GDPR.pl – ochrona danych osobowych w UE, RODO, IOD
Portal o unijnym rozporządzeniu o ochronie danych osobowych

ROK z RODO: Marketing po wejściu w życie RODO

ROK z RODO: Marketing po wejściu w życie RODO

Marketing to, jak postaram się przedstawić w dalszej części niniejszego artykułu, obszar bardzo złożony. Oczywiste jest zatem, że wejście w życie przepisów RODO pociągnęło za sobą w tej sferze wiele wyzwań. Po roku z RODO możemy już sformułować kilka wniosków co do dotychczasowych i przyszłych metod prowadzenia działań w obszarze marketingu, a także postawić pytania, na które odpowiedzialny przedsiębiorca na razie musi odpowiadać sobie sam. Poniżej skupię się na obszarach, które w mojej ocenie najczęściej przysparzają przedsiębiorcom problemów, a przez to zasługują na osobne omówienie.

Obszary te to:

  1. Problematyka definicji marketingu.
  2. Prawne ramy funkcjonowania marketingu w Polsce po wejściu RODO.
  3. Różnorodność w podstawach prawnych.
  4. Zagadnienie zgody marketingowej po majowej nowelizacji sektorowej
  5. Bazy danych marketingowych w zgodzie z przepisami
  6. Zakończenie.

Zastrzeżenie: W niniejszym artykule koncentruję się wyłącznie na aspektach związanych z wykorzystywaniem danych osobowych przy okazji kontaktów marketingowych. Przedsiębiorca, planując swoje działania marketingowe, powinien brać pod uwagę różne regulacje, takie jak na przykład: ustawa o ochronie konkurencji i konsumentów, ustawa o zwalczaniu nieuczciwej konkurencji, ustawa o prawie autorskim i prawach pokrewnych czy prawo reklamy.

1.   Problematyka definicji marketingu

Po analizie ustawy o świadczeniu usług drogą elektroniczną (UŚUDE), w której mowa jest o zakazie przesyłania „niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej” (art. 10 ust. 1), i po zapoznaniu się z Prawem telekomunikacyjnym (PT), które zabrania używania „telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego” bez zgody abonenta (art. 172), można wyciągnąć właściwie jeden bezpieczny wniosek: każdy przedsiębiorca prowadzący działalność zarobkową (i nie tylko) komunikuje się ze swoim otoczeniem, wykorzystując marketing, który uregulowany jest zarówno w UŚUDE, jak i PT. Tylko takie (szerokie) rozumienie marketingu uchroni przedsiębiorców przed ewentualnymi zarzutami nieuprawnionego przetwarzania danych osobowych w sytuacjach, w których uznaliby oni, że pewne ich aktywności do działań marketingowych się nie zaliczają, a organ nadzorczy lub osoba, której dane dotyczą, zaprezentowali w tej kwestii bardziej ortodoksyjne stanowisko.

2.   Prawne ramy funkcjonowania marketingu w Polsce po wejściu RODO

Aby obecnie legalnie prowadzić w Polsce marketing (wykorzystywać dane osobowe do marketingu), każdy przedsiębiorca powinien uwzględniać trzy regulacje prawne:

  1. prawo ochrony danych osobowych – RODO + UODO18,
  2. Prawo telekomunikacyjne – PT (z nowelizacją sektorową MAJ19),
  3. ustawę o świadczeniu usług drogą elektroniczną – UŚUDE (z nowelizacją sektorową MAJ19).

Dla niektórych może być zaskoczeniem, że przed wejściem w życie RODO przedstawiony wyżej zestaw regulacji wyglądał praktycznie identycznie, z tym że zamiast RODO obowiązywało UODO97. Tymczasem RODO nałożyło na przedsiębiorców szereg obowiązków, które w dobie różnorodnych form marketingu zaczęły stwarzać nie lada wyzwania. Nowelizacja sektorowa z maja 2019 r. przyniosła z kolei tylko niewielkie zmiany w UŚUDE i PT, które są o tyle istotne, że dostosowują odbieranie zgody na ich podstawie do wymogów RODO (szczegółowe omówienie tych zmian znajduje się w moim artykule na gdpr.pl https://gdpr.pl/zmiany-w-ustawie-prawo-telekomunikacyjne-i-ustawie-o-swiadczeniu-uslug-droga-elektroniczna ). W tym miejscu można by więc prowokująco zapytać: skoro w zasadzie nic się nie zmieniło, to czemu służą te i inne rozważania na temat ochrony danych osobowych w kontekście działalności marketingowej? Żeby rozwiać powyższe wątpliwości, należałoby podkreślić, że dotychczas (a w zasadzie do wejścia w życie RODO) marketing w Polsce funkcjonował jako słabo uregulowana strefa, w której próżno było szukać bezpiecznych standardów postępowania. Wynikało to stąd, że z jednej strony ustawodawca nie nadążał za kreatywnością ludzi z branży, z drugiej zaś nie uważał, by pewne kwestie – obecnie być może bardziej problematyczne niż kiedyś – wymagały wówczas uregulowania. Trudno było również opierać się na orzecznictwie, gdyż wyroków w sprawach związanych z przetwarzaniem danych na potrzeby marketingu czy wykorzystaniem kanałów komunikacji wydawano niewiele.

Pierwszym wyzwaniem dla przedsiębiorcy po wejściu w życie RODO jest oczywiście forma spełniania obowiązku informacyjnego. Pracownicy działów kreatywnych agencji reklamowych nie reagowali bynajmniej zbyt entuzjastycznie, gdy do ich skrzętnie przygotowywanych materiałów reklamowych prawicy zaczęli doklejać opasłe klauzule informacyjne (OI/KI), niwecząc tym samym cały efekt wizualny. Również lektorzy zastanawiali się nieraz nad sensem czytania pieczołowicie zredagowanych klauzul informacyjnych, które następnie miały być odtwarzane (dobrze, że w większości przypadków opcjonalnie) po połączeniu się klienta z infolinią. Na szczęście z pomocą przyszły tu wytyczne dotyczące przejrzystości, opracowane jeszcze przed wejściem w życie RODO – nr 260 – https://gdpr.pl/baza-wiedzy/wytyczne/grupa-robocza. Wynikało z nich, że przy spełnianiu obowiązku informacyjnego można posługiwać się tzw. warstwami. Proces ten polega na dostarczeniu komunikatu w pierwszym rzędzie w ograniczonym zakresie (pierwsza warstwa), w drugim zaś – już w pełnym brzmieniu wymaganym przepisami art. 13 i 14 RODO (warstwa właściwa). Stosowanie warstwowania zostało również bardzo dobrze przyjęte przez Ministerstwo Cyfryzacji, co zaowocowało wydaniem, chyba najmniej krytykowanych, wytycznych dotyczących branży FinTech https://www.gov.pl/documents/31305/0/RODO+-+FinTech-mały.pdf/372bd1d0-feb6-3473-9ea1-3c7de0a001b7 ).

Dopuszczalne stało się ponadto różnicowanie sposobu dostarczenia drugiej warstwy informacji. W przytoczonych wytycznych zaaprobowano możliwość przesyłania tych danych e-mailem lub wiadomością zawierającą link do strony internetowej, na której znajduje się pełna klauzula informacyjna. Trzeba przyznać, że polscy przedsiębiorcy podeszli do sprawy kreatywnie, przez co możemy obserwować rozmaite sposoby realizowania obowiązku informacyjnego, niektóre z punktu widzenia odbiorcy wyjątkowo irytujące, np. umieszczanie informacji o zakresie przetwarzania danych na stronie internetowej tak, że tekst klauzuli zasłania całą witrynę. Apelujemy tu o rozwagę – wystarczy przecież estetyczna belka, zintegrowana z belką cookie, którą i tak zastępuje, i dobre ułożenie informacji, a efekt będzie podobny. Na marginesie: odnoszę też wrażenie, że dziwnym trafem przestało istnieć cookie, które zapamiętuje raz dokonany wybór, w efekcie czego na niejednej stronie komunikat pojawia się za każdym razem…

Oczywiście zagadnienie spełniania obowiązku informacyjnego w działaniach marketingowych wiąże się również z pytaniami, na które trudno udzielić jednoznacznej odpowiedzi (np. czy po wejściu w życie RODO ponownie należało powiadomić o zakresie przetwarzania osoby, których dane znajdują się w naszej bazie kontaktów?), jednakże ich omówienie wykracza poza zakres tego artykułu.

3.   Różnorodność w podstawach prawnych

W naszej pracy spotkaliśmy się z czterema podstawami prawnymi marketingu spośród tych wymienionych w art. 6 ust. 1 RODO. Najbardziej zaskakujące dla czytelników okaże się zapewne uzasadnianie działalności marketingowej koniecznością wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit. c RODO). W badanym przez nas wypadku przedsiębiorca wyprowadził ów wniosek z konstytucyjnej zasady wolności działalności gospodarczej. Takie rozumowanie jest, rzecz jasna, nieuprawnione, gdyż kierując się podobną logiką, moglibyśmy usprawiedliwić właściwie każde działanie. Niezależnie od powyższych zastrzeżeń problematyczne jest również tłumaczenie, że przetwarzanie danych w celach marketingowych jest niezbędne do wykonania umowy, której stroną jest podmiot danych (art. 6 ust. 1 lit. b RODO). Bez odpowiedzi pozostaje tu bowiem pytanie, czy związanie się klienta umową (np. na dostarczanie newslettera) wyłącza konieczność uzyskania jego osobnej zgody na kanał komunikacji.

4.   Zagadnienie zgody marketingowej po majowej nowelizacji sektorowej

Przed wejściem w życie RODO panowało przeświadczenie, że należy odbierać osobną zgodę na marketing, osobną na wykonywanie połączeń do klienta (zob. PT) i osobną na przesyłanie mu wiadomości e-mailowych (zob. UŚUDE). Obecnie, między innymi dzięki wspomnianym wytycznym Ministerstwa Cyfryzacji, większość działań marketingowych przedsiębiorca może umotywować swoim prawnie uzasadnionym interesem i odbierać od klientów zgody na wykorzystywanie do kontaktu z nimi konkretnych kanałów komunikacji. Odważni mogą posłużyć się też dorozumianą zgodą, wynikającą z wyraźnych działań potwierdzających, a w konsekwencji – na zawsze pozbyć się check boxów czy osobnych oświadczeń. Narzędzia, które daje nam RODO, należy jednak stosować z rozwagą, tak aby nie złamać zapisów RODO w tym przypadku art. 7 w zw. z motywem 32 – https://gdpr.pl/baza-wiedzy/akty-prawne/interaktywny-tekst-gdpr/artykul-7-warunki-wyrazenia-zgody

Warto również zwrócić uwagę na pewne luki interpretacyjne w kontekście odbierania przy pierwszej rozmowie telefonicznej zgód na przetwarzanie danych w celach marketingowych. O ile bowiem Urząd Ochrony Konkurencji i Konsumentów wielokrotnie podkreślił, że taka praktyka w stosunku do konsumentów jest niedozwolona, o tyle nie wiadomo, czy można ją stosować wobec przedsiębiorców.

Trzeba też przypomnieć, że w związku z odmiennymi warunkami wyrażania zgody na podstawie UODO oraz RODO pojawiło się pytanie, czy na podstawie zgód udzielonych przed 25 maja 2018 r. dopuszczalne będzie przetwarzanie danych po tej dacie. Do kwestii tej odnosi się motyw 171 zdanie trzecie RODO: „Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia”.

Stanowisko w tej sprawie zajął jeszcze GIODO, przedstawiając następującą interpretację: „Zasadniczo nie zmieniły się warunki pozwalające uznać dane oświadczenie za prawnie wiążącą zgodę (jak wspomniany wymóg dobrowolności). Co więcej zmianie ulegnie charakter prawny zgody w porównaniu z obecnym stanem prawnym. Zwykłą zgodę wyraźną w rozumieniu ustawy o ochronie danych osobowych zastąpi zgoda jednoznaczna – wyraźne oświadczenie woli zastąpi więc jednoznaczne, niepozostawiające wątpliwości przyzwolenie osoby w formie oświadczenia lub działania potwierdzającego. […] Wobec tego „poluzowania” charakteru prawnego zgód, wydaje się, że większość otrzymanych dotychczas zgód zachowa ważność także pod rządami ogólnego rozporządzenia. Pod warunkiem, że poinformowano osobę, której dane dotyczą o możliwości wycofania zgody w dowolnym momencie, a wycofanie zgody jest równie łatwe jak jej wyrażenie[1].

Z powyższego stanowiska wynika więc, że sam sposób wyrażenia zgody na przetwarzanie danych na podstawie UODO – tj. w formie wyraźnego, dobrowolnego, świadomego i konkretnego oświadczenia – odpowiada warunkom wskazanym w RODO, jednakże konieczne jest poinformowanie osoby, która wyraziła zgodę, o możliwości jej wycofania w dowolnym momencie (art 13 ust. 2 lit. c RODO). Powyższe twierdzenie zostało podtrzymane w oficjalnym stanowisku GIODO dotyczącym ważności zgód na przetwarzanie danych osobowych[2].

W komunikacji elektronicznej można doszukiwać się realizacji prawa do wycofania zgody w oferowaniu przez nadawców e-maili opcji unsubscribe, czyli: wypisz się z różnego rodzaju list mailingowych, newsletterów.

5.   Bazy danych marketingowych w zgodzie z przepisami

Bazy danych (rekordów) marketingowych przedsiębiorców tworzone były przez lata w bardzo zróżnicowany, często niekontrolowany sposób. Trudno znaleźć firmę, która bez właściwego doradztwa prowadziłaby swoje bazy marketingowe w sposób poprawny i ustrukturyzowany. Obecnie w najgorszym wypadku bazy są rozproszone po pracownikach, którzy jako profesjonalni sprzedawcy traktują zbiór danych własnych klientów jako swój atut. W takim przypadku przedsiębiorca nie sprawuje absolutnie żadnej kontroli nad przetwarzaniem danych, za które jest przecież odpowiedzialny. Niezbędne jest zatem weryfikowanie, jak handlowcy dbają o bezpieczeństwo danych własnych klientów, gdyż odpowiedzialność za ewentualną niefrasobliwość pracowników spada – niestety – na pracodawcę.

W efekcie różnorodnych, mniej lub bardziej skoordynowanych działań zbudowane bazy często pozbawione są dodatkowych informacji, które pozwalałyby na zidentyfikowanie źródła pozyskania kontaktu i zakresu uprawnień do przetwarzania danych osobowych na podstawie przepisów prawa. Są to elementy niezbędne dla weryfikacji legalności posiadanych kontaktów!

Trzeba sobie jasno powiedzieć – prawidłowo skonstruowana baza danych marketingowych powinna zawierać minimum następujące elementy (abstrahując od zakresu danych kontaktowych):

  • informację o źródle pozyskania danych, w tym dokładnej dacie i okolicznościach uzyskania zgody na przetwarzanie danych;
  • informację o treści obowiązku informacyjnego spełnionego wraz z pobraniem danych;
  • informację o podstawie prawnej przetwarzania danych dla celów marketingowych:

– przeważnie zgoda, w tym informacja o treści wyrażonej zgody (art. 6 ust. 1 lit. a RODO),

lub

– prawnie usprawiedliwiony interes administratora danych (art. 6 ust. 1 lit. f RODO), w tym informacja o pierwotnym stosunku prawnym łączącym go z podmiotem danych (np. zawarta wcześniej umowa);

– informacja o kanałach komunikacji, które za zgodą podmiotu danych mogą być wykorzystywane do kontaktu z nim, np. telefon, e-mail (zgoda na spam).

6.   Zakończenie

Mam nadzieję, że udało mi się pokazać, jak pojemne jest pojęcie marketingu. Niestety, po roku stosowania RODO wiele pytań z tej dziedziny nadal nie doczekało się odpowiedzi. Niewykluczone, że pewnym ratunkiem okażą się kodeksy postępowania, których powstaje przynajmniej kilka. Dopóki ich jednak nie ma, przedsiębiorcom nie pozostaje nic innego jak poszukiwanie informacji na profesjonalnych portalach internetowych poświęconych ochronie danych.

[1] Zob. https://giodo.gov.pl/pl/1520281/10014.

[2] Zob. https://www.giodo.gov.pl/en/1520281/10303.

Autor: r.pr. Marek Kozica

Autor: Redakcja
Udostępnij publikację:
Jesteśmy częścią grupy Omni Modo
Odwiedź nas na naszych profilach
Newsletter