Działania marketingowe podejmowane niezgodnie z prawem mogą wiązać się nałożeniem naprawdę dotkliwej kary finansowej.

Pamiętaj! Prezes Urzędu Ochrony Danych Osobowych (UODO) nakłada kary niezależnie od wielkości firmy. Nawet jeśli prowadzić jednoosobową działalność, musisz przestrzegać obowiązujących przepisów. Najważniejszym aktem prawnym jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO). W Polsce dodatkowym aktem prawnym, który implementuje przepisy RODO, jest Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.

Marketing a RODO – czyli czemu musisz się tym przejmować?

Najpierw kilka suchych faktów. RODO jest rozporządzeniem ogólnym o ochronie danych osobowych, które weszło w życie 18 maja 2019 r. Jego głównym celem jest zapewnienie prywatności i ochrony danych osobowych użytkownika, którego te dane dotyczą.

Marketing jest jedną z dziedzin, w której zapisy RODO mają duży wpływ na codzienną pracę. Jeśli w jakimkolwiek celu gromadzisz dane osób – pamiętaj, że użytkownik musi jasno i jednoznacznie wyrazić zgodę na przetwarzanie jego danych w celach marketingowych.

Ty zyskujesz rolę administratora danych osobowych i masz takie obowiązki jak:

• jasne określenie celu, dla którego dane będą przetwarzane,
• informowanie i przekazanie użytkownikowi, jakie ma prawa w zakresie ochrony jego danych osobowych (np. prawo dostępu do danych, prawo do modyfikacji danych).

Wspominałam o tym wyżej, ale warto podkreślić to jeszcze raz, że w przypadku naruszenia RODO w marketingu, Twoja firma może ponieść surowe konsekwencje. Przede wszystkim są to kary finansowe. Właśnie dlatego powinieneś przejmować się tym aspektem, jeśli chcesz prowadzić działania marketingowe.

Warto wspomnieć, że istnieją formy działań pozwalających na „pokazanie się” szerszej grupie osób, które nie są na wprost czynnościami związanymi z marketingiem produktów i usług. Jednym z nich będzie wysyłka cold maili, o których więcej pisaliśmy tutaj.

Jak prowadzić działania marketingowe zgodnie z RODO – 10 praktycznych porad?

Można wyodrębnić kilka podstawowych zasad, którymi powinieneś się kierować podczas przetwarzania danych osobowych w celach marketingowych.

1. Zbieranie danych marketingowych (np. w celu wysyłki newslettera) w sposób legalny i transparentny.

Niedopuszczalne jest kupowanie baz danych marketingowych od osób trzecich.

2. Uzyskanie wyraźnej, precyzyjnej i jednoznacznej podstawy przetwarzania danych.

Czyli wyrażenie zgody użytkowników na przetwarzanie danych w celach marketingowych.

3. Zapewnienie przejrzystości informacji na temat celu i zakresu przetwarzania danych.

Przekaż wprost, do czego chcesz wykorzystać dane każdej osoby – wysyłka maili, a może SMS?

4. Regularny audyt procedur w firmie i ich dostosowywanie do zmieniających się przepisów.

Sprawdzaj na bieżąco przepisy – czasami potrafią się one zmienić w ciągu jednego miesiąca.

5. Odpowiednie zabezpieczenie i ochrona danych osobowych.

Zadbaj o miejsce, gdzie będziesz przechowywał wszystkie dane osobowe. Postaraj się o to, żeby jak najmniej osób miało wgląd w te dane.

6. Przetrzymywanie danych osób tylko przez czas niezbędny do realizacji celów, w jakich zostały zebrane.

Określony czas, przez jaki będą przechowywane dane osób. Istotne jest także ich usunięcie, gdy nie są już potrzebne.

7. Zachowanie odpowiednich środków bezpieczeństwa.

Należy to zrobić, aby zapobiec nieautoryzowanemu dostępowi do danych klientów oraz innych osób.

8. Umożliwienie użytkownikom korzystania z praw, jakie gwarantuje im RODO.

Przykładem może być prawo dostępu do danych, do sprostowania, do modyfikacji, do usunięcia.

9. Zapewnienie odpowiedniego przeszkolenia pracownikom i osobom, które będą posiadały dostęp do danych.

Wybierz najbardziej zaufanych pracowników i tylko im daj dostęp do danych osobowych. Muszą oni przejść odpowiednie przeszkolenie, aby wiedzieć, co mogą, a czego nie mogą robić.

10. Polityka prywatności dostosowana do RODO w marketingu.

Polityka prywatności powinna zawierać informacje na temat zbieranych danych, celów przetwarzania, czasu przechowywania danych oraz sposobów zapewnienia bezpieczeństwa danych.

Najczęstszy przypadek łamania RODO w marketingu

Najczęstszym przykładem łamania przepisów RODO w kontekście działań marketingowych jest wysyłka wiadomości e-mail, czy SMS do osób, które nie wyraziły zgody na przetwarzanie ich danych w takich celach.

Jeśli wiadomość w jakimkolwiek stopniu zawiera lub sugeruje ofertę produktu, lub usługi Twojej firmy, nie możesz jej wysłać do przypadkowych odbiorców (np. na firmowe adresy e-mail znalezione w internecie).

Pamiętaj, że nawet jeśli ktoś podał numer telefonu lub mail, np. podczas składania zamówienia na Twojej stronie, nie znaczy to, że możesz z tych danych dowolnie korzystać. Jednorazowy zakup nie oznacza chęci otrzymywania korespondencji marketingowej od Ciebie.

Osoba, której dane osobowe dotyczą, zawsze ma prawo wiedzieć, w jakim celu będą wykorzystywane i musi świadomie się na to zgodzić. Popularną praktyką, aby uzyskać taką zgodę przy przyjmowaniu zamówienia, jest umieszczanie odpowiednich checkboxów przy finalizacji zamówienia. Na pewno nie raz miałeś z czymś takim do czynienia. Jeśli chcesz pozyskiwać dane do działań marketingowych – rozważ takie checkboxy u siebie.

Kiedy zgoda marketingowa nie jest konieczna?

Co do zasady, w zdecydowanej większości przypadków musisz posiadać zgodę na przetwarzanie danych osobowych od osób, których one dotyczą. Można jednak wyodrębnić dwa wyjątki, które szerzej omówię poniżej.

Przypadek 1. Prawnie uzasadniony interes administratora danych osobowych

Jesteś administratorem danych, które zgromadziłeś. Co może być zatem podstawą prawną przetwarzania danych, jeśli nie posiadać jednoznacznej zgody użytkownika? Twój prawnie uzasadniony interes.

Prawnie uzasadniony interes administratora danych jest całkowicie odrębną i wystarczającą podstawą do przetwarzania danych osobowych w marketingu. Taki interes może mieć miejsce kiedy pomiędzy administratorem (w tym przypadku Tobą/Twoją firmą) a osobą, której dane dotyczą, zachodzi odpowiedni rodzaj powiązania. Jako przykład można tu przytoczyć sytuację kiedy dana osoba jest Twoim klientem. Prawnie uzasadniony interes występuje w relacji usługodawca – klient

Warto podkreślić, że zgodnie z RODO przykładem celu, w jakim możesz wykorzystać dane w oparciu o swój uzasadniony interes jest marketing bezpośredni. A czym on jest? To forma reklamy, w ramach której materiały i treści marketingowe kierujesz do użytkowników np. przy użyciu wiadomości SMS, e-mail, czy też w drodze kontaktu telefonicznego. Co ważne, przy zastosowaniu tej przesłanki komunikacja musi zostać wysłana do konkretnego odbiorcy (nawiązując do powyższego przykładu – do Twojego klienta). Marketing bezpośredni jest zdecydowanie węższym zagadnieniem, niż ogólne pojęcie marketingu, ponieważ zgodnie z RODO, obejmuje kierowanie korespondencji do nazwanego, sprecyzowanego adresata.

Pamiętaj też, że jeśli chcesz się powołać na prawnie uzasadniony interes administratora danych osobowych, musisz być w stanie ten interes jednoznacznie wskazać. Może to być np. interes ekonomiczny. Nie jest to jednak takie proste, ponieważ nie wystarczy wskazać na własną chęć zysku. Zastosowanie tej podstawy musi być poprzedzone odpowiednią analizą

Test równowagi – czy mogę przetwarzać dane w oparciu o prawnie uzasadniony interes administratora danych?

Tutaj szerzej powiem o analizie, o której wspomniałam powyżej. Jeśli chcesz uargumentować przetwarzanie danych osobowych prawnie uzasadnionym interesem administratora, musisz wykonać tak zwany test równowagi. Inne spotykane nazwy to test zgodności, czy test uzasadnionego interesu. Pozwoli on Ci upewnić się, że ta przesłanka ma zastosowanie w konkretnym przypadku.

Test równowagi polega na dokonaniu oceny, czy interesy administratora przeważają nad interesami, prawami i wolnościami osoby, której dane dotyczą. Żeby przeprowadzić go w prawidłowy sposób, musisz uwzględnić kilka czynników. Najważniejsze z nich jest to, czy użytkownik może spodziewać się, że jego dane będą przetwarzane oraz czy przetwarzanie danych stanowi jakiekolwiek zagrożenie dla tego użytkownika.

Odnośnie do pierwszego czynnika, musisz ocenić, czy z użytkownikiem wiążą Cię wystarczające relacje oraz, czy Twoja korespondencja go nie zaskoczy. W drugim przypadku sprawdź, czy Twoja forma komunikacji nie narusza w żaden sposób prywatności użytkownika. Musisz ocenić, czy używane przez Ciebie narzędzia i częstotliwość wysyłanej korespondencji nie stanowią w żaden sposób zagrożenia.

Taka analiza to bardzo złożony, ale też niezbędny proces. Więcej na jej temat możesz przeczytać tutaj.

Przypadek 2. Marketing bez przetwarzania danych osobowych

Istnieją też oczywiste przypadki, w których do przetwarzania danych osobowych w ogóle nie dochodzi i nie musisz przejmować się żadnymi zgodami osoby, która je widzi. Są to wszystkie sytuacje, w których Twoje treści marketingowe nie docierają do konkretnych osób.

Można wśród nich wymienić:

• reklamy telewizyjne,
• reklamy w gazetach,
• bilboardy,
• reklamy wyświetlane na Twojej stronie internetowej.

Kary wynikające z nieprzestrzegania przepisów RODO w marketingu

Za nieprzestrzeganie przepisów dotyczących ochrony danych osobowych mogą zostać nałożone kary finansowe. Poniżej przedstawiam 3 przykłady kar, jakie zostały nałożone w Polsce za nieprawidłowe przetwarzanie danych osobowych w celach marketingowych.

ClickQuickNow Sp. z o.o.

W 2019 roku na firmę nałożono karę w wysokości ponad 201 tys. zł za brak wdrożenia rozwiązań, które pozwalałaby na skuteczne i łatwe wycofanie zgody na przetwarzanie danych osobowych oraz spełnianie żądań usuwania danych osobowych.

Spółka Morele.net

Spółka w 2020 r. poniosła karę w wysokości 2,8 mln zł za nielegalny marketing bezpośredni. Nie uzyskała ona zgody na przetwarzanie danych osobowych klientów w celach marketingowych. Ponadto nie usunęła danych osób, które zwróciły się o ich usunięcie. Po długich procesach sądowych kara ta została uchylona.

Fortum Marketing and Sales Polska S.A.

W 2022 roku firma otrzymała karę w wysokości 4,9 mln zł za brak wdrożenia właściwych środków, które pozwalałyby zapewnić bezpieczeństwo danych osobowych oraz za brak weryfikacji podmiotu, który przetwarza dane.

Warto wiedzieć, że RODO jest rozporządzeniem europejskim i wszystkie kraje posiadają swoje instytucje nadzorujące, czyli odpowiedniki naszego polskiego UODO. Na skalę europejską również zdarzają się różne dotkliwe kary, związane z niewłaściwym wykorzystaniem danych w marketingu.

Ochrona danych osobowych w celach marketingowych

Podsumowując, aby prowadzić działania marketingowe zgodnie z RODO, przedsiębiorstwa powinny stosować się do zasad przetwarzania danych osobowych, zapewnić przejrzystość informacji marketingowych oraz odpowiednie zabezpieczenie danych.

Cel przetwarzania danych powinien być jednoznacznie określony, a odbiorcy muszą otrzymać pełną treść zgody. Niezwykle istotne jest także umożliwienie użytkownikom korzystania z praw wynikających z RODO.

Nieprzestrzeganie przepisów może się wiązać z dotkliwymi sankcjami, czego każda firma chciałaby uniknąć. Właśnie dlatego warto powierzyć prowadzenie działań marketingowych specjalistom. W naszej agencji jesteśmy na bieżąco z aktualnym stanem prawnym i wiemy, jak działać, żeby Twoja firma w bezpieczny i zgodny z przepisami sposób zwiększała swoje zyski. Zamów bezpłatną wycenę, spotkaj się z nami i zobacz, jak możemy Ci pomóc.