Drugi etap wdrożenia RODO - o marketingu „zgodnym z RODO” po nowelizacji przepisów sektorowych. Działalność marketingowa w dzisiejszych czasach jest podstawą działalności zarówno małych przedsiębiorców jak i dużych podmiotów czy korporacji. Ustaw z dnia 21 lutego 2019 roku o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 dotknęła również sektora telekomunikacji i usług świadczonych droga elektroniczną, a więc także działalności marketingowej i warto uporządkować wiedzę na ten temat. Co więc wolno przedsiębiorcy? Co jest jego obowiązkiem w przypadku prowadzenia działań marketingowych? PODSTAWY PRZETWARZANIA DANYCH W MARKETINGU Mamy tu dwie różne regulacje prawne i podstawy przetwarzania tych danych. Samo ogólne rozporządzenie (RODO), od którego wypada zacząć, na temat działalności marketingowej „wypowiada” się dość oględnie w motywie 47: „Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”. Oznaczałoby to, że podstawą prawną działań marketingowych administratorów np. email marketingu nie byłaby zgoda osoby fizycznej. W konsekwencji taka osoba, w celu zaprzestania przetwarzania jej danych w tym celu, miałaby prawo do wniesienia sprzeciwu. Zwróćmy jednak uwagę, iż motyw 47 posługuje się sformułowaniem, że "można" uznać takie działanie (marketing) za wykonywane w prawnie uzasadnionym interesie. Nie oznacza to więc, że działalność marketingowa zawsze nim będzie, zważywszy na fakt, iż kwestię tę regulują również przepisy ustaw: o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego i są to przepisy szczególne, które w tym wypadku zyskują pierwszeństwo w stosowaniu. Przepisy tych ustaw uległy zmianie na podstawie ustawy z 21 lutego 2019 roku, ale to co je łączy to obowiązek pozyskania zgody od osoby fizycznej/odbiorcy/abonenta/użytkownika końcowego. Mamy więc inną podstawę przetwarzania danych osobowych niż ta wynikająca z Motywu 47 RODO. Art. 10 ustawy o świadczeniu usług drogą elektroniczną pozostaje bez zmian i zakazuje przesyłania niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej, chyba że odbiorca wyraził zgodę na otrzymywanie takiej informacji, zwłaszcza udostępnił w tym celu identyfikujący go adres elektroniczny. Z kolei art. 172 prawa telekomunikacyjnego zakazuje, bez uprzedniej zgody abonenta lub użytkownika końcowego, używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego. Zgoda taka (zarówno dotycząca świadczenia usług drogą elektroniczną jak i regulowana prawem telekomunikacyjnym) musi spełniać wymogi wynikające z przepisów o ochronie danych osobowych (RODO) czyli: - musi zostać udzielona przed rozpoczęciem przetwarzania danych osobowych w celach marketingowych, - nie może być domniemana ani dorozumiana z innego oświadczenia woli, czyli musi być złożona odrębnie - nie można łączyć zgód na przetwarzanie danych, - musi być konkretna - niedopuszczalna jest ogólna zgoda bez określenia dokładnego celu przetwarzania – czyli dokładne określenie przedmiotu (rodzaj usług) marketingu, - klauzula zgody musi być skonstruowana i przedstawiona w sposób jasny i przejrzysty, w tym pozwalający na identyfikację celu (celów) w jakim została odebrana, - powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w celach marketingowych – a więc marketing drogą mailową, telefoniczny (rozmowy telefoniczne, SMS, MMS, poczta głosowa) -wyrażenie zgody nie może odbyć się pod jakimkolwiek przymusem – natomiast nie ma przeszkód aby administrator zachęcał osobę fizyczną do wyrażenia takiej zgody. cofnięcie zgody musi być równie łatwe jak jej wyrażenie (pod względem formalnym) – skoro zgoda odebrana została np. ustnie to w takiej formie może zostać cofnięta a z pewnością osoba, która chce ją cofnąć nie może być obarczana dodatkowymi formalnościami z tym związanymi. Warto natomiast wiedzieć, że zgoda może być udzielona w każdej formie: pisemnej (choćby przez poproszenie o wysłanie oferty na wskazany adres mailowy), elektronicznej, ustnej lub poprzez „wyraźne działanie” (np. dobrowolne i świadome zamieszczenie na stronie www lub w formularzu swoich danych) osoby fizycznej. Tak więc o podstawie przetwarzania danych osobowych zdecydujemy w konkretnych okolicznościach i dobrze byłoby mieć w tym zakresie merytoryczne (prawne) wsparcie. JAKIE DANE PRZETWARZAĆ W CELACH MARKETINGU I REKLAMY Zacznijmy od tego jakie dane możemy przetwarzać do celów marketingu. Można się domyślić, że nr telefonu oraz adres poczty elektronicznej, ewentualnie imię i nazwisko wydają się w zasadzie wystarczające jeżeli osoba, do której kierujemy ofertę/informację nie jest naszym klientem. Jeżeli zaś miałaby się nim stać, wówczas art. 18 ustawy o świadczeniu usług drogą elektroniczną stanowi, że do celów zawarcia umowy (warto to podkreślić) usługodawca nazwisko i imiona usługobiorcy, numer PESEL lub nr dokumentu potwierdzającego tożsamość, adres zameldowania na pobyt stały, adres do korespondencji, jeżeli jest inny niż adres zameldowana, dane służące do weryfikacji podpisu elektronicznego usługobiorcy oraz adresy elektroniczne usługobiorcy. Natomiast inne dane, nie będące niezbędnymi, możemy przetwarzać, za zgodą usługobiorcy/klienta, do celów: - reklamy oraz - badania rynku, zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę. Czyli mowa tu narzędziach analitycznych oraz innych danych udostępnionych przez klienta lub pozyskanych za jego zgodą. Zakres przetwarzanych danych jest więc znacząco różny i zależy od statusu osoby/użytkownika – czy jest dopiero adresatem oferty czy już usługobiorcą i stroną umowy. SPEŁNIANIE OBOWIĄZKU INFORMACYJNEGO Administrator powinien wykonać obowiązek informacyjny wobec klienta: - w oparciu o art. 13 RODO – jeżeli dane osobowe pozyskał bezpośrednio od osób, do których kampania marketingowa będzie kierowana; - w oparciu o art. 14 RODO – jeżeli dane tych osób pozyskał z innych źródeł np. nabył bazę od innego podmiotu. W obu wypadkach musi to być pełna informacja a więc o:1)administratorze danych oraz powołanym przez niego inspektorze ochrony danych 2) podstawach i celach przetwarzania danych 3)odbiorcach danych (czyli rodzaje podmiotów zewnętrznych, którym te dane mogą być udostępnione np. hosting, dostawca połączeń telefonicznych) 4)okresach przetwarzania danych osobowych (czyli jak długo je będziemy przechowywać), 5)obowiązku lub braku obowiązku podania danych i skutkach ich niepodania 6)zautomatyzowanym przetwarzaniu danych w tym profilowaniu (warto o tym pamiętać przy działalności marketingowej w sytuacji, gdy kierujemy oferty do klienta o konkretnych potrzebach, zwłaszcza jeśli korzystamy z narzędzi takich jak Google Analitycs), 7)rodzajach danych jakie pozyskaliśmy nabywając bazę: imię i nazwisko, nr telefonu, adres email) 8)prawie klienta do cofnięcia zgody, ewentualnego usunięcia danych a także wglądu w dane, ich sprostowania, ograniczenia przetwarzania oraz 8) prawie skargi do organu nadzorczego, 9) a w przypadku gdy dane klienta (bazę danych) nabyliśmy od podmiotu trzeciego wówczas informujemy o źródle danych lub, że dane pozyskane zostały ze źródeł powszechnie dostępnych. Jak spełnić obowiązek informacyjny? Przede wszystkim informacje, o których mowa powyżej powinny być sformułowane prostym i zrozumiałym językiem, bez używania skomplikowanych zwrotów technicznych czy prawniczych – mamy zapewnić, że informacja jest dla odbiorcy przejrzysta. Co do sposobu informowania to wybiera go administrator i musi uwzględnić zarówno swoje możliwości techniczne i organizacyjne jak i posiadane dane kontaktowe klienta. W praktyce jest więc kilka możliwości do wyboru - mailowo – do maila załączamy klauzulę informacyjną, zawiera ją w treści maila lub część informacji zawiera w mailu a do pełnej informacji odsyłamy np. linkując klauzulę informacyjną na stronie internetowej (informowanie warstwowe), - telefonicznie – w rozmowie telefonicznej, za pomocą poczty głosowej lub SMSem – gdzie także możemy zawrzeć tylko część informacji a do pełnej informacji odsyłamy np. linkując klauzulę informacyjną na stronie internetowej - jeżeli klient ma u nas swój profil jako użytkownik to w ten sposób możemy wysłać klauzulę informacyjną lub odesłać do takiej na stronie internetowej. Kiedy spełnić obowiązek informacyjny ? - w przypadku gdy pozyskujemy dane bezpośrednio od użytkownika/usługobiorcy/klienta – w momencie ich pozyskiwania, - w przypadku gdy dane osób, do których kierujemy kampanię marketingową pozyskaliśmy z innych źródeł np. nabyliśmy ich bazę od innego podmiotu lub z publicznych rejestrów czy domen np. CEiDG czy Panorama Firm – najpóźniej przy pierwszej komunikacji z taką osobą, choć art. 14 RODO wskazuje także „rozsądny termin po pozyskaniu danych, najpóźniej w ciągu miesiąca” zważywszy na okoliczności przetwarzania. Konkludując – w razie kontroli Prezesa UODO musimy wykazać, że obowiązek informacyjny skutecznie spełniliśmy tzn. klient miał możliwość zapoznania się z informacją przetwarzaniu jego danych. POSTĘPOWANIE Z ŻĄDANIAMI OSÓB, KTÓRYCH DANE PRZETWARZAMY Pojawia się kolejne zagadnienie: odbiorca/klient/użytkownik/abonent pewnego dnia oświadczy nam, że nie życzy sobie abyśmy mu wysyłali jakiekolwiek oferty. Motyw 70 RODO: Jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, powinna mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec tego przetwarzania, pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji. Jeżeli zaś dane osobowe w celach marketingowych przetwarzamy w oparciu o pozyskane zgody (prawo telekomunikacyjne) wówczas taka osoba ma prawo w dowolnym momencie wycofać taką zgodę. W obu wypadkach (sprzeciw i cofnięcie zgody) dalsze przetwarzanie danych osobowych nie jest możliwe, słowem: powinniśmy zaprzestać wysyłania tej osobie jakichkolwiek reklam, informacji, ofert. Dodatkowo, o ile nie zachodzą inne podstawy przetwarzania danych osobowych czyli np. ta osoba nie jest naszym klientem (umowa, faktura, zakup), może ona żądać usunięcia swoich danych osobowych z naszych baz. Oznacza to obowiązek usunięcia danych takiego klienta ze wszystkich baz (CRM, Skype itp.), poczty elektronicznej, chmury, telefonów i systemów służących do obsługi połączeń telefonicznych i smsowych, ewidencji tradycyjnych, backup’ów i innych zasobów i nośników (w tym zewnętrznych). ZABEZPIECZENIE DANYCH I DOKUMENTACJA Kolejny element to odpowiednie zabezpieczenie danych osobowych gromadzonych i przetwarzanych w celach marketingowych, tak aby nie weszła w ich posiadanie osoba czy podmiot nieuprawniony lub aby nie znalazły się one poza zasięgiem administratora. Przykłady: - przeniesienie bazy danych na prywatne nośniki pracownika (pendriv’e, prywatny dysk Google), - wyciek maili i haseł klientów (morele.net, INPost). Administrator musi je więc zabezpieczyć a) fizycznie (dostęp do pomieszczeń, urządzeń i nośników danych), b) organizacyjnie (dostęp za pomocą haseł, świadomość pracowników je przetwarzających, ewidencja dostępu do pomieszczeń i urządzeń wiedza o tym kto posiada dostęp do baz, bezpieczeństwo serwerów wewnętrznych i danych przekazywanych podmiotom zewnętrznym) oraz c) technicznie a więc zabezpieczenie urządzeń za pomocą haseł, szyfrowanie plików i połączeń, zasilania UPS, o programach antywirusowych nie wspominając. Pamiętać należy, że bezpieczeństwo organizacyjne tych danych to także dokumentacja opisująca ich przetwarzanie: - polityki bezpieczeństwa, - procedury dostępu do urządzeń, systemów i aplikacji oraz nadawania uprawnień i upoważnień, - procedury opisujące jak technicznie spełnimy obowiązek informacyjny bądź odbierzemy zgodę na przetwarzania danych, - procedury reagowania na naruszenia – czyli jak postępujemy w momencie gdy dowiemy się, że dane klientów wyciekły do sieci bądź dostały się w niepowołane ręce (pracownik działu sprzedaży po odejściu z pracy wykradł bazę klientów), czy posiadamy procedurę informowania klientów o naruszeniach jeśli zajdzie taki obowiązek, - procedury reagowania na żądania klientów, których dane posiadamy – w jaki sposób reagujemy np. na żądanie usunięcia danych. ODPOWIEDZIALNOŚĆ I KARY Mamy do czynienia z 4 rodzajami odpowiedzialności: - administracyjna – kara pieniężna do 4 % ubiegłorocznego obrotu administratora (w prawie telekomunikacyjnym do 3%), - cywilnoprawna – jeżeli osoba, której dane dotyczą udowodni wystąpienie szkody (majątkowej lub na osobie) wynikającej z bezprawnego przetwarzania jej danych lub naruszone zostało ich bezpieczeństwo, - odpowiedzialność karna – zarówno z ustawy o ochronie danych osobowych, prawa telekomunikacyjnego czy ustawy o świadczeniu usług drogą elektroniczną jak i wprost z kodeksu karnego, - odpowiedzialność dyscyplinarna – odpowiedzialność pracowników wobec pracodawcy – naruszenie przez pracownika przepisów o ochronie danych osobowych może stanowić przesłankę takiej odpowiedzialności. Jak więc widać, zanim przystąpimy do działań marketingowych musimy uporać się z formalnymi wymaganiami wynikającymi z przepisów o ochronie danych osobowych (RODO) oraz przepisów szczególnych. Kara nałożona na firmę BisNode w wysokości 943.000 zł, jest dowodem na to, że bez pewności czy dane do celów marketingowych przetwarzamy zgodnie z prawem i realizujemy wszystkie prawa osób, do których kampanie marketingowe kierujemy, stąpamy po kruchym lodzie.
Zobacz nasze pozostałe posty z tamatu RODO: