0 0
dni
0 0
godz
0 0
min
0 0
sek

Cold mailing a zasady przetwarzania danych osobowych

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

W dobie cyfryzacji i powszechnego dostępu do internetu cold mailing – czyli wysyłka niezamówionej korespondencji elektronicznej do potencjalnych klientów – stał się powszechnym narzędziem marketingowym. Choć narzędzie to może być skuteczne, jego stosowanie wiąże się z koniecznością przestrzegania wymogów prawnych, zwłaszcza w kontekście przepisów RODO i ustawy o świadczeniu usług drogą elektroniczną. Sprawdź poniższy artykuł i dowiedz się więcej o cold mailingu w kontekście danych osobowych.

Czym jest cold mailing?

Cold mailing to działanie polegające na wysyłaniu e-maili do osób, z którymi wysyłający nie ma wcześniej nawiązanej relacji. Celem może być sprzedaż produktu, usługi lub zaproszenie do współpracy. W odróżnieniu od kampanii mailingowych do obecnych klientów lub osób, które zapisały się do newslettera, cold mailing opiera się na pierwszym kontakcie – niepodpartym wcześniej nawiązanym kontaktem.

Tego typu komunikacja jest szczególnie wrażliwa prawnie, ponieważ w grę wchodzi przetwarzanie danych osobowych oraz zgoda na otrzymywanie informacji handlowych.

RODO – co mówi na temat cold mailingu?

RODO definiuje jasno zasady przetwarzania danych osobowych. Zgodnie z tymi zasadami dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami („ograniczenie celu”);
  • adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
  • prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
  • przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

W kontekście cold mailingu w większości przypadków przetwarza się dane osobowe – nawet jeśli jest to tylko adres e-mail zawierający imię i nazwisko (np. jan.kowalski@gmail.com). Oznacza to, że powinno się ustalić podstawę prawną dla przetwarzania danych osobowych w związku z cold mailingiem, w rzetelny i przejrzysty sposób poinformować adresata o przetwarzaniu jego danych i zasadach, na jakich dane te są przetwarzane, przetwarzać wyłącznie dane osobowe niezbędne do celu, którego dotyczy podstawa prawna pozwalająca legalnie przetwarzać dane, a także odpowiednio zabezpieczyć dane, aby zapewnić ich integralność i poufność.

Jaka powinna być podstawa prawna przetwarzania danych w ramach cold mailingu?

Zgodnie z ustawą o świadczeniu usług drogą elektroniczną informacja handlowa powinna być wyraźnie wyodrębniana i oznaczana w sposób niebudzący wątpliwości, że jest to informacja handlowa.

Informacja handlowa zawiera:

  • oznaczenie podmiotu, na którego zlecenie jest ona rozpowszechniana, oraz jego adresy elektroniczne;
  • wyraźny opis form działalności promocyjnej, w szczególności obniżek cen, nieodpłatnych świadczeń pieniężnych lub rzeczowych i innych korzyści związanych z promowanym towarem, usługą lub wizerunkiem, a także jednoznaczne określenie warunków niezbędnych do skorzystania z tych korzyści, o ile są one składnikiem oferty;
  • wszelkie informacje, które mogą mieć wpływ na określenie zakresu odpowiedzialności stron, w szczególności ostrzeżenia i zastrzeżenia.

Zgodnie z ustawą Prawo komunikacji elektronicznej do celów przesyłania informacji handlowej, w tym marketingu bezpośredniego, zakazane jest używanie:

  • automatycznych systemów wywołujących;
  • telekomunikacyjnych urządzeń końcowych, w szczególności w ramach korzystania z usług komunikacji interpersonalnej do abonenta lub użytkownika końcowego, chyba że uprzednio wyraził on na to zgodę.

Zgoda musi być uprzednia. Może być ona wyrażona przez udostępnienie przez abonenta lub użytkownika końcowego identyfikującego go adresu elektronicznego, w celu przesyłania informacji handlowej na podany przez abonenta lub użytkownika końcowego adres elektroniczny.

Używanie ww. środków do przesyłania informacji handlowej, w tym marketingu bezpośredniego, nie może odbywać się na koszt użytkownika końcowego lub abonenta.

Działanie wbrew powyższym zasadom stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów Ustawy z dnia 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji.

W praktyce oznacza to, że nie można wysłać e-maila z ofertą, jeżeli adresat nie zgodził się wcześniej na taką komunikację.

Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się odpowiednio przepisy o ochronie danych osobowych.

Warunki wyrażenia zgody w przepisach dotyczących ochrony danych osobowych

W rozumieniu RODO zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Zgoda powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych i która ma formę np. pisemnego (w tym elektronicznego) lub ustnego oświadczenia.

Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.

Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody.

Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.

Jeżeli osoba, której dane dotyczą, ma wyrazić zgodę w odpowiedzi na elektroniczne zapytanie, zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.

Jeśli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą, administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na operację przetwarzania. W szczególności w przypadku pisemnego oświadczenia składanego w innej sprawie powinny istnieć gwarancje, że osoba, której dane dotyczą, jest świadoma wyrażenia zgody oraz jej zakresu.

Oświadczenie o wyrażeniu zgody przygotowane przez administratora powinno mieć zrozumiałą i łatwo dostępną formę, być sformułowane jasnym i prostym językiem i nie powinno zawierać nieuczciwych warunków. Aby wyrażenie zgody było świadome, osoba, której dane dotyczą, powinna znać przynajmniej tożsamość administratora oraz zamierzone cele przetwarzania danych osobowych.

Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.

Aby zapewnić dobrowolność, zgoda nie powinna stanowić ważnej podstawy prawnej przetwarzania danych osobowych w szczególnej sytuacji, w której istnieje wyraźny brak równowagi między osobą, której dane dotyczą, a administratorem.

Zgody nie uważa się za dobrowolną, jeżeli nie można jej wyrazić z osobna na różne operacje przetwarzania danych osobowych, mimo że w danym przypadku byłoby to stosowne, lub jeżeli od zgody uzależnione jest wykonanie umowy – w tym świadczenie usługi – mimo że do jej wykonania zgoda nie jest niezbędna.

Czy uzasadniony interes może być podstawą do cold mailingu?

Jednym z najczęściej rozważanych podstaw do przetwarzania danych w związku z cold mailingiem jest tzw. uzasadniony interes administratora danych (art. 6 ust. 1 lit. f RODO).

Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Taki prawnie uzasadniony interes może istnieć w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, np. gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz.

Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.

W przypadku cold mailingu zwykle nie ma powiązania, które mogłoby stanowić uzasadnienie dla zastosowania tej podstawy przetwarzania.

Przykład 1.

Firma XWZ sp. z o.o pozyskała adresy e-mail osób fizycznych z publicznie dostępnego forum tematycznego, gdzie użytkownicy zamieszczali swoje dane kontaktowe przy okazji prowadzenia dyskusji. Firma wysłała do tych osób wiadomość z ofertą zakupu produktu. Jeden z odbiorców złożył skargę do UODO, twierdząc, że nie wyraził zgody na kontakt. UODO uznał, że firma naruszyła RODO.

Tę podstawę można by rozważać ewentualnie wtedy, gdy wcześniej została od odbiorcy pozyskana zgoda na marketing bezpośredni z wykorzystaniem telekomunikacyjnych urządzeń końcowych wymagana na gruncie ustawy Prawo komunikacji elektronicznej. Taka zgoda może stanowić łącznik z klientem uzasadniający jego interes w przetwarzaniu danych na potrzeby cold mailingu. Tyle tylko, że zwykle przy okazji odbierania zgody na komunikację przedsiębiorcy odbierają ściśle związaną z nią zgodę na przetwarzanie danych osobowych w tym celu.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów