12/02/2024
Jeżeli przedsiębiorca chce zwiększyć sprzedaż i nie narobić sobie przy tym problemów, musi wiedzieć, jak prowadzić marketing w zgodzie z RODO. Przetwarzanie danych osobowych do celów marketingu bezpośredniego na podstawie prawnie uzasadnionego interesu administratora to w większości przypadków za mało. Konieczne jest uzyskanie zgody marketingowej.
Przedsiębiorca prowadzący działania reklamowe musi skupić się nie tylko na stworzeniu skutecznej strategii marketingowej, ale również na przestrzeganiu obowiązujących przepisów prawa, w tym regulacji zawartych w ogólnym rozporządzeniu o ochronie danych (RODO). Warto jednak podkreślić, że rozporządzenie to nie jest jedynym aktem prawa, który właściciele firm muszą uwzględniać w swoich działaniach. Kwestie dotyczące marketingu w kontekście ochrony danych osobowych unormowane są również przykładowo w ustawie o świadczeniu usług drogą elektroniczną oraz prawie telekomunikacyjnym.
Nie warto iść na skróty, zwłaszcza że legalność działań marketingowych przedsiębiorców jest przedmiotem zainteresowania Prezesa Urzędu Ochrony Danych Osobowych (UODO), Prezesa Urzędu Ochrony Konkurencji i Konsumentów (UOKiK), a także Prezesa Urzędu Komunikacji Elektronicznej (UKE). Sankcje, jakie są w stanie wymierzyć właścicielom firm mogą być dotkliwe i nie ograniczają się wyłącznie do kar finansowych. Jak legalnie prowadzić marketing w zgodzie z RODO? Przede wszystkim trzeba wiedzieć, o co chodzi w podstawie prawnej przetwarzania danych osobowych i zgodach marketingowych.
Większość firm, prowadząc biznes przetwarza dane osobowe. Przedsiębiorca może to robić wyłącznie w oparciu o konkretną podstawę prawną wskazaną w art. 6 ust. 1 RODO, przykładowo w celu realizacji umowy, w oparciu o wyrażoną zgodę na przetwarzanie danych osobowych lub prawnie uzasadniony interes administratora. Jaka jest właściwa podstawa prawna przetwarzania danych osobowych w celach marketingowych? Przedsiębiorca ma wybór.
Co do zasady, w przypadku marketingu, właściciel firmy może przetwarzać dane osobowe w oparciu o prawnie uzasadniony interes administratora lub na podstawie zgody uzyskanej od podmiotu danych. Wybór konkretnej opcji nie powinien być przypadkowy – każda z możliwości pociąga za sobą określone konsekwencje. Nie zawsze odpowiednim wyborem jest uzasadniony prawnie interes. Z drugiej strony, właściciel firmy powinien zdawać sobie sprawę, że jeśli dane osobowe potencjalnego klienta będą przetwarzane na podstawie zgody marketingowej, a podmiot ten wycofa wyrażoną zgodę, przedsiębiorca nie będzie mógł nagle oprzeć procesu przetwarzania danych tej osoby w oparciu o prawnie uzasadniony interes administratora.
Przedsiębiorca może przetwarzać dane osobowe potencjalnych klientów do celów marketingowych w oparciu o prawnie uzasadniony interes administratora, ale musi spełnić przy tym szereg warunków. Po pierwsze, interesy lub podstawowe wolności i prawa osób, których dane mają być przetwarzane nie mogą mieć nadrzędnego charakteru nad interesem właściciela firmy. W tym celu przedsiębiorca powinien przeprowadzić tzw. test równowagi. Wskazuje on, czy interes administratora danych, czyli firmy, jest ważniejszy od interesów osób, których dane dotyczą. Po drugie, osoba, której dane mają być przetwarzane powinna spodziewać się tego w sposób planowany przez właściciela firmy. Poza tym, przedsiębiorca przetwarzający dane osobowe na podstawie prawnie uzasadnionego interesu administratora musi pamiętać o jeszcze jednej kwestii – spełnieniu obowiązku informacyjnego, o czym wielu właścicieli firm zapomina.
RODO narzuca administratorom danych wymóg przekazania osobie, której dane są przetwarzane zestawu określonych informacji. Obowiązek informacyjny musi być spełniony zarówno wtedy, kiedy dane osobowe zostały pozyskane bezpośrednio od osoby, której dane dotyczą, jak i wtedy, kiedy pozyskano je z innych źródeł, np. z baz danych firm zewnętrznych lub Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEiDG). Warto wspomnieć, że przedsiębiorca musi spełnić obowiązek informacyjny również wtedy, gdy zmienia lub dodaje nowy cel przetwarzania albo realizuje żądanie dostępu do danych. RODO wymaga od właścicieli firm, aby informacje dotyczące przetwarzania danych osobowych były przekazywane podmiotom danych w sposób zwięzły i przejrzysty. Informacje powinny obejmować przede wszystkim powiadomienie o przetwarzaniu danych danej osoby oraz o jego celu, a także wskazanie danych administratora danych i jeśli został wyznaczony, inspektora ochrony danych, wskazanie odbiorców przetwarzanych danych i określenie okresu przechowywania danych.
Przedsiębiorcy muszą wiedzieć, kiedy należy spełnić obowiązek informacyjny, czyli w jakim momencie od chwili pozyskania danych należy poinformować potencjalnego klienta o ich. Zgodnie z rozporządzeniem o ochronie danych osobowych, jeśli dane osobowe zostały pozyskane bezpośrednio od podmiotu danych, obowiązek informacyjny powinien być spełniony już w trakcie gromadzenia danych. A w pozostałych przypadkach? Jeśli dane osobowe pozyskiwane są z innych źródeł, wymóg spełnienia obowiązku informacyjnego powinien być zrealizowany w jak najszybszym terminie po pozyskaniu danych osobowych, jednak nie później niż w ciągu miesiąca. Natomiast w przypadku zbierania danych w celach komunikacyjnych, spełnienie obowiązku informacyjnego powinno nastąpić nie później niż przy pierwszym kontakcie.
Co ciekawe, RODO przewidziało kilka wyjątków od wymogu spełnienia obowiązku informacyjnego. Po pierwsze, przedsiębiorca jest zwolniony z niego, jeśli zbierane dane osobowe pochodzą od podmiotu danych i gdy posiada on pełen katalog informacji o administratorze danych. Po drugie, nie trzeba spełniać obowiązku informacyjnego, jeśli dane osobowe były pozyskane z innych źródeł i istnieje jedna z poniższych okoliczności:
Co do zasady, prowadząc działania marketingowe nie wystarczy powołać się na przetwarzanie danych potencjalnych klientów na podstawie prawnie uzasadnionego interesu administratora. Nie wystarczy również spełnienie obowiązku informacyjnego, aby legalnie prowadzić wszystkie działania marketingowe. Przedsiębiorca musi bowiem mieć na względzie przepisy prawa krajowego zawarte w ustawie o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego. Zgodnie z art. 10 ust. 1 pierwszej z wyżej wymienionych, „zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej”. Z kolei, jak stanowi 172 ust. 1 prawa telekomunikacyjnego, „zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego lub przesyłania niezamówionej informacji handlowej w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę”.
Prawo krajowe narzuca na przedsiębiorców przetwarzających dane osobowe potencjalnych klientów na podstawie prawnie uzasadnionego interesu w celach marketingowych pewne obowiązki. Jeśli właściciel firmy zamierza wykorzystywać dane osobowe w celu realizacji kampanii e-mailingowych, musi uprzednio uzyskać od podmiotów danych zgodę na wysyłanie do nich informacji handlowych. Co ważne, zgoda ta powinna być udzielona przed dostarczeniem wiadomości zawierającej informacje handlowe. Oznacza to, że niezgodne z prawem jest wysłanie e-maili lub smsów zawierających informacje handlowe z jednoczesną prośbą o wyrażenie zgody na przetwarzanie danych do celów marketingowych.
Jeśli właściciel firmy nie uzyska odpowiedniej zgody przed wysyłką wiadomości, zostaną one zakwalifikowane jako niezamówiona informacja handlowa. Zgodnie z art. 10 ust. 2 ustawy o świadczeniu usług drogą elektroniczną, „informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny”.
Prawnie uzasadniony interes nie jest jedyną podstawą prawną przetwarzania danych osobowych do celów marketingowych. Przedsiębiorca może przetwarzać dane osobowe również w oparciu o zgodę wyrażoną na podstawie art. 6 ust. 1 lit. a RODO. Zgodnie z prawem udzielona przez podmiot danych zgoda powinna mieć cechy dobrowolnego, konkretnego i świadomego okazania woli i być wyrażona w formie jednoznacznego oświadczenia lub działania potwierdzającego. Co to oznacza w praktyce? Zgodnie z motywem32 RODO, „może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody”. Przedsiębiorcy powinni skoncentrować się na prawidłowej konstrukcji zgód marketingowych. Ponadto, równie istotne, co legalne pozyskanie zgód jest umożliwienie podmiotom danych wycofania ich.
Wymuszanie zgody marketingowej może polegać między innymi na stosowaniu praktyk dark patterns oraz umieszczeniu zgody na przetwarzanie danych do celów marketingowych, gdzieś między warunkami korzystania z serwisu zawartymi w regulaminie serwisu lub sklepu. Jeśli przedsiębiorca nie daje wyboru podmiotom danych i uniemożliwia im wyrażenie świadomej decyzji w tym temacie, narusza obowiązujące przepisy prawa. Firmy, które przetwarzają dane osobowe do celów marketingowych bez uzyskania zgody, narażają się na kary finansowe, jakie nałożyć może UODO oraz UOKiK. Poza tym, podmiot danych, niezadowolony z otrzymywanych niezamówionych informacji handlowych, może wystąpić z roszczeniem do właściwego sądu o zadośćuczynienie za SPAM.
19/01/2024
Kiedy inspektor ochrony danych nie może pełnić swojej funkcjiInspektor ochrony danych nie może równocześnie wykonywać zadań, które ograniczałyby jego niezależność. Zatem nie może między innymi zajmować w firmie stanowiska wyższego szczebla, które wiąże się z określaniem sposobów i celów przetwarzania danych, a nawet zajmować niższych stanowisk, jeśli...
15/04/2024
Czy ESOP możliwy jest tylko w spółkach akcyjnych?Wdrożenie programu opcyjnego w spółce z o.o. jest możliwe, ale bardziej złożone niż w spółkach akcyjnych. ESOP w typowej postaci jest nieosiągalny dla spółek z o.o., ale przedsiębiorcy mogą zdecydować się na, między innymi, na program oparty na zobowiązaniu...
28/05/2024
Na co zwróci uwagę fundusz VC przed zainwestowaniem w Twój startup?Inwestowalność to w najprostszym ujęciu brak „trupa w szafie”, czyli problemów, które mogą uniemożliwić zainwestowanie w Twój biznes. Od lutego 2024 fundusze VC, obecne lub przyszłe, mogą aplikować po środki w ramach nowych programów PFR Ventures. W ciągu najbliższych...
