Jak uwzględnić RODO w marketingu? 10 praktycznych porad

Działania marketingowe podejmowane niezgodnie z prawem mogą wiązać się nałożeniem naprawdę dotkliwej kary finansowej.

Pamiętaj! Prezes Urzędu Ochrony Danych Osobowych (UODO) nakłada kary niezależnie od wielkości firmy. Nawet jeśli prowadzisz jednoosobową działalność, musisz przestrzegać obowiązujących przepisów. Urząd ochrony danych osobowych pełni funkcję organu nadzorczego nad przestrzeganiem przepisów RODO. Najważniejszym aktem prawnym jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). W Polsce dodatkowym aktem prawnym, który implementuje przepisy RODO, jest Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.

W przypadku wątpliwości dotyczących zgodności działań marketingowych z RODO warto skonsultować się z radcą prawnym specjalizującym się w ochronie danych osobowych.

Marketing a RODO – czyli czemu musisz się tym przejmować?

Najpierw kilka suchych faktów. RODO jest rozporządzeniem ogólnym o ochronie danych osobowych, które weszło w życie 18 maja 2019 r. Jego głównym celem jest zapewnienie prywatności i ochrony danych osobowych użytkownika, którego te dane dotyczą.

Marketing jest jedną z dziedzin, w której zapisy RODO mają duży wpływ na codzienną pracę. Rozporządzenie to określa jasno w jaki sposób możesz przetwarzać dane osobowe do celów marketingu bezpośredniego. Jeśli w jakimkolwiek celu gromadzisz dane osób – pamiętaj, że użytkownik musi jasno i jednoznacznie wyrazić zgodę na otrzymywanie informacji handlowych i przetwarzanie jego danych w celach marketingowych.

Ty zyskujesz rolę administratora danych osobowych, co oznacza, że jesteś odpowiedzialny za prawidłowe i zgodne z prawem przetwarzanie danych osobowych oraz masz określone obowiązki, takie jak:

• jasne określenie celu, dla którego dane będą przetwarzane,
• informowanie i przekazanie użytkownikowi, jakie ma prawa w zakresie ochrony jego danych osobowych (np. prawo dostępu do danych, prawo do modyfikacji danych). Są to tzw. prawa osób, których dane są przetwarzane. Warto podkreślić, że podmiot danych to osoba, której dane są przetwarzane, i przysługują jej określone prawa wynikające nie tylko z RODO, ale także z innych przepisów dotyczących ochrony danych osobowych.

Wspominałam o tym wyżej, ale warto podkreślić to jeszcze raz, że w przypadku naruszenia RODO w marketingu, Twoja firma może ponieść surowe konsekwencje. Przede wszystkim są to kary finansowe. Właśnie dlatego powinieneś przejmować się tym aspektem, jeśli chcesz prowadzić działania marketingowe.

Warto wspomnieć, że istnieją formy działań pozwalających na „pokazanie się” szerszej grupie osób, które nie są na wprost czynnościami związanymi z marketingiem produktów i usług. Jednym z nich będzie wysyłka cold maili, o których więcej pisaliśmy tutaj.

Inne przepisy prawa

Pamiętaj, że RODO to nie wszystko! Są też inne przepisy, których musisz przestrzegać przetwarzając dane w celach przetwarzania danych osobowych. Jakie to przepisy?

• Ustawa Prawo Telekomunikacyjne, której podlega np. używanie telekomunikacyjnych urządzeń końcowych do kontaktowania się z klientami, zgodnie z przepisami prawa telekomunikacyjnego.
• Ustawa o Ochronie Konkurencji i Konsumentów, która określa przepisy dotyczące ochrony praw konsumentów, w tym zasady dotyczące zbierania i przetwarzania danych osobowych w celach marketingowych.
• Ustawa o świadczeniu usług drogą elektroniczną, to przepis prawny, który reguluje świadczenie usług przez internet, w tym działania marketingowe takie jak wysyłanie e-maili z ofertami czy newsletterami.

Działania marketingowe muszą być również zgodne z przepisami prawa komunikacji elektronicznej, które reguluje przesyłanie informacji handlowych drogą elektroniczną.

Jak prowadzić działania marketingowe zgodnie z RODO – 10 praktycznych porad?

W marketingu przetwarza się różne kategorie danymi osobowymi, obejmujące zarówno dane bezpośrednie, jak imię i nazwisko, jak i pośrednie, takie jak adres e-mail, identyfikatory online (np. IP, cookie ID), które również pozwalają na identyfikację osoby.

Można wyodrębnić kilka podstawowych zasad, którymi powinieneś się kierować podczas przetwarzania danych osobowych w celach marketingowych.

1. Jasno określanie celu, w jakim chcesz przetwarzać dane osobowe

Jeśli pozyskujesz zgody na używanie danych w celach marketingowych, musisz jasno poinformować o celach przetwarzania danych osobowych.

Należy także regularnie weryfikować, czy dane są nadal potrzebne do osiągnięcia celu przetwarzania.

2. Uzyskanie wyraźnej, precyzyjnej i jednoznacznej podstawy przetwarzania danych

Przetwarzanie danych w celach marketingowych wymaga istnienia odpowiedniej podstawy prawnej. Czyli wyrażenie zgody użytkowników na przetwarzanie danych w celach marketingowych.

Zgodnie z f rodo, działania marketingowe muszą być oparte na właściwej podstawie prawnej, takiej jak zgoda lub uzasadniony interes administratora.

3. Uwzględnianie wycofywania wcześniej wyrażonych zgód

Prawo do odwołania zgody i wniesienia sprzeciwu wobec przetwarzania danych również jest gwarantowane obowiązującymi przepisami prawa. Dalsze przetwarzanie danych osobowych po odwołaniu zgody nie będzie możliwe.

4. Korzystasz z automatycznych systemów wywołujących? Zadbaj o dostosowanie zasad przetwarzania danych do tych konkretnych systemów

Jeśli korzystasz z systemów, które automatycznie wybierają numery z określonej listy lub środków komunikacji elektronicznej, Twoje procesy w kwestii przetwarzania danych powinny uwzględniać faktyczne kanały komunikacji, z jakich korzystasz.

5. Podchodź do tematu z wyczuciem i ostrożnością

Jeśli działasz w swoim prawnie uzasadnionym interesie, możesz przetwarzać dane osobowe bez zgody, ale tylko na potrzeby marketingu bezpośredniego. Kontakty telefoniczne, czy e-mailowe nada wymagają niezbędnej zgody.

6. Przetrzymywanie danych osób tylko przez czas niezbędny do realizacji celów, w jakich zostały zebrane

Określony czas, przez jaki będą przechowywane dane osób. Istotne jest także ich usunięcie, gdy nie są już potrzebne. Użytkownicy mają prawo żądać usunięcia swoich danych po zakończeniu celu przetwarzania.

7. Zachowanie odpowiednich środków bezpieczeństwa i zabezpieczanie danych

Należy to zrobić, aby zapobiec nieautoryzowanemu dostępowi do danych klientów oraz innych osób.

8. Umożliwienie użytkownikom korzystania z praw, jakie gwarantuje im RODO

Przykładem może być prawo dostępu do danych, do sprostowania, do modyfikacji, do usunięcia.

Warto również pamiętać, że w niektórych przypadkach, aby przetwarzać dane osobowe w celach marketingowych, konieczne jest uzyskanie zgody osoby.

9. Zapewnienie odpowiedniego przeszkolenia pracownikom i osobom, które będą posiadały dostęp do danych

Wybierz najbardziej zaufanych pracowników i tylko im daj dostęp do danych osobowych. Muszą oni przejść odpowiednie przeszkolenie, aby wiedzieć, co mogą, a czego nie mogą robić.

10. Polityka prywatności dostosowana do RODO w marketingu

Polityki prywatności powinny być regularnie aktualizowane i jasno informować użytkowników o przetwarzaniu danych osobowych, zgodnie z wymogami RODO. Polityka prywatności powinna zawierać informacje na temat zbieranych danych, celów przetwarzania, czasu przechowywania danych oraz sposobów zapewnienia bezpieczeństwa danych.

Jakie dane osobowe są przetwarzane w marketingu?

W marketingu przetwarzane są różnorodne dane osobowe, które pozwalają na identyfikację użytkownika i skuteczne prowadzenie marketingu bezpośredniego oraz innych działań marketingowych. Do najczęściej wykorzystywanych należą imię, nazwisko, adres e-mail, numer telefonu, ale także dane behawioralne, takie jak historia zakupów, aktywność na stronie internetowej, reakcje na kampanie czy preferencje zakupowe.

Warto pamiętać, że zgodnie z RODO, pojęcie danych osobowych jest bardzo szerokie i obejmuje również takie informacje jak dynamiczne adresy IP, identyfikatory plików cookie czy pixel Facebooka. W praktyce oznacza to, że nawet dane zbierane automatycznie podczas korzystania z narzędzi marketingowych, np. do remarketingu czy analizy skuteczności kampanii, podlegają ochronie danych osobowych.

Dane te są wykorzystywane przede wszystkim do prowadzenia marketingu bezpośredniego, przesyłania informacji handlowych, personalizacji ofert, a także do analizowania skuteczności działań marketingowych. Przetwarzanie danych behawioralnych pozwala lepiej zrozumieć potrzeby klientów i dostosować komunikację do ich oczekiwań, co przekłada się na wyższą skuteczność kampanii. Pamiętaj jednak, że każda kategoria danych wymaga odpowiedniego zabezpieczenia i jasnego określenia celu przetwarzania, zgodnie z obowiązującymi przepisami o ochronie danych osobowych.

Obowiązek informacyjny wobec osób, których dane są przetwarzane

Jednym z najważniejszych obowiązków administratora danych w zakresie ochrony danych osobowych jest tzw. obowiązek informacyjny. Oznacza to, że każda osoba, której dane dotyczą, musi zostać jasno poinformowana o celach przetwarzania danych osobowych, podstawie prawnej przetwarzania, okresie przechowywania danych, a także o przysługujących jej prawach – w tym o możliwości cofnięcia zgody na przetwarzanie danych w dowolnym momencie.

W kontekście marketingu bezpośredniego, administrator danych powinien zadbać, aby informacje te były przekazane w sposób przejrzysty, zrozumiały i łatwo dostępny – na przykład w treści wiadomości e-mail, SMS lub w polityce prywatności dostępnej na stronie internetowej. Spełnienie obowiązku informacyjnego nie tylko buduje zaufanie odbiorców, ale również chroni firmę przed ewentualnymi zarzutami naruszenia przepisów RODO.

Pamiętaj, że obowiązek informacyjny dotyczy każdej sytuacji, w której przetwarzane są dane osobowe w celach marketingowych – niezależnie od tego, czy podstawą przetwarzania jest zgoda, czy prawnie uzasadniony interes administratora. Przejrzystość w komunikacji z osobami, których dane dotyczą, to podstawa prowadzenia marketingu zgodnie z RODO.

Najczęstszy przypadek łamania RODO w marketingu

Najczęstszym przykładem łamania przepisów RODO w kontekście działań marketingowych jest wysyłka wiadomości e-mail, czy SMS do osób, które nie wyraziły zgody na przetwarzanie ich danych w takich celach.

Jeśli wiadomość w jakimkolwiek stopniu zawiera lub sugeruje ofertę produktu, lub usługi Twojej firmy, nie możesz jej wysłać do przypadkowych odbiorców (np. na firmowe adresy e-mail znalezione w internecie).

Pamiętaj, że nawet jeśli ktoś podał numer telefonu lub mail, np. podczas składania zamówienia na Twojej stronie, nie znaczy to, że możesz z tych danych dowolnie korzystać. Jednorazowy zakup nie oznacza chęci otrzymywania korespondencji marketingowej od Ciebie.

Osoba, której dane osobowe dotyczą, zawsze ma prawo wiedzieć, w jakim celu będą wykorzystywane i musi świadomie się na to zgodzić. Popularną praktyką, aby uzyskać taką zgodę przy przyjmowaniu zamówienia, jest umieszczanie odpowiednich checkboxów przy finalizacji zamówienia. Na pewno nie raz miałeś z czymś takim do czynienia. Jeśli chcesz pozyskiwać dane do działań marketingowych – rozważ takie checkboxy u siebie.

Kiedy zgoda marketingowa nie jest konieczna?

Co do zasady, w zdecydowanej większości przypadków musisz posiadać zgodę na przetwarzanie danych osobowych od osób, których one dotyczą. Można jednak wyodrębnić dwa wyjątki, które szerzej omówię poniżej.

Przypadek 1. Prawnie uzasadniony interes administratora danych osobowych

Jesteś administratorem danych, które zgromadziłeś. Co może być zatem podstawą prawną przetwarzania danych, jeśli nie posiadasz jednoznacznej zgody użytkownika? Twój prawnie uzasadniony interes.

Prawnie uzasadniony interes administratora danych jest całkowicie odrębną i wystarczającą podstawą do przetwarzania danych osobowych w marketingu. Taki interes może mieć miejsce kiedy pomiędzy administratorem (w tym przypadku Tobą/Twoją firmą) a osobą, której dane dotyczą, zachodzi odpowiedni rodzaj powiązania. Jako przykład można tu przytoczyć sytuację kiedy dana osoba jest Twoim klientem. Prawnie uzasadniony interes występuje w relacji usługodawca – klient

Warto podkreślić, że zgodnie z RODO przykładem celu, w jakim możesz wykorzystać dane w oparciu o swój uzasadniony interes jest marketing bezpośredni. A czym on jest? To forma reklamy, w ramach której materiały i treści marketingowe kierujesz do użytkowników np. przy użyciu wiadomości SMS, e-mail, czy też w drodze kontaktu telefonicznego. Co ważne, przy zastosowaniu tej przesłanki komunikacja musi zostać wysłana do konkretnego odbiorcy (nawiązując do powyższego przykładu – do Twojego klienta).

Przesyłanie informacji handlowej w marketingu bezpośrednim

Marketing bezpośredni jest zdecydowanie węższym zagadnieniem, niż ogólne pojęcie marketingu, ponieważ zgodnie z RODO, obejmuje kierowanie korespondencji do nazwanego, sprecyzowanego adresata. Prowadzenie marketingu bezpośredniego jest nieco bardziej zaawansowane niż zwykłe kampanie marketingowe. Przesyłanie informacji handlowej poprzez marketing bezpośredni musi być odpowiednio przeprowadzony. Początkowo należy uzyskać zgodę o wykorzystaniu danych osobowych, aby przekazać osobie informację handlową. Działania marketingowe mogą być prowadzone wyłącznie wtedy, gdy użytkownik końcowy uprzednio wyraził zgodę na kontakt.

Pamiętaj też, że jeśli chcesz się powołać na prawnie uzasadniony interes administratora danych osobowych, musisz być w stanie ten interes jednoznacznie wskazać. Może to być np. interes ekonomiczny. Nie jest to jednak takie proste, ponieważ nie wystarczy wskazać na własną chęć zysku. Zastosowanie tej podstawy musi być poprzedzone odpowiednią analizą

Test równowagi – czy mogę przetwarzać dane w oparciu o prawnie uzasadniony interes administratora danych?

Tutaj szerzej powiem o analizie, o której wspomniałam powyżej. Jeśli chcesz uargumentować przetwarzanie danych osobowych prawnie uzasadnionym interesem administratora, musisz wykonać tak zwany test równowagi. Inne spotykane nazwy to test zgodności, czy test uzasadnionego interesu. Pozwoli on Ci upewnić się, że ta przesłanka ma zastosowanie w konkretnym przypadku.

Test równowagi polega na dokonaniu oceny, czy interesy administratora przeważają nad interesami, prawami i wolnościami osoby, której dane dotyczą. Żeby przeprowadzić go w prawidłowy sposób, musisz uwzględnić kilka czynników. Najważniejsze z nich jest to, czy użytkownik może spodziewać się, że jego dane będą przetwarzane oraz czy przetwarzanie danych stanowi jakiekolwiek zagrożenie dla tego użytkownika.

Odnośnie do pierwszego czynnika, musisz ocenić, czy z użytkownikiem wiążą Cię wystarczające relacje oraz, czy Twoja korespondencja go nie zaskoczy. W drugim przypadku sprawdź, czy Twoja forma komunikacji nie narusza w żaden sposób prywatności użytkownika. Musisz ocenić, czy używane przez Ciebie narzędzia i częstotliwość wysyłanej korespondencji nie stanowią w żaden sposób zagrożenia.

Taka analiza to bardzo złożony, ale też niezbędny proces. Więcej na jej temat możesz przeczytać tutaj.

Przypadek 2. Marketing bez przetwarzania danych osobowych

Istnieją też oczywiste przypadki, w których do przetwarzania danych osobowych w ogóle nie dochodzi i nie musisz przejmować się żadnymi zgodami osoby, która je widzi. Są to wszystkie sytuacje, w których Twoje treści marketingowe nie docierają do konkretnych osób.

Można wśród nich wymienić:

• reklamy telewizyjne,
• reklamy w gazetach,
• bilboardy,
• reklamy wyświetlane na Twojej stronie internetowej.

Warto dodać, że w przypadku tzw. profilowania zwykłego, które nie pozwala na identyfikację konkretnych osób i nie wywołuje wobec nich skutków prawnych, nie jest wymagana dodatkowa zgoda – w przeciwieństwie do profilowania kwalifikowanego.

Kary wynikające z nieprzestrzegania przepisów RODO w marketingu

Za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych mogą zostać nałożone kary finansowe. Naruszenia RODO mogą skutkować poważnymi konsekwencjami finansowymi również dla twojej firmie, niezależnie od jej wielkości. Poniżej przedstawiam 3 przykłady kar, jakie zostały nałożone w Polsce za nieprawidłowe przetwarzanie danych osobowych w celach marketingowych.

ClickQuickNow Sp. z o.o.

W 2019 roku na firmę nałożono karę w wysokości ponad 201 tys. zł za brak wdrożenia rozwiązań, które pozwalałaby na skuteczne i łatwe wycofanie zgody na przetwarzanie danych osobowych oraz spełnianie żądań usuwania danych osobowych.

Spółka Morele.net

Spółka w 2020 r. poniosła karę w wysokości 2,8 mln zł za nielegalny marketing bezpośredni. Nie uzyskała ona zgody na przetwarzanie danych osobowych klientów w celach marketingowych. Ponadto nie usunęła danych osób, które zwróciły się o ich usunięcie. Po długich procesach sądowych kara ta została uchylona.

Fortum Marketing and Sales Polska S.A.

W 2022 roku firma otrzymała karę w wysokości 4,9 mln zł za brak wdrożenia właściwych środków, które pozwalałyby zapewnić bezpieczeństwo danych osobowych oraz za brak weryfikacji podmiotu, który przetwarza dane.

Warto wiedzieć, że RODO jest rozporządzeniem europejskim i wszystkie kraje posiadają swoje instytucje nadzorujące, czyli odpowiedniki naszego polskiego UODO. Na skalę europejską również zdarzają się różne dotkliwe kary, związane z niewłaściwym wykorzystaniem danych w marketingu.

Ochrona danych osobowych w celach marketingowych

Podsumowując, aby prowadzić działania marketingowe zgodnie z RODO, przedsiębiorstwa powinny stosować się do zasad przetwarzania danych osobowych, zapewnić przejrzystość informacji marketingowych oraz odpowiednie zabezpieczenie danych. Zgodnie z przepisami, każdorazowe użycie telekomunikacyjnych urządzeń końcowych w celach marketingowych wymaga uzyskania wyraźnej zgody użytkownika końcowego.

Cel przetwarzania danych powinien być jednoznacznie określony, a odbiorcy muszą otrzymać pełną treść zgody. Niezwykle istotne jest także umożliwienie użytkownikom korzystania z praw wynikających z RODO.

Nieprzestrzeganie przepisów może się wiązać z dotkliwymi sankcjami, czego każda firma chciałaby uniknąć. Właśnie dlatego warto powierzyć prowadzenie działań marketingowych specjalistom. W naszej agencji jesteśmy na bieżąco z aktualnym stanem prawnym i wiemy, jak działać, żeby Twoja firma w bezpieczny i zgodny z przepisami sposób zwiększała swoje zyski. Zamów bezpłatną wycenę, spotkaj się z nami i zobacz, jak możemy Ci pomóc.

Użytkownik końcowy powinien być jasno poinformowany o użyciu telekomunikacyjnych urządzeń końcowych do celów marketingowych.

Podsumowanie

Podsumowując, przetwarzanie danych osobowych w marketingu wymaga nie tylko znajomości, ale przede wszystkim konsekwentnego stosowania kluczowych zasad RODO. Przestrzeganie rodo nie ogranicza działań marketingowych, lecz sprawia, że są one bardziej transparentne i budują zaufanie klientów. Osoby, które mają pewność, że ich prywatność jest szanowana, chętniej angażują się w działania marketingowe i pozostają lojalnymi klientami.

Wdrożenie RODO w marketingu to proces, który powinien obejmować audyt obecnych działań marketingowych, przygotowanie odpowiedniej dokumentacji, przeszkolenie zespołu, a także regularny monitoring zgodności i aktualizację procesów. Pamiętaj, że musisz uzyskać zgodę na przetwarzanie danych osobowych w celach marketingowych, chyba że posiadasz inną podstawę prawną, np. działasz w swoim prawnie uzasadnionym interesie administratora.

Każde przetwarzanie danych powinno być zgodne z prawem, uczciwe i przejrzyste, a osoby, których dane dotyczą, muszą mieć pełną kontrolę nad swoimi danymi i możliwość realizacji swoich praw. Przestrzeganie tych zasad to nie tylko wymóg prawny, ale także szansa na budowanie silnej, wiarygodnej marki w oczach klientów.