowe osób, których dotyczą. Bazy są uzyskiwane w dwojaki sposób. Mogą być budowane samodzielnie przez firmę prowadzącą marketing. Drugą opcją są bazy kupowane od firm lub instytucji, które specjalizują się w konstruowaniu tego typu baz.

Korzystając z baz danych osobowych w celu prowadzenia marketingu bezpośredniego, firma staje się administratorem danych osobowych znajdujących się w bazie, z której korzysta. RODO określa obowiązki administratora danych oraz prawa osób, których dane dotyczą.

Przetwarzanie danych osobowych – podstawa prawna

Podstawą prawną przetwarzania danych osobowych zawartych w bazie w celu prowadzenia marketingu bezpośredniego jest przepis art. 6 ust 1 lit. f ogólnego rozporządzenia o ochronie danych osobowych, który stanowi, że: przetwarzanie jest zgodne z prawem jeżeli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Motywy 47-49 preambuły RODO zawierają przykłady prawnie uzasadnionych interesów administratora, stanowiąc rozszerzenie treści przepisu art. 6 ust. 1 lit. f rozporządzeniaMarketing bezpośredni został także wyróżniony przez ustawodawcę unijnego w motywie 47 preambuły RODO jako przesłanką realizacji uzasadnionego interesu administratora danych.

Ma to jednak miejsce w przypadku marketingu usług własnych, a nie prowadzenia działań o charakterze marketingu bezpośredniego dla innych podmiotów – na marketing usług innych podmiotów lub przekazywanie danych innym podmiotom niezbędne jest pozyskanie dobrowolnej zgody.

Na co są potrzebne zgody?

Przepis art. 172 ust. 1 ustawy prawo telekomunikacyjne, który stanowi, że „Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę„.

Zgodnie z ugruntowaną wykładnią tego przepisu konieczne jest pozyskanie więc zgody od użytkownika, jeśli zamierzamy podejmować działania polegające na callingu (telemarketingu) lub mailingu (email marketingu).

Oznacza to, że można kierować do osób fizycznych (nie obejmuje to więc podmiotów niebędących osobami fizycznymi – taki stan prawny mamy od 2013 r.) działań marketingowych w formie e-mail gdy taka osoba wyraziła na to zgodę, a szczególnie gdy w tym właśnie celu udostępniła swój adres e-mail. Za złamanie zakazu, o którym mowa w Prawie telekomunikacyjnym grozi kara do 3% przychodu (czyli równie groźna i wysoka, jak z RODO).

Kolejnym przepisem określającym przepis art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną, który zakazuje przesyłania niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, a w szczególności poczty elektronicznej. Wysyłanie niezamówionej informacji handlowej kwalifikowany jest jako czyn nieuczciwej konkurencji oraz jako wykroczenie podlegające karze grzywny.

Interpretując powyższe, należy rozróżnić możliwość przesyłania informacji handlowej B2C oraz B2B – wysyłanie skierowane do konsumentów, będącymi osobami fizycznymi jest niedopuszczalne bez uprzedniego uzyskania ich zgody, a dopuszczalne do przedsiębiorców.

Zgodnie z art. 6 ust. 1 lit. b przetwarzanie jest legalne, gdy jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy – przykładem tego jest prośba za pośrednictwem formularza na stronie internetowej, ale wyłącznie w tym celu. Jeśli chcesz oferować im kolejne produkty lub usługi – musisz pozyskać zgodę wynikającą z art. 172 Prawa telekomunikacyjnego.

Co nie jest marketingiem bezpośrednim?

Warto wspomnieć, jakiego rodzaju działania są zgodne z prawem, a jednocześnie nie są wymagane pozyskanie zgód. Są to przykładowo:

  • korespondencja ze swoim klientem (obecnym lub przyszłym) w związku z zawartą umową lub świadczoną na jego rzecz usługą – chodzi o maile transakcyjne, dotyczyć może założenia konta, wysłania instrukcji obsługi, komunikatów technicznych, potwierdzeń wysyłki towaru, zmiany regulaminu;
  • wysłanie przez ciebie wiadomości na adres e-mail publicznie dostępny, kiedy realizujesz cel dla którego ten adres e-mail został udostępniony;
  • wysłanie wiadomości w odpowiedzi na zapytanie i prośbę o przedstawienie oferty handlowej – taka sytuacja może mieć miejsce jednak tylko jednorazowo – bez zgody adresata nie możesz wysyłać mu kolejnych wiadomości ofertowych;
  • w innych prawnie uzasadnionym interesie, na przykład w związku z żądaniem zapłaty przysługujących ci należności, reklamacji, obrony przed działaniami niezgodnymi z prawem;

Wystąpienie powyższych sytuacji, w których nie musisz dysponować zgodą odbiorcy na przesłanie wiadomości nie oznacza, że adres ten możesz dopisać do marketingowej listy mailingowej.

Warunki udzielenia zgody

Zgoda powinna być świadoma i dobrowolna, więc osoba ją podejmująca powinna być odpowiednio poinformowana w sposób nie budzący wątpliwości z czym się wiąże i jakie skutki wobec niej z wyrażenia zgody wynikają.

Dobrym rozwiązaniem jest „warstwowe” spełnienie obowiązku informacyjnego, poprzez umieszczenie w formularzu informacji oraz odesłanie do dokumentu lub strony, na której jest szczegółowo wyjaśnione zasady przetwarzania danych, prawa oraz skutki jakie wywołuje.

Najczęściej dokonuje się to poprzez link prowadzący do polityki prywatności oraz regulaminu świadczenia usług.  Sam fakt nie posiadania regulaminu newslettera (pomimo, że taki obowiązek wynika z ustawy o świadczeniu usług drogą elektroniczną), jest już rażącym zaniedbaniem ze strony operatora/administratora danych. Panuje przy czy tym przekonanie, że takowy regulamin dotyczy e-commerce (sklepów internetowych), co jest oczywiście błędne – ustawa dotyczy wszelkich usług świadczonych drogą elektroniczną, m.in. korzystania ze stron internetowych, usług e-learningu, usług informacyjno-komunikacyjnych w administracji publicznej (e-usług) umożliwiających zarówno korzystanie z treści, formularzy.

Należy przy tym umożliwić równie łatwe wycofanie udzielonej wcześniej zgody jak jej pozyskanie. To samo dotyczy wyrażenia sprzeciwu – dobrą praktyką jest umieszczenie w stopce wiadomości linku umożliwiającego wypisanie się z newslettera lub wyrażenia sprzeciwu na otrzymywanie informacji o promocjach.

Jak pozyskać zgodę?

Jak najbardziej dopuszczalne jest poproszenie o wyrażenie zgody w związku z nawiązanym kontaktem – uzyskanie takiej zgody z pewnością będzie łatwiejsze, jeśli opiszesz dlaczego chcesz ją uzyskać – w szczególności o tym, że nie będziesz się mógł z nim kontaktować bez wyrażenia zgody.

Pamiętaj! Spełnienie obowiązku informacyjnego RODO polegającego na wysłaniu maila z wiadomością nie jest czynnością o charakterze marketingu bezpośredniego, jest to obowiązek nałożony prawnie na gruncie art. 13-15 RODO. Ważne, aby nie „przemycał” treści o charakterze stricte marketingowych.

Dobrą praktyką jest umieszczenie na stronie internetowej w formularzu zgody na zapisanie się do biuletynu (za pomocą którego będziemy przesyłać informacje o promocjach, materiały informacyjne dotyczące produktów i usług) lub umieszczenie okienka wyskakującego, w którym prosimy o podanie danych umożliwiających przesyłanie danych o charakterze marketingu bezpośredniego.

Przepisy RODO również dopuszczają możliwość pozyskiwania zgód w przypadku, gdy zamierzamy rozszerzyć o nowy cel przetwarzania – np. dane wysłane za pomocą formularza kontaktowego są w celu zamiaru zawarcia umowy (art 6 ust. 1 lit. b), nie stoi tym samym zamieszczenie prośby o zapisanie się do listy pozwalającej na wysyłanie biuletynu oraz ofert i promocji. Analogicznie można

W przypadku, gdy pozyskaliśmy kontakt bezpośrednio poprzez wymianę wizytówki, najlepszą praktyką jest wysłanie wiadomości zapraszającej do zapisania się do newslettera zawierającego przycisk „call-to-action” potwierdzającym zapisanie się do newslettera i otrzymywania ofert.

Zamów bezpłatne konsultacje

Profilowanie użytkownika

Rozwiązania umożliwiające automatyzację marketingu umożliwiają podejmowanie zaplanowanych, zautomatyzowanych działań polegających na wysyłce wiadomości e-mail, kierowaniu spersonalizowanych komunikatów do użytkowników na podstawie zachowań i aktywności takich jak otwarcie wiadomości e-mail, wywołanie linków w wiadomości e-mail, historia odwiedzin strony lub sklepu internetowego, itp. należy więc przeanalizować, jakie działania są przez RODO dopuszczalne w tym zakresie.

Zgodnie z RODO, profilowanie to „dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”.

Zatem profilowaniem nie jest samo gromadzenie danych o użytkowniku, a analizowanie ich i wykorzystywanie w sposób umożliwiający ocenę jego zachowań, w szczególności do celów marketingowych. RODO dopuszcza profilowanie, ale tylko wówczas, gdy odbywa się ono za zgodą i wiedzą osoby, której dotyczy. Profilowanie nie powinno być też decydującym czynnikiem, na podstawie którego zapadają istotne decyzje wobec tej osoby. Motyw 71 określa, że osoba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji – mogącej obejmować określone środki – która ocenia jej czynniki osobowe, opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób znacząco na nią wpływa, jak na przykład automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej.

Powoduje to, że odrębnym aspektem jest przetwarzanie w sposób zautomatyzowany danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – a odrębnym (choć powiązanym) podejmowanie decyzji wywołujących skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływające.

Tak więc – o ile profilowanie nie będzie wywoływać bezpośrednio skutków prawnych dla osoby, której dane dotyczą, profilowanie polegające np. na analizie zachowań użytkownika jest dopuszczalne. Warunkiem jest jednak, aby użytkownik został o tym poinformowany i mógł wyrazić sprzeciw wobec przetwarzania opierającego się na uzasadnionym interesie administratora.

Jedynym zastrzeżeniem są dzieci do 13 roku życia – jest to zgodne z ogólnym założeniem RODO, że dzieci oraz ich aktywność w Internecie podlegają szczególnej ochronie. Jest to zastrzeżenie o tyle istotne, że wymaga wdrożenia usługi, która będzie pozwalała weryfikować wiek użytkownika oraz wykluczać z działań marketingowych dzieci.

Podsumowanie

Tak jak zostało to omówione dominuje mylne przekonanie, że RODO ogranicza możliwość prowadzenia działań marketingowych, tymczasem jak przedstawiliśmy w artykule nie jest konieczne pozyskiwanie zgody na przetwarzanie danych osobowych do celów marketingu bezpośredniego własnych usług i produktów na gruncie samego RODO, lecz w związku z innymi obowiązującymi w Polsce przepisami, w szczególności pozyskanie zgód jest niezbędne w przypadku kierowania ofert handlowych do osób fizycznych (B2C), a dozwolone w przypadku ofert B2B. Należy jednak pozyskać uprzednio zgodę na używanie automatycznych systemów wywołujących do celów marketingu bezpośredniego.

W naszej ocenie przepisy związane z marketingiem bezpośrednim nie są spójne – RODO nie przeszkadza, a ograniczenia (wymóg pozyskiwania zgód) dotyczą przede wszystkim przepisów polskich i to w sposób często nie spotykany w innych krajach – dlatego tak ważna jest harmonizacja przepisów obowiązujących w różnych krajach na przykład na gruncie prawa europejskiego.

Jeśli potrzebujesz konsultacji w zakresie RODO lub rozwiązania, które zautomatyzuje czynności związane ze spełnieniem obowiązków informacyjnych oraz automatyzacji marketingu – wypełnij formularz znajdujący się poniżej.


Zajmujemy się wdrażaniem i integracją inteligentnych rozwiązań informatycznych wspierających zarządzanie organizacją oraz optymalizację procesów biznesowych. W naszym portfolio są wdrożenia dedykowanych rozwiązań/aplikacji internetowych (np. systemy lojalnościowe, usługi B2B), portale intranetowe, rozwiązania do zarządzania projektami oraz zadaniami (systemy ticketowe), repozytoria dokumentów, systemy do zarządzania tożsamością, rozwiązania e-commerce oraz automatyzacji email marketingu.

Szczególną uwagę przykładamy do bezpieczeństwa informacji - świadczymy również kompleksowe usługi w zakresie RODO, audytu bezpieczeństwa informacji ISO 27001 oraz KRI.

Marcin Kazimierczak

Marcin Kazimierczak

CEO/owner w make-SOFT

m.kazimierczak@make-soft.pl

Audytor wiodący systemu zarządzania bezpieczeństwem informacji ISO 27001, Inspektor Ochrony Danych. Posiada doświadczenie w zakresie integracji systemów i danych, wdrażania rozwiązań Business Intelligence, projektowania procesów ETL oraz hurtowni danych.

SKONTAKTUJ SIĘ Z NAMI
Administratorem danych jest make-SOFT Marcin Kazimierczak z siedzibą w Gorzowie Wlkp.
Przesyłając zapytanie administrator danych przetwarzać będzie je w celu przygotowania i udzielenia odpowiedzi oraz marketingu bezpośredniego świadczonych przez siebie usług.
Przesyłając zapytanie wyrażam zgodę na używanie przez make-SOFT automatycznych urządzeń wywołujących w rozumieniu art. 172 ustawy Prawo telekomunikacyjne.  Zgoda jest dobrowolna i może zostać odwołana w każdym czasie.