Poradnik Przedsiębiorcy

RODO a działania marketingowe - co spowodowały nowe zmiany prawne?

Wpływ RODO – Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – na polski porządek prawny jest niebagatelny. Każdy przedsiębiorca przetwarzający dane osobowe swoich pracowników i klientów musiał dostosować prowadzoną działalność do nowych regulacji. Niewątpliwie temat RODO a działania marketingowe jest jak najbardziej aktualny i warto przyjrzeć się mu bliżej. 

RODO a działania marketingowe - czy dane będą bardziej bezpieczne?

Głównym założeniem RODO jest zapewnienie pełnej ochrony pozyskiwanych i przetwarzanych danych osobowych. Na podmiotach będących w posiadaniu danych osobowych innych osób ciąży szereg obowiązków, zarówno w zakresie systemów zabezpieczeń danych, jak i w zakresie obowiązków informacyjnych względem osób, których dane dotyczą. RODO obowiązuje we wszystkich krajach Unii Europejskiej, a zatem nawet w przypadku przedsiębiorców, których działalność skupia się na podmiotach zagranicznych, istnieje konieczność wdrożenia wspomnianych przepisów i regulacji.
W skrócie!
Regulacje RODO nie uniemożliwiają prowadzenia działań marketingowych, lecz przedsiębiorcy wykorzystujący tego rodzaju narzędzia będą musieli wykazać się należytą starannością i dostosować swoje działania do nowych wymogów.

Minimalizacja danych - RODO a działania marketingowe

Z uwagi na to, że marketing, zwłaszcza marketing za pośrednictwem internetu (wiadomości e-mailowych, newsletterów, serwisów społecznościowych, aplikacji, reklam typu pop up, itd.) posługuje się danymi osobowymi, rozwiązania wprowadzane przez RODO nie mogą pozostać bez wpływu na tę dziedzinę.

Jedną z podstawowych zasad, o której musi pamiętać każdy przedsiębiorca wykorzystujący w swojej działalności działania marketingowe, jest zasada minimalizacji danych osobowych. Zgodnie z nią przedsiębiorca może pozyskiwać tylko takie dane, które są rzeczywiście konieczne w celu spełnienia celów działalności.
RODO posługuje się zasadą minimalizacji danych osobowych, co oznacza, że przedsiębiorcy są uprawnieni do pozyskiwania tylko danych osobowych, które są konieczne i niezbędne do wykonywania ich działalności. Niedopuszczalne jest pozyskiwanie i gromadzenie danych dodatkowych, na wypadek ewentualnego wykorzystania w przyszłości.

W praktyce oznacza to, iż jeśli przedsiębiorca w swojej działalności wykorzystuje np. newslettery przesyłane za pośrednictwem wiadomości mailowych, nie musi zbierać danych w postaci adresów korespondencyjnych lub numerów telefonów. Przykładowo, jeśli przedsiębiorca oferuje swoim klientom możliwość pobrania bezpłatnej aplikacji, nie może żądać żadnych danych, które byłyby niezbędne ponad miarę konieczną do korzystania z aplikacji.

Działania marketingowe a RODO - uzasadnione pobieranie danych

Przedsiębiorcy wykorzystujący w swojej działalności marketing internetowy (a także wszystkie inne rodzaje marketingu) muszą zwrócić szczególną uwagę na sposób pozyskiwania danych. Jedną z podstawowych zasad prawa jest zasada mówiąca o tym, że prawo nie działa wstecz. Oznacza to, iż zgody pozyskane uprzednio, przed wejściem w życie przepisów RODO, są zgodne z prawem, o ile oczywiście przedsiębiorca dostosował się do obowiązujących uprzednio przepisów. Przedsiębiorca winien jednak zbadać, czy rzeczywiście uzyskał zgody na przetwarzanie i przechowywanie tych danych i w razie potrzeby zaktualizować posiadane przez siebie informacje oraz oświadczenia.

Podstawą pozyskiwania danych dla celów marketingowych jest uzyskanie jasnej i wyraźnej zgody osób, których dane te dotyczą.

Przedsiębiorca musi pamiętać, że aby pozyskiwać, musi wykazać podstawę takiego działania. W świetle aktualnie obowiązujących przepisów nie jest możliwe pozyskiwanie danych bez wyraźnie uzasadnionej potrzeby. Przykładowo, jeśli przedsiębiorca na swojej stronie oferuje możliwość podania swojego adresu e-mail w celu przesłania określonego e-booka, nie daje mu to możliwości przesyłania innych informacji lub ofert.  

Jasne i czytelne komunikaty dla klientów

RODO nakłada na podmioty przechowujące i przetwarzające dane osobowe szereg obowiązków – zasada ta działa również w drugą stronę, jednocześnie RODO przyznaje bowiem osobom fizycznym szeroki katalog uprawnień związanych z ochroną należących do nich danych osobowych.

Administrator musi informować osoby fizyczne o:

  • pobieraniu i zasadach przechowywania ich danych osobowych;

  • celu, w jakim dane są pobierane i przechowywane;

  • prawie do bycia “zapomnianym”, które oznacza żądanie do usunięcia wszystkich pozyskanych uprzednio danych osobowych;

  • prawie do zaktualizowania informacji posiadanych przez administratora;

  • prawie do przeniesienia danych;

  • prawie do pozyskania kopii danych przechowywanych przez przedsiębiorcę.

Wszystkie przesyłane wiadomości dotyczące zasad ochrony danych osobowych muszą być napisane prostym i czytelnym językiem, zrozumiałym dla każdego odbiorcy.

Wszystkie informacje, które przedsiębiorca przekazuje swoim klientom, dotyczące ochrony ich danych osobowych, muszą być czytelne i zrozumiałe.

Zgody, oświadczenia i wszelkie informacje przekazywane klientom winny być skonstruowane w możliwie jak najbardziej przystępnej formie, z pominięciem prawniczych sformułowań i skomplikowanych definicji. Celem tej regulacji jest jednoznaczne ustalenie, że osoba fizyczna posiada pełną wiedzę na temat tego, jakie dane osobowe przekazuje i w jaki sposób zostaną one wykorzystane.

Śledzenie i profilowanie

Wszyscy przedsiębiorcy, którzy w prowadzonych przez siebie działaniach marketingowych wykorzystują wspomniane powyżej działania, muszą pozyskać wyraźne zgody klientów na takie czynności. Profilowanie potencjalnych klientów jest szczególnie cenne w działalności wielu przedsiębiorców i pozwala na zautomatyzowane obserwowanie zachowań klientów oraz dokonywanie ich analizy pod kątem oferty przedsiębiorcy. Badanie zachowań konsumentów w świetle obowiązujących aktualnie przepisów jest możliwe tylko po uzyskaniu świadomej zgody konsumenta na takie działania. Każda osoba fizyczna musi mieć świadomość tego, iż jej zachowania i preferencje mogą być rejestrowane i wykorzystywane w działaniach marketingowych przedsiębiorcy. Przedsiębiorca winien również dokładnie zbadać, do kogo kieruje swoją ofertę, zgodnie z nowymi regulacjami niedopuszczalne jest bowiem profilowanie osób małoletnich

Śledzenie i profilowanie, jak wszystkie inne czynności dotyczące danych osobowych, wymagają zgody użytkownika. Przedsiębiorca chcący wykorzystywać te funkcje w swoich działaniach marketingowych, musi zadbać o pozyskanie zgód i oświadczeń.

Przedsiębiorca powinien również zadbać o zasady, na jakich podstawie dokonuje śledzenia użytkowników przeglądających należące do niego strony internetowe. Należy pamiętać, iż każdy użytkownik przeglądający stronę internetową ma prawo do odmowy śledzenia jego aktywności.

Dane klientów pozyskanych muszą być chronione

Przedsiębiorcy muszą zadbać nie tylko o sam proces pozyskiwania i przetwarzania danych osobowych w toku działań marketingowych, lecz również o zabezpieczenie danych otrzymanych. W tym celu najlepszym rozwiązaniem będzie przeprowadzenie audytu RODO, który ma na celu dokonanie kompleksowej analizy posiadanych przez podmiot danych oraz sposobu ich dotychczasowej ochrony, a następnie zaproponowanie rozwiązań, które będą skuteczne z punktu widzenia zabezpieczenia posiadanych baz danych.

RODO nie precyzuje, jakie dokładnie metody i sposoby ochrony danych powinny być zastosowane, co zapewnia przedsiębiorcom znaczną dowolność w dobraniu takich rozwiązań, które będą najbardziej optymalne z punktu widzenia prowadzonej przez nich działalności. Rozporządzenie RODO promuje takie rozwiązania, jak np. szyfrowanie danych albo ich pseudonimizacja, która może okazać się metodą szczególnie cenną przy prowadzeniu badań statystycznych i dostosowaniu oferty przedsiębiorcy do zapotrzebowania na rynku.  

Bez wątpienia zabezpieczenie danych posiadanych przez przedsiębiorcę jest kluczowym elementem funkcjonowania zgodnego z aktualnymi wymogami. Każdy przedsiębiorca musi liczyć się z tym, iż działalność jego przedsiębiorstwa może zostać skontrolowana przez organ nadzorczy i w toku tego rodzaju kontroli będzie musiał być zdolny wykazać, iż poprawnie wykonuje swoje obowiązki związane z ochroną danych osobowych.

Podsumowując, temat RODO a działania marketingowe, można wskazać, że przepisy nie wykluczają prowadzenia szeroko pojętych działań reklamowych. Wszystkie podejmowane przez przedsiębiorcę akcje oraz promocje winny być jednak wykonywane z poszanowaniem aktualnych regulacji dotyczących ochrony danych osobowych. Z uwagi na zagrożenie wielomilionowymi karami, przedsiębiorcy winni uważnie stosować się do zaleceń RODO.