Prowadzenie działań marketingowych musi odbywać się z poszanowaniem ochrony danych osobowych. Regulacje w tym zakresie nie są precyzyjne, a nowe przepisy ustawy - Prawo komunikacji elektronicznej (PKE), które weszły w życie 10 listopada 2024 r., wymuszają na administratorach danych podjęcie działań dostosowawczych - szczególnie w kontekście pozyskiwania zgód na marketing bezpośredni.
Doktor Paweł Litwiński, adwokat i specjalista w zakresie ochrony danych osobowych, wyjaśnił kilka praktycznych problemów, jakie pojawiają się w związku z podejmowanymi przez podmioty działaniami o charakterze marketingowym (takimi jak pozyskiwanie zgód na marketing, przesyłanie ofert handlowych, wykorzystywanie jako podstawy przetwarzania danych uzasadnionego interesu administratora, wykorzystywanie różnych kanałów do komunikacji z klientami oraz tzw. cold calling).
Jakie obowiązki mają firmy w relacjach B2B w świetle PKE (np. cold calling)? Czy wystarczy zgoda na kontakt handlowy i przekazanie kontrahentowi (firmie) klauzuli informacyjnej RODO?
Cold calling jest niedopuszczalny na gruncie art. 398 PKE. Żeby więc zgodnie z prawem używać telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów przesyłania informacji handlowej trzeba:
a) mieć zgodę z art. 398 PKE;
b) mieć podstawę przetwarzania danych osobowych, o ile do takiego przetwarzania dochodzi;
c) wykonać inne obowiązki związane z przetwarzaniem danych osobowych, czyli np. przekazać informacje z art. 13 RODO.
Czy można wykorzystywać pozyskane numery telefonu lub adresy e-mail (z CEDiG, KRS, tablic informacyjnych na placach budowy) do kontaktu z potencjalnymi klientami w celu przedstawienia oferty handlowej?
W jakich przypadkach wymagana jest zgoda na taki kontakt, a w jakich nie?
Czy pierwszy kontakt telefoniczny lub e-mail może być w celu uzyskania takiej zgody?
Odpowiadając po kolei.
1) Tak, o ile kontakt nie odbywa się przy pomocy telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących.
2) Zgoda jest wymagana w przypadku wykorzystania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów przesyłania informacji handlowej (zgoda z art. 398 PKE).
3) Niestety, zgodnie z omawianymi w czasie szkolenia stanowiskami Prezesa UOKiK, nie.
Czy wysyłanie mailingu do JST na ogólnodostępne adresy mailowe z BIP wymaga uzyskania wcześniejszej zgody? Czy stanowi to niezamówioną informację handlową?
O ile adresy nie mają charakteru danych osobowych, to w ogóle nie stosujemy tutaj RODO. Natomiast PKE niestety nie widzi różnicy między kontaktami B2C, a B2B, więc na gruncie art. 398 PKE takie działanie wymaga wcześniejszej zgody (a zapytanie o zgodę przy użyciu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących w sytuacji jej braku też jest niedopuszczalne).
Czy email firmowy to dane osobowe, których przetwarzanie i wykorzystanie wymagają zgody?
To zależy od treści adresu: adres typu imię[email protected] to oczywiście dane osobowe; adres typu [email protected] z kolei nie ma charakteru osobowego.
Kto powinien być adresatem komunikacji marketingowej kierowanej do osoby prawnej, której reprezentant wyraził zgodę marketingową? Czy komunikacja marketingowa może być w takim wypadku kierowana do wszystkich pracowników spółki, czy raczej do osoby wskazanej jako osoba kontaktowa, czy też wyłącznie z wykorzystaniem ogólnych danych kontaktowych spółki?
Adresatem powinna być ta osoba prawna. Komunikacja kierowana do jej pracowników to inny rodzaj komunikacji i inny cel przetwarzania danych.
Czy aby przedstawić ofertę, kalkulację ubezpieczeniową zakładów ubezpieczeń, z którymi współpracuje agent ubezpieczeniowy, podstawą przetwarzania jest uzasadniony interes prawny administratora, uzyskanie zgody na ten cel czy uzyskanie odrębnej zgody w rozumieniu art. 398 PKE?
Ważne jest ustalenie, jakim kanałem komunikacji ma zostać przedstawiona oferta, to jest tutaj kluczowe. Istotne jest także, czy inicjatywa zawarcia umowy wyszła od klienta, czy od agenta. Jeżeli w grę wchodzi wykorzystanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących i inicjatywa zawarcia umowy wyszła od klienta, wówczas wystarcza zgoda z art. 398 PKE; jeżeli w grę wchodzi wykorzystanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących i inicjatywa zawarcia umowy nie wyszła od klienta, wówczas potrzebna będzie zgoda z art. 398 PKE i podstawa przetwarzania danych osobowych – może to być zgoda albo uzasadniony interes. Jeżeli w grę wchodzi wykorzystanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących i inicjatywa zawarcia umowy wyszła od klienta, wówczas nie jest potrzebna zgoda z art. 398 PKE, a podstawę przetwarzania stanowi niezbędność podjęcia działań przed zawarciem umowy; jeżeli w grę nie wchodzi wykorzystanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących i inicjatywa zawarcia umowy nie wyszła od klienta, wówczas podstawą przetwarzania danych będzie uzasadniony interes, a zgoda z art. 398 PKE jest zbędna.
Pytanie dotyczy starszych zgód (udzielonych przed 10.11.2024) - czy one nadal obowiązują?
Tak, o ile w chwili ich udzielania odpowiadały wymaganiom, jakie dla zgód formułują przepisy RODO.
Czy podanie adresu email w polu zapisu do newsletteru można odczytywać jako wyraźnie działanie potwierdzające w kontekście wyrażenia zgody na przesyłanie newsletteru? Czy konieczność zaznaczenia checkboxa np. „zapoznałem się z obowiązkiem Informacyjnym (+link do PP)” przed wysłaniem ww. formularza może zastąpić prezentację obowiązku informacyjnego?
Tak, podanie adresu email w sytuacji, gdy osoba go podająca ma świadomość tego, co to podanie znaczy (zgoda świadoma) może zostać uznane za wyraźne działanie potwierdzające. Nie, informacje muszą być przekazane i nie zastąpi tego zaznaczenie checkboxa (ale proszę też pamiętać o warstwowym wykonywaniu obowiązku informacyjnego).
Czy może być pozyskana 1 zgoda na 1 cel - marketing, ale na 2 kanały komunikacji?
Tak, ale pod warunkiem, że istnieje możliwość wyboru tych kanałów komunikacji, np. poprzez suwaki, czy czekboksy. Proszę też pamiętać, że w sytuacji komunikacji marketingowej, ujęcie celu przetwarzania jako „marketing” nie jest prawidłowe.
Powyższe pytania zostały zadane podczas szkolenia online, pt.: „Dane osobowe w marketingu – jak wybrać właściwą podstawę przetwarzania danych?”. Nagranie ze szkolenia jest dostępne w programie LEX Ochrona Danych Osobowych. Jeśli nie podsiadasz dostępu do programu, zamów dostęp testowy o obejrzyj nagranie.
