Zgoda na przetwarzanie danych osobowych w celach marketingu bezpośredniego – czy zawsze jest konieczna?
- Czym jest marketing bezpośredni?
- Regulacje prawne
- Podstawy prawne przetwarzania danych osobowych
- Zgoda na przetwarzanie danych
- Uzasadniony interes administratora
- Ustawa Prawo telekomunikacyjne i Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
- Zgoda na przetwarzanie danych osobowych – najważniejsze informacje
Czym jest marketing bezpośredni? Czy zgoda na przetwarzanie danych osobowych w celach marketingu bezpośredniego zawsze jest konieczna? Jakie wymagania musi spełnić administrator, żeby przetwarzać dane osobowe zgodnie z prawem? Odpowiedzi na te pytania znajdziesz w tym artykule. Zwiększaj bazę klientów oraz sprzedaż w swojej firmie zgodnie z przepisami!
Czym jest marketing bezpośredni?
Pod pojęciem marketingu bezpośredniego rozumiemy techniki marketingowe polegające na bezpośrednim kontakcie z potencjalnym klientem w celu zachęcenia do skorzystania z usług lub zakupu towarów. Współczesne narzędzia marketingu bezpośredniego obejmują przede wszystkim telemarketing i pocztę elektroniczną, ale nadal stosuje się też np. pocztę tradycyjną.
Korzystając z narzędzi marketingu bezpośredniego, należy przestrzegać przede wszystkim przepisów prawa regulujących przetwarzanie danych osobowych. Ich zignorowanie lub błędne wdrożenie może skończyć się dla Ciebie nałożeniem przez Prezesa Urzędu Ochrony Danych Osobowych dotkliwych kar pieniężnych. Co więcej, nielegalne przetwarzanie danych osobowych zagrożone jest również karą ograniczenia lub pozbawienia wolności do lat 2.
Regulacje prawne
Najważniejszym aktem prawnym regulującym obowiązki administratora (czyli podmiotu, który na potrzeby własnej działalności przetwarza określone dane osobowe) związane z przetwarzaniem danych osobowych jest RODO, czyli ogólne rozporządzenie o ochronie danych osobowych uchwalone przez Unię Europejską.
W Polsce kwestię legalności marketingu bezpośredniego regulują także ustawa Prawo telekomunikacyjne oraz Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną.
Podstawy prawne przetwarzania danych osobowych
Aby dane osobowe były przetwarzane zgodnie z prawem, musi zaistnieć któraś z przesłanek legalizujących ich przetwarzanie, wymienionych w art. 6 RODO. Przesłanek łącznie jest sześć, ale w kontekście marketingu bezpośredniego potencjalnie mogą występować dwie:
- zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) oraz
- tzw. prawnie uzasadniony interes administratora danych (art. 6 ust. 1 lit. f RODO).
Różnica pomiędzy nimi jest kluczowa. W przypadku pierwszej z nich potrzebujemy pozyskać wyraźną zgodę od osoby, z którą chcemy się skontaktować, jeszcze przed przystąpieniem do przetwarzania danych. W przypadku drugiej z nich, przed przystąpieniem przez nas do kontaktu, nie jest wymagana od takiej osoby żadna aktywność. Wystarczy tylko zgodnie z przepisami prawa zrealizować wobec takiej osoby tzw. obowiązek informacyjny poprzez np. wysyłkę maila informacyjnego.
Zgoda na przetwarzanie danych
W pierwszej kolejności przyjrzymy się przesłance zgody. Zgoda na przetwarzanie danych oznacza „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych”.
Prawidłowo sformułowana zgoda na przetwarzanie danych osobowych powinna:
- jasno wskazywać cel oraz zakres przetwarzania danych;
- wskazywać podmiot, którego dotyczy zgoda;
- zapewniać osobie wyrażającej zgodę swobodę jej wyrażenia oraz odmowę wyrażenia;
- powinna umożliwiać jej wyrażenie w odniesieniu do wybranych celów – w przypadku wyrażania zgody na przetwarzanie w kilku celach;
- zawierać pouczenie o prawie do wycofania zgody.
Co więcej, zgoda musi być udzielona w taki sposób, aby możliwe było udowodnienie faktu jej udzielenia, np. w toku kontroli. Konieczne są więc albo odpowiednio przygotowane formularze papierowe podpisane przez potencjalnego klienta, albo formularze elektroniczne, za pomocą których zostanie zapamiętane, że dana osoba posługująca się podanymi danymi kontaktowymi zaznaczyła okienko z prawidłowo zredagowanym oświadczeniem o udzielenie zgody.
Niezwykle istotne jest też rozróżnianie treści poszczególnych zgód. Osobno należy więc zaznaczyć zgodę na przetwarzanie danych osobowych, a osobno np. na otrzymywanie niezamówionej informacji handlowej lub na kontakt telefoniczny.
Uzasadniony interes administratora
Przesłanka uzasadnionego interesu administratora jest najmniej precyzyjną z przesłanek z RODO i zawsze przysparza najwięcej problemów interpretacyjnych. Jednak akty unijne zawierają przed właściwą treścią tzw. motywy, które zawsze są istotną wskazówką, jak dany akt prawa unijnego należy wykładać.
Motyw 47. RODO mówi: „[…] Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. […] Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”.
Zgodnie z motywem 47. RODO prawnie uzasadniony interes administratora może być podstawą przetwarzania danych na potrzeby marketingu bezpośredniego. Jeśli zdecydujesz się na przetwarzanie danych w oparciu o prawnie uzasadniony interes administratora, musisz przeprowadzić tzw. test równowagi (ang. balancing test), „pozwalający dokonać oceny, czy interes administratora lub strony trzeciej, przemawiający za przetwarzaniem danych, jest prawnie uzasadniony, czy przetwarzanie jest niezbędne do realizacji celu wynikającego z tego interesu, a następnie rozważyć, czy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, nie przeważają nad prawnie uzasadnionym interesem administratora lub strony trzeciej”1.
Mając na uwadze powyższą regulację, można stwierdzić, że administrator może przetwarzać dane osobowe na potrzeby marketingu bezpośredniego w oparciu o swój uzasadniony interes, w odniesieniu do swoich dotychczasowych klientów, jeżeli marketing dotyczyć będzie usług własnych administratora lub usług powiązanych z usługami administratora.
Jeżeli chcesz reklamować nie tylko usługi i produkty własne, ale też innych podmiotów – wówczas nie możesz już powoływać się na swój uzasadniony interes.
Ustawa Prawo telekomunikacyjne i Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
Niestety w kwestii marketingu bezpośredniego wybranie właściwej przesłanki legalizacyjnej z RODO nie zamyka jeszcze tematu. Dwa najpopularniejsze kanały marketingu bezpośredniego, telemarketing i poczta elektroniczna, są dodatkowo regulowane odrębnymi ustawami.
Zgodnie z art. 172 ustawy Prawo telekomunikacyjne (dalej: p.t.) zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego lub przesyłania niezamówionej informacji handlowej, chyba że użytkownik końcowy uprzednio wyraził na to zgodę.
Ustawa o świadczeniu usług drogą elektroniczną z kolei nakłada na podmiot wysyłający e-maile marketingowe obowiązek uzyskania zgody na przesyłanie tzw. niezamówionej informacji handlowej.
Art. 10 tejże ustawy wprowadza zakaz przesyłania tzw. niezamówionej informacji handlowej, który jest ograniczony wyłącznie do odbiorców będących osobami fizycznymi:
- „Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.
- Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
- Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy, o której mowa w art. 9 ust. 3 pkt 1”.
W przypadku mailingu skierowanego do osób prawnych nie musisz pobierać ani zgody na przetwarzanie danych osobowych (adres e-mail osoby prawnej nie ma charakteru danych osobowych), ani zgody na otrzymywanie niezamówionej informacji handlowej. Natomiast w przypadku osób fizycznych potrzebna będzie zgoda na wysyłkę niezamówionej informacji handlowej, a konieczność pobrania dodatkowo zgody na przetwarzanie danych osobowych uzależniona będzie od wyboru przesłanki legalizacyjnej.
Zgoda na przetwarzanie danych osobowych – najważniejsze informacje
Nie w każdym przypadku przetwarzania danych osobowych w celach marketingowych trzeba pozyskiwać na to zgodę. W przypadku marketingu skierowanego do dotychczasowych klientów często wystarczy samo zrealizowanie tzw. obowiązku informacyjnego. Musisz jednak pamiętać, żeby pozyskać zgodę na kontakt telefoniczny lub wysyłkę niezamówionej informacji handlowej. Krótkie podsumowanie znajdziesz w tabeli poniżej.
Zgoda na przetwarzanie danych osobowych | Zgoda na niezamówioną informację handlową | Zgoda na kontakt telefoniczny | |
---|---|---|---|
Mailing z ofertą własnych usług lub produktów do dotychczasowych klientów | Nie |
Tak |
Nie |
Mailing z ofertą własnych usług lub produktów do nowych klientów | Tak |
Tak |
Nie |
Mailing z ofertą usług lub produktów podmiotów trzecich | Tak |
Tak |
Nie |
Telemarketing własnych usług lub produktów skierowanych do dotychczasowych klientów | Nie |
Nie |
Tak |
Telemarketing własnych usług lub produktów skierowanych do nowych klientów | Tak |
Nie |
Tak |
Telemarketing własnych usług lub produktów podmiotów trzecich | Tak |
Nie |
Tak |
1 Wyrok WSA w Warszawie z 11.03.2021 r., II SA/Wa 1340/20, LEX nr 3229994.
Polecamy
- RODO na stronie internetowej – co należy wiedzieć o obowiązku informacyjnym?czas czytania5minutyartykuł zawiera załącznik05.07.2023Masz własną stronę internetową? Odkryj swoje obowiązki prawne jako administratora danych.5min
- Ewidencja sprzedaży w działalności nierejestrowanej i rejestrowanej, czyli dokumenty potwierdzające sprzedażczas czytania5minuty06.07.2023Dowiedz się więcej o obowiązkach ewidencyjnych związanych z prowadzeniem działalności rejestrowanej i nierejestrowanej.
- Dyrektywa Omnibus, czyli obowiązek informowania o cenach. Jak wygląda w praktyce?czas czytania8minuty04.07.2023Zajmujesz się sprzedażą? W takim razie musisz działać zgodnie z nowymi przepisami. Sprawdź, co trzeba o nich wiedzieć!