Jak poprawnie zaplanować i przeprowadzić e-kampanie, by zminimalizować formalności, nie osłabiając tym samym efektu kampanii marketingowych, i jednocześnie nie narazić się na wysokie kary za naruszenie przepisów? Odpowiedź na to pytanie wcale nie jest taka prosta, a przyczyną jest RODO - pisze Katarzyna Adamiak, partner w kancelarii Lawsome.

I choć rozporządzenie to postawiło przed podmiotami realizującymi e-kampanie marketingowe nowe wyzwania już dobrych kilka lat temu, to cały czas jest to działalność na granicy ryzyka. I w zasadzie będzie tak do czasu, aż niejednoznaczna praktyka stosowania przepisów RODO w odniesieniu do działań marketingowych ulegnie zmianie poprzez zatwierdzenie przez Urząd Ochrony Danych Osobowych projektu Kodeksu dobrych praktyk w zakresie ochrony danych osobowych w działaniach marketingu bezpośredniego. Został on złożony do urzędu w maju ubiegłego roku przez Polskie Stowarzyszenie Marketingu. Kodeks ten może niewątpliwie przyczynić się do ujednolicenia wykładni i właściwego stosowania przepisów, ale należy liczyć się z wielomiesięczną procedurą jego zatwierdzania. Pamiętajmy, że w przypadku jedynego aktualnie obowiązującego kodeksu, czyli Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych, zgłoszonego przez Porozumienie Zielonogórskie, trwało to ponad cztery lata, co obrazuje skalę wyzwań, przed jakim stoi branża marketingowa.
Rozsyłając wiadomości marketingowe za pośrednictwem korespondencji e-mail/SMS, o ile kampania dotyczy usług własnych, należy prawidłowo określić podstawę do przetwarzania danych osobowych adresatów kampanii. Nie jest jednoznaczne w takich przypadkach, czy wymagane jest pozyskanie zgody na przetwarzanie danych osobowych. Ścierają się tutaj dwa poglądy – z jednej strony podstawą do przeprowadzenia takich działań może być zgoda adresata na przetwarzanie danych osobowych, z drugiej strony administrator (nadawca treści) może powołać się na swój uzasadniony interes (marketing usług własnych) i nie pozyskiwać zgody na gruncie RODO.
Każdy przypadek powinien być analizowany indywidualnie, ale wydaje się, że w tej sytuacji można przyjąć zasadę, zgodnie z którą – jeśli adresaci są już w bazie administratora, np. są jego klientami – wystarczające będzie powołanie się na uzasadniony interes administratora. Natomiast jeśli administrator kieruje wysyłkę kampanii marketingowej do nowych adresatów, wówczas bezpieczniejszym rozwiązaniem będzie pozyskanie zgody na przetwarzanie danych osobowych. Prawidłowa treść i procedura odebrania zgody to kolejne wyzwanie stojące przed administratorem.
Ryzyko przyjęcia nieprawidłowej podstawy do przetwarzania danych osobowych jest znaczące. Administrator musi być w stanie uzasadnić ten wybór – może działać tylko na jednej podstawie. Jeśli tego nie zrobi, grozi mu za to kara w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Procedury

Kiedy administrator określi już poprawnie podstawę do przetwarzania danych osobowych, powinien móc wykazać, że przetwarza dane osobowe zgodnie z zasadami RODO. W tym celu powinien wdrożyć politykę ochrony danych, opracować klauzule informacyjne, wymagane rejestry, zapewnić właściwe zabezpieczenia organizacyjne i techniczne oraz realizację praw adresatów kampanii. Administrator powinien działać tak, aby zrealizować zasadę rozliczalności, która nakłada na niego obowiązek wykazania przestrzegania przepisów, zarówno przed organem nadzorczym, jak i przed podmiotem, którego dane są przetwarzane. Według tej zasady administratorzy nie tylko są odpowiedzialni za przestrzeganie przepisów, ale w razie kontroli muszą ich przestrzeganie udowodnić.

Inne zgody

Mając prawidłowo określoną podstawę do przetwarzania danych osobowych na gruncie RODO, stosując odpowiednie środki techniczne i organizacyjne w celu zapewnienia ochrony danych osobowych, administrator powinien zweryfikować, czy nie jest wymagane pozyskanie innych dodatkowych zgód, np. na podstawie prawa telekomunikacyjnego lub ustawy o świadczeniu usług drogą elektroniczną. Treść i zakres tych zgód będą zależały od tego, czy adresatem treści marketingowych jest osoba fizyczna (wówczas wymagane są obie takie zgody) czy inny podmiot (wówczas wymagana będzie zgoda na podstawie prawa telekomunikacyjnego).
Powszechną praktyką jest łączenie tych zgód w jednym oświadczeniu – zaleca się jednak formułowanie ich treści oddzielnie, dla każdego kanału komunikacji, jak np. e-mail, SMS czy telefon. W tym przypadku ponownie ryzyko niepozyskania wymaganych zgód wiąże się z ryzykiem nałożenia kary, której podstawą może być nie tylko RODO, czyli wymieniona już wyżej kara w wysokości do 20 mln euro lub 4 proc. całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku. Może także bowiem zostać nałożona kara na podstawie prawa telekomunikacyjnego w wysokości do 3 proc. przychodu osiągniętego w poprzednim roku kalendarzowym.

Kampanie partnerskie...

Sytuacja jest jeszcze bardziej złożona w przypadku marketingu usług podmiotów trzecich. Jeśli administrator chciałby w ramach kampanii zaprezentować także oferty swoich partnerów, może to zrobić na co najmniej dwa sposoby:
1. przekazać łącznie ze swoją ofertą oferty partnerskie – wówczas powinien dysponować zgodą na przetwarzanie danych osobowych w celach marketingu usług podmiotów trzecich;
2. udostępnić dane swoich użytkowników swoim partnerom, aby mogli oni samodzielnie zrealizować swoje kampanie marketingowe – wówczas powinien dysponować zgodą na udostępnienie danych podmiotom trzecim.
W obu przypadkach administrator powinien posiadać wyraźną, jednoznaczną oraz konkretną zgodę osoby, której dane będą przetwarzane. Zatem ogólne sformułowania w klauzulach w zakresie odwołania do kategorii podmiotów trzecich czy partnerów nie będą wystarczające.
W przypadku zlecenia realizacji kampanii podmiotowi trzeciemu, np. agencji marketingowej, kiedy to agencja dokonuje w imieniu administratora wysyłki wiadomości marketingowych, administrator nie musi uzyskiwać żadnych dodatkowych zgód od swoich użytkowników. Kampania będzie mogła być zrealizowana przez agencję, która działała jako pośrednik w imieniu administratora na podstawie umowy powierzenia przetwarzania danych. Zawarcie takiej samej umowy powierzenia będzie także konieczne w przypadku dostarczania narzędzi do e-marketingu przez podmioty zewnętrzne, jeżeli korzystanie z funkcjonalności danego narzędzia wiąże się z przekazaniem danych osobowych.

...i profilowane

Prowadzenie działań marketingowych ściśle związane jest także z profilowaniem, którego celem jest dopasowanie reklamy do danego odbiorcy. Aby dane działanie można było określić jako profilowanie, jak formułuje to ustawa, musi ono stanowić „zautomatyzowaną formę przetwarzania danych osobowych na potrzeby oceny czynników osobowych osób fizycznych”. Dodatkowo art. 22 RODO wprowadza pojęcie zautomatyzowanego przetwarzania danych, które polega w szczególności na profilowaniu i wywołuje wobec danej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
Wobec tego nie każdy przypadek profilowania związany jest z automatycznym podejmowaniem decyzji czy też istotnym wpływem na osobę, a także nie każda czynność zautomatyzowanego przetwarzania danych będzie oznaczać profilowanie. W praktyce rozróżnienie tych dwóch czynności może się okazać trudne. Pojawiają się poglądy, zgodnie z którymi w przypadku podejmowania działań o charakterze marketingowym samo wyświetlanie reklam nie stanowi istotnego wpływu na daną osobę, dopóki ta osoba nie zdecyduje się na podjęcie dalszego kroku, np. zakupu oferowanego produktu lub usługi. W takim wypadku administrator dokonuje samego profilowania na podstawie prawnie uzasadnionego interesu, którym jest np. realizacja usług administratora.
Na realizację profilowania administrator nie musi uzyskiwać dodatkowej zgody, ponieważ działa na podstawie swojego uzasadnionego interesu. Jednak gdyby doszło do zautomatyzowanego przetwarzania danych osobowych, administrator powinien już uzyskać zgodę na takie działanie. ©℗
Podstawa prawna
• art. 172 ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (t.j. Dz.U. z 2022 r. poz. 1648; ost.zm. Dz.U. z 2022 r. 2581)
• art. 10 ust. 1 ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2020 r. poz. 344)
• art. 22 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1; inaczej: RODO)

Ramka 1

Wytyczne dla poprawnej kampanii e-mailingowej
Chcesz legalnie przeprowadzić marketingową kampanię e-mailingową? Precyzyjnie odpowiedz na poniższe pytania:
• Czy realizujesz marketing usług własnych czy swoich partnerów?
• Czy oferty marketingowe kierujesz do swoich stałych klientów, czy dopiero tworzysz bazę potencjalnych klientów?
• Czy posiadasz wszystkie wymagane zgody na przetwarzanie danych osobowych w celach marketingowych?
• Czy wdrożyłeś wymagane procedury i dokumentację, aby bezpiecznie przetwarzać dane osobowe?
• Czy przetwarzasz dane osobowe w sposób zautomatyzowany? ©℗

Ramka 2

Czy cold mailing jest zgodny z RODO?
• Ten rodzaj marketingu polega najczęściej na wysyłaniu spersonalizowanego e-maila do konkretnej osoby, którą poznaliśmy np. poprzez kontakty w social mediach, lub po prostu jej dane zostały pozyskane poprzez stronę internetową. Co istotne, nasz kontakt następuje bez uprzedniej prośby tej osoby o przesłanie oferty.
• W świetle art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną działanie, które określa się ogólnie cold mailingiem, stanowi niezamówioną informację handlową, której wysyłanie jest w świetle przywołanych przepisów zakazane. Przesyłając wiadomość stanowiącą cold mailing, należy przede wszystkim zrealizować obowiązek informacyjny zgodnie z RODO, tj. poinformować w szczególności, skąd administrator pozyskał dane potencjalnego klienta. Na gruncie ustawy o świadczeniu usług drogą elektroniczną potencjalny klient musi bezwzględnie wyrazić zgodę na przesyłanie mu za pośrednictwem poczty elektronicznej informacji handlowych, np. poprzez podpisanie klauzuli, lub jeśli prześle nam zwrotnie krótką informację, że oczekuje lub prosi o wysłanie e-maila z naszą ofertą. Dlatego dobrym rozwiązaniem jest wysłanie w pierwszej kolejności neutralnej wiadomości z zapytaniem, czy odbiorca zgadza się na wysłanie informacji handlowej. Jeśli odpowiedź będzie pozytywna, wysłanie takiej informacji jest dopuszczalne.
• Przesyłanie niezamówionej informacji handlowej wbrew zakazowi stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów o zwalczaniu nieuczciwej konkurencji oraz wykroczenie zagrożone karą grzywny w wysokości od 5 tys. do 20 tys. zł. Takie działanie może jednocześnie stanowić naruszenie art. 172 prawa telekomunikacyjnego i tym samym skutkować nałożeniem na przedsiębiorcę kary pieniężnej w wysokości do 3 proc. przychodu osiągniętego w poprzednim roku kalendarzowym przez prezesa Urzędu Komunikacji Elektronicznej. ©℗