RODO a marketing – złote zasady

25 maja 2018 roku weszło w życie Rozporządzenie o Ochronie Danych Osobowych (RODO), które wyznaczyło nowe zasady dotyczące przetwarzania danych osobowych, również w kontekście informacji marketingowych, reklamowych, PR-owych. Za nieprzestrzeganie tego rozporządzenia grożą kary nawet do 20 milionów euro lub 4% obrotu danej firmy. W Polsce w roku 2019 przyznano dwie najwyższe do tej pory kary: prawie milion i 3 miliony złotych. Wysokość kar sprawia, że w każdej firmie nad przetwarzaniem danych osobowych  należy się pochylić bardzo dokładnie. Czy wiesz, na co powinieneś zwrócić szczególną uwagę?

DANE OSOBOWE, CZYLI CO?

Dane osobowe to informacje umożliwiające zidentyfikowanie danej osoby, jednakże nie zawsze te same informacje będą danymi osobowymi dla różnych podmiotów (np. adres IP komputera użytkownika jest daną osobową dla operatora internetowego, a dla serwisu internetowego niekoniecznie, ponieważ nie pozwala na jednoznaczną identyfikację użytkownika). W branży marketingowej najczęściej przetwarzanymi danymi osobowymi są: imię, nazwisko i adres zamieszkania w przypadku bardziej pospolitych nazwisk; lub samo imię i nazwisko dla unikalnych; adres e-mail – gdy zawiera np. imię, nazwisko i nazwę firmy; numer telefonu umożliwiający bezpośredni kontakt.

PRZETWARZANIE DANYCH ZGODNIE Z PRAWEM (art. 6., ust. 1. RODO)

W celach marketingowych najczęściej podstawą przetwarzania danych osobowych może być prawnie uzasadniony interes administratora lub zgoda osoby, której dane dotyczą. Prawnie uzasadnionym interesem administratora może być np. marketing bezpośredni (motyw 47. Preambuły RODO). Warto dodać, że zgody uzyskane od użytkowników przed uchwaleniem RODO są ważne pod warunkiem spełnienia warunków ustawy. Jest to szczególnie istotne w przypadku Polski, ponieważ wcześniej obowiązywała nas Ustawa o ochronie danych osobowych z 1997 roku, która w sporej części wyczerpuje wymagania stawiane przez RODO, do których zaliczamy:

• Jednoznaczność

Pozyskiwanie zgody od użytkownika powinno być jednoznaczne, tzn. nie możemy oferować użytkownikowi dostępu do darmowego e-booka przesyłanego na adres e-mail i bez zgody użytkownika przesyłać na ten adres newsletter. Zgody użytkownika nie można domniemywać (tzn. użytkownik musi zawsze zgodę potwierdzić, np. zaznaczając odpowiednie pole wyboru, które domyślnie musi być odznaczone). RODO wymaga, aby zapytanie było jasne i zwięzłe oraz dostosowane do odbiorcy.

• Konkretność

Zgoda udzielana przez użytkownika powinna być konkretna. Nie jest możliwe już udzielanie zgody zbiorczej w jednym polu, np. zgoda na przetwarzanie danych osobowych do realizacji zamówienia, przetwarzania płatności oraz celów marketingowych. Cel przetwarzania danych osobowych powinien być konkretny, a każda zgoda na przetwarzanie powinna być rozdzielona. Co ważne, samo wyrażenie zgody na „cele marketingowe” nie jest konkretne. Jeśli planujemy wykorzystać dane użytkownika w celu przesyłania newslettera informacyjnego oraz przesyłania kodów promocyjnych, powinniśmy wymienić te cele w zgodzie uzyskiwanej od użytkownika.

• Świadomość

Forma pozyskiwanej zgody powinna być jasna, prosta i zwięzła, a użyty język powinien być dostosowany do odbiorcy – w inny sposób opiszemy zgodę pobieraną od programisty na specjalistycznym portalu, a w inny sposób zgodę pobieraną od 16-latka na portalu młodzieżowym – oraz dostosowany do profilu naszej działalności (inną formę komunikacji stosuje prywatna korporacja informatyczna, bank, kancelaria adwokacka, a inną portal o modzie).

• Dobrowolność

Wyrażenie zgody musi być dobrowolne i realnie musi oznaczać możliwość dobrowolnego wyboru, nie może być wymuszone, np. w postaci braku realizacji zamówienia w sklepie internetowym bez wyrażenia zgody na przesyłanie informacji marketingowych, niewymaganych do realizacji zamówienia.

• Prawo do sprzeciwu

Zgodnie z motywem 70. Preambuły RODO administrator danych osobowych ma obowiązek poinformowania osoby, której dane osobowe przetwarza z racji uzasadnionego interesu administratora, o możliwości złożenia sprzeciwu do ich przetwarzania, w jasnej i prostej formie w sposób odseparowany od innych informacji.

FORMA POZYSKANIA ZGODY 

RODO dopuszcza pozyskiwanie zgody w formie pisemnej (również elektronicznej) lub ustnej, ale należy pamiętać, że to na administratorze spoczywa obowiązek udowodnienia pozyskania takiej zgody od użytkownika (np. data, godzina i adres IP komputera użytkownika). Rozporządzenie nie wyklucza stosowania nowoczesnych form pozyskiwania zgody – np. za pomocą gestu wykonanego na ekranie smartfona lub z użyciem czytnika linii papilarnych posiadanego w smartfonie.
W czasie pozyskiwania zgody należy poinformować o: administratorze danych osobowych, celu przetwarzania wykorzystywanych danych, prawie do wycofania zgody na przetwarzanie, automatyzacji przetwarzania danych (np. profilowanie), przekazywaniu danych do krajów trzecich (spoza UE, Islandii, Lichtensteinu, Norwegii; Wielkiej Brytanii w przypadku odpowiednich zapisów w umowie brexitowej) lub organizacji międzynarodowych, czasu przetwarzania danych. Co istotne – prawo do wycofania zgody nie stoi ponad np. ustawami nakładającymi na podmiot obowiązek ich przechowywania – np. w celach księgowych, jednakże nie zwalnia to z obowiązku usunięcia części danych, które były pozyskane tylko w celach marketingowych. Np. dane o zamówieniach w sklepie internetowym przechowywane w celach statystycznych powinny być zanonimizowane po wymaganym przez prawo okresie rękojmi na zakupione produkty.
Z uwagi na ustawę Prawo telekomunikacyjne, w przypadku marketingu telefonicznego (callingu) zgoda na przetwarzanie danych osobowych powinna być udzielona przed wykonaniem połączenia telefonicznego. Urząd Ochrony Danych Osobowych wyklucza możliwość pozyskiwania takiej zgody podczas pierwszego połączenia wykonanego do osoby fizycznej, natomiast w przypadku przedsiębiorcy istnieją problemy interpretacyjne.

OBOWIĄZEK INFORMACYJNY

Sporą nowością RODO jest wprowadzenie obowiązku informacyjnego. Podmiot przetwarzający dane osobowe powinien poinformować osoby, których dane są przetwarzane, o posiadaniu i przetwarzaniu tych danych, niezależnie od celu ich przetwarzania. Dobrym zwyczajem jest zawarcie klauzuli informacyjnej również w stopce maila, w którym przetwarzane są dane osobowe.

WIĘKSZA OCHRONA NIELETNICH

RODO wprowadza specjalną ochronę danych osobowych dzieci poniżej 16. roku życia (w Polsce wiek został obniżony do 13 lat). W przypadku chęci przetwarzania takich danych w celu oferowania usług społeczeństwa informacyjnego (np. serwisy streamingowe, VOD, muzyczne) należy uzyskać zgodę prawnych opiekunów. Ustawa nie obejmuje np. zamówień i dostaw ze sklepu internetowego, ponieważ nie wyczerpują one definicji usługi społeczeństwa informacyjnego, co może powodować problemy interpretacyjne, więc zalecanym jest pozyskiwanie zgody od rodziców małoletniego poniżej 13. roku życia również w przypadku zamówień niedotyczących drobnych bieżących spraw życia codziennego (np. zakupu gazety, książki czy filmu).

ZLECANIE DZIAŁAŃ MARKETINGOWYCH ZEWNĘTRZNYM FIRMOM

W przypadku zlecenia działań marketingowej agencji i przekazania jej przetwarzania danych osobowych należy pamiętać o sporządzeniu umowy powierzenia danych osobowych. W takiej sytuacji administratorem jest firma zlecająca działania marketingowe, a podmiotem przetwarzającym – agencja. Powoduje to, że w przypadku np. wystąpienia wycieku danych osobowych administrator danych osobowych zostanie powiadomiony przez podmiot przetwarzający i będzie mógł poinformować o incydencie Urząd Ochrony Danych Osobowych.

Źródła:

https://prawo.gazetaprawna.pl/artykuly/1119302,rodo-przetwarzanie-danych-osobowych-marketing-reklama-pr.html
http://wyborcza.pl/7,156282,23369992,rodo-czym-sa-dane-osobowe.html