Artykuły eksperckie

RODO w marketingu – jak prowadzić działania marketingowe zgodnie z RODO?

⟨⟨ Powrót
Łukasz Kulicki

Łukasz Kulicki

RADCA PRAWNY

Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

Masz pytania do autora?
e-mail: kancelaria@afterlegal.pl
tel. +48 500 436 703

Opublikowano:

Prowadzenie działań marketingowych nierozerwalnie wiąże się z przetwarzaniem danych osobowych z wykorzystaniem nowych technologii. Oznacza to, że reklamodawcy muszą wziąć pod uwagę nie tylko przepisy rozporządzenia RODO, ale także dostosować swoje kampanie do wymagań ustawy prawo komunikacji elektronicznej. O czym należy pamiętać, aby działania reklamowe nie tylko generowały konwersję, ale jednocześnie nie stwarzały ryzyka naruszenia obowiązujących przepisów?

Czego dowiesz się z tego artykułu:

  • Prowadzenie działań marketingowych adresowanych do osób fizycznych zawsze idzie w parze z przetwarzaniem danych osobowych.
  • Planując prowadzenie kampanii marketingowej, administrator musi przeanalizować legalność przetwarzania danych osobowych.
  • Szczególną uwagę należy zwrócić na profilowanie, czyli przetwarzanie danych w sposób zautomatyzowany.

Jakie dane osobowe najczęściej przetwarza się w marketingu?

Dane osobowe są to wszystkie informacje, które posłużyć do zidentyfikowania danej osoby fizycznej bezpośrednio lub pośrednio. W kontekście marketingu będzie to nie tylko imię i nazwisko, adres e-mail czy numer telefonu, ale też historia zakupów, adres IP, czy preferencje produktowe. Wszystkie te informacje są łączone ze sobą w celu wykreowania przekazu marketingowego, który będzie personalizowany.

Jak dbać o zgodność działań marketingowych z RODO?

Prowadzenie działań marketingowych budzi sporo wątpliwości wśród osób odpowiedzialnych za projektowanie kampanii. Na jakie problemy warto zwrócić szczególną uwagę?

Jak określić podstawę przetwarzania danych osobowych w RODO?

Przede wszystkim, zanim administrator danych osobowych zacznie przetwarzać jakiekolwiek dane osobowe, musi być w stanie wykazać wystąpienie przynajmniej jednej przesłanki legalizacyjnej. Dzięki temu w razie kontroli organu nadzorczego możliwe będzie odwołanie się do zasady rozliczalności, a co za tym idzie – firma będzie chroniona przed karami, które na gruncie RODO mogą być bardzo wysokie.

Oczywiście najbardziej czytelną podstawą przetwarzania danych osobowych jest zgoda. Aby jednak została ona udzielona w sposób prawidłowy, musi być:

  • świadoma – osoba, której dane będą przetwarzane wie, jakiego rodzaju komunikaty będzie otrzymywała,
  • jednoznaczna – zgoda je wyrażana poprzez zaznaczenie konkretnych pól na formularzu,
  • dobrowolna – wyrażanie zgody jest całkowicie wolne od jakiejkolwiek presji ze strony administratora,
  • konkretna – osoba, które dane dotyczą wie, w jakim celu będą one przetwarzane.

Wyobraź sobie, że Twoja witryna oferuje możliwość zapisania się do newslettera z unikalnymi treściami i zniżkami po podaniu adresu e-mail. Wystarczy, że klient taki adres e-mail udostępni, a Ty, jako administrator, jesteś zabezpieczony. Pamiętaj, że klienci muszą mieć możliwość łatwego wycofania subskrypcji. Po odwołaniu zgody dalsze przetwarzanie danych nie będzie możliwe.

Sprawdź również: Zgoda na przetwarzanie danych osobowych według RODO

Działania marketingowe a uzasadniony interes administratora

Co jednak w sytuacji, kiedy uzyskanie zgody klientów na przetwarzanie danych osobowych będzie niemożliwe? Administrator ma jeszcze możliwość odwołania się do przesłanki uzasadnionego interesu, na co wskazuje sam ustawodawca w motywie 47 RODO in fine, zgodnie z którym za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

Trzeba przy tym pamiętać, że treść rozporządzenia mówi o marketingu bezpośrednim, a więc takim, gdzie komunikaty są adresowane do oznaczonego odbiorcy spełniającego określone kryteria. W takiej sytuacji konieczne będzie przeprowadzenie oceny prawnie uzasadnionego interesu administratora oraz wykonanie testu równowagi, który polega na znalezieniu odpowiedzi m.in. na następujące pytania:

  • jaki jest cel przetwarzania danych przez administratora,
  • jakie kategorie danych będą przetwarzane przez administratora i czy rzeczywiście są one niezbędne,
  • czy osoba, której dane dotyczą może się spodziewać, że jej dane osobowe będą przetwarzane,
  • w jaki sposób wygląda przetwarzanie danych, jak bardzo jest „agresywne”,
  • czy przetwarzanie danych osobowych przez administratora zagraża prywatności osób, których dane dotyczą.

Wyniki testu równowagi należy udokumentować tak, aby można było przedstawić je na żądanie organu nadzoru. Ponawiając wysyłanie komunikatów do klientów, administrator powinien każdorazowo monitorować, czy w ten sposób nie narusza sytuacji osoby, których dane dotyczą, np. poprzez nachalne wysyłanie newslettera.

Dla wykazania zasady rozliczalności nie wystarczy, że administrator zidentyfikuje podstawę przetwarzania danych osobowych. Konieczne jest przestrzeganie jeszcze innych zasad. Przede wszystkim należy dążyć do ograniczenia celu i zakresu przetwarzanych danych, tak, aby działania administratora nie wykraczały poza niezbędne minimum. Trzeba też pamiętać, że każda dana osobowa ma okres retencji i przetwarzanie jej dłużej, niż jest to niezbędne, będzie naruszało RODO. Jeżeli np. klient świadomie usunął konto ze sklepu internetowego, nie ma podstaw do dalszego przetwarzania jego danych teleadresowych.

Sprawdź również: Outsourcing funkcji IOD do naszej kancelarii – czy sprawdzi się w Twojej firmie?

Co z profilowaniem w marketingu?

Obecnie trudno wyobrazić sobie nowoczesny marketing bez działań polegających na profilowaniu, czyli zautomatyzowanym dostosowywaniu wyświetlanej treści do preferencji użytkownika. W przypadku profilowania zwykłego wystarczające jest wykazanie podstawy prawnej dla przetwarzania danych osobowych, ponieważ osoba, której dane dotyczą otrzymuje ostatecznie jedynie propozycje, z których może, ale nie musi skorzystać.

Administrator powinien więc w pierwszej kolejności ustalić, czy test równowagi da się uzasadnić, a jeżeli okaże się, że nie, poszukać innej podstawy na przetwarzanie danych osobowych klientów. Jak wskazuje Grupa Robocza Art. 29, interes administratora danych w przetwarzaniu danych osobowych musi być co najmniej równoważny wobec praw, wolności i interesów podmiotów danych osobowych.

W marketingu stosunkowo rzadko wykorzystuje się profilowanie kwalifikowane, czyli takie, które prowadziłoby do automatycznego podjęcia decyzji wywierającego konkretne skutki prawne.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Co w zakresie przetwarzania danych osobowych zmieniło Prawo Komunikacji Elektronicznej?

Większość firm zdążyła już dostosować swoje procesy wewnętrzne do compliance z RODO, ale dzisiaj to za mało. Wejście w życie ustawy prawo komunikacji elektronicznej (PKE) uzasadnia przegląd wewnętrznych procedur.

Przede wszystkim należy ujednolicić podstawy prawne działań marketingowych. Po rządami nowej ustawy będzie to RODO oraz art. 398 PKE, jeżeli przedsiębiorca korzysta z automatycznych systemów wywołujących lub telekomunikacyjnych urządzeń końcowych do celów przesyłania informacji handlowej. Na te formy komunikacji przede wszystkim niezbędne jest uzyskanie zgody.

Jeżeli przedsiębiorca realizuje różne formy komunikacji, odbiorca musi mieć możliwość wyrażenia zgody na każdą z nich osobno, a także otrzymać wyraźne informacje, na co dokładnie się godzi. Nie są to oczywiście jedyne zmiany wprowadzone przez PKE. Jeśli chcesz mieć pewność, że działasz zgodnie z prawem, nasz zespół przeprowadzi badanie compliance w Twojej firmie.

Pamiętaj, że brak zgodności komunikacji marketingowej z RODO może Cię bardzo wiele kosztować. Organ nadzorczy ma prawo nałożyć sankcję w wysokości nawet 20 milionów euro, a w przypadku przedsiębiorstw – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Sprawdź również: Nowe Prawo Komunikacji Elektronicznej a marketing bezpośredni

Kancelaria After Legal – audyty, wdrożenia i szkolenia RODO

Przetwarzanie danych osobowych w działach marketingowych często budzi różnego rodzaju wątpliwości, ponieważ ciężko pogodzić ze sobą cele sprzedażowe kampanii i jej zgodność z prawem. Zapraszamy do współpracy wszystkie firmy, które chcą mieć pewność, że działają legalnie.

Ochrona danych osobowych to jedna z naszych kluczowych specjalizacji! Nasz zespół przeprowadzi dla Państwa audyt polityki przetwarzania danych osobowych, przeanalizujemy wewnętrzną dokumentację, założenia kampanii marketingowych i doradzimy rozwiązania, które zwiększają bezpieczeństwo biznesu na co dzień, ale jednocześnie pozwalają zachować maksimum skuteczności działań reklamowych.