RODO w marketingu. Poradnik LexDigital
Od momentu wejścia w życie RODO w marketingu nastąpiły poważne zmiany. W celu prowadzenia działań marketingowych musimy teraz nie tylko mieć strategię, przeprowadzić analizę grupy docelowej i stworzyć spersonalizowany kontent, ale i zapytać odbiorcę — czy chce i zgadza się na tę personalizację? Innymi słowami: czy możemy przeanalizować i wykorzystać jego dane?
Warto na wstępie zaznaczyć, że prawa osób, których dane dotyczą, w marketingu reguluje nie tylko RODO, ale i Prawo telekomunikacyjne oraz Ustawa o świadczeniu usług drogą elektroniczną. Dokładnie przyjrzymy się temu jednak trochę później.
Otóż punkt pierwszy, droga osobo od marketingu: pozyskaj zgodę od osoby, której dane dotyczą.
Zgoda na przetwarzanie danych osobowych według RODO
O zgodzie na przetwarzanie danych osobowych w celach marketingowych pisaliśmy tutaj i podawaliśmy dokładny wzór tej oto zgody użytkownika końcowego w tym artykule. W tym poradniku chcę przypomnieć, że przy wykorzystaniu danych osobowych w celach marketingowych, Ty, jako administrator danych osobowych, musisz mieć zgodę klientów na wykorzystanie konkretnego kanału komunikacji dla przesyłania treści marketingowych.
RODO wyraźnie zaznacza, że cofnięcie zgody na przetwarzanie danych osobowych w celach marketingowych musi być tak samo łatwe, jak i jej wyrażenie. Czyli nie możesz wymagać od osoby, która wyraziła zgodę na przetwarzanie danych osobowych w celach marketingowych, klikając w checkbox, wysyłki gołębia pocztowego czy wypełnienia miliarda formularzy do cofnięcia zgody.
Dobrze, o zgodzie wiemy, ale przecież żadne działania marketingowe nie zaczynają się od bezpośrednio wysyłania ludziom newsletterów czy spersonalizowanych ofert marketingowych, tylko od analizy danych i grupy docelowej. A więc przechodzimy do drugiego punktu naszego poradnika, czyli profilowanie i RODO w marketingu.
Profilowanie
Jeśli cokolwiek wiesz o jakiejkolwiek analityce w marketingu i umiesz odróżnić CPC od CPL, to prawdopodobnie już miał*ś styczność z profilowaniem.
Profilowanie to nic innego, jak automatyczny proces analizy danych osobowych dla utworzenia charakterystyki lub profilu osoby, co pozwala na personalizację działań marketingowych i usług. Taki profil może obejmować różne informacje, takie jak preferencje zakupowe, nawyki online, preferencje polityczne, zachowania w sieci, a nawet cechy osobowości.
Profilowanie umożliwia Ci nie tylko tworzenie spersonalizowanych ofert marketingowych, ale i również dokładniejsze dopasowanie i prowadzenie marketingu bezpośredniego za pomocą środków komunikacji elektronicznej.
Profilowanie może być zwykłe — takie, które nie podlega szczególnym regulacjom określonym w Rozporządzeniu o ochronie danych osobowych, oraz kwalifikowane. Kwalifikowane profilowanie to taki proces, w którym oprogramowanie automatycznie podejmuje decyzje, które:
- mają znaczący wpływ na sytuację osoby, której dane dotyczą, na przykład, mogą zmieniać warunki umowy;
- wywołują skutki prawne wobec jednostki, której dane są przetwarzane, na przykład, mogą skutkować odmową zawarcia umowy.
W przypadku profilowania zwykłego nie potrzebujesz dodatkowej zgody osób, których dane dotyczą. Natomiast przy użyciu profilowania kwalifikowanego musisz zapytać osoby, których dane dotyczą o odrębną zgodę na profilowanie danych osobowych.
Pamiętaj, że podmiot danych, czyli osoba, której te dane dotyczą, ma prawo na wyrażenie sprzeciwu wobec profilowania, niezależnie od jego rodzaju. Musisz również spełnić obowiązek informacyjny wobec podmiotu danych, gdzie poinformujesz o przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
E-mail marketing i newslettery
Elektroniczna komunikacja marketingowa podlega pod wymogi prawne, które wynikają nie tylko z RODO, ale i z Ustawy o świadczeniu usług drogą elektroniczną oraz z Prawa Telekomunikacyjnego.
RODO w marketingu e-mailowym
Bezpośrednio RODO nie wymaga od nas pozyskania zgody na kontakt mailowy, jeśli z osobą, do której wysyłamy komunikację (e-mail, wiadomości SMS czy MMS) wiąże nas jakaś relacja. Na przykład jest to nasz klient. Wtedy podstawą przetwarzania danych osobowych będzie "prawnie uzasadniony interes administratora danych".
Prawnie uzasadniony interes administratora danych osobowych to podstawa prawna przetwarzania danych osobowych, zgodnie z którą administrator może przetwarzać dane, jeśli istnieje ważny i legalny interes, który nie przeważa nad prawami i wolnościami osoby, której dane dotyczą, oraz jeśli przetwarzanie jest proporcjonalne do celu, jaki administrator chce osiągnąć.
Działania marketingowe podlegają nie tylko pod RODO, dlatego przed wysłaniem elektronicznej komunikacji musisz sprawdzić, czy osoby, z którymi się kontaktujesz, wyraziły zgodę na otrzymywanie informacji handlowych drogą elektroniczną. Wymóg ten wynika z Prawa telekomunikacyjnego oraz z Ustawy o świadczeniu usług drogą elektroniczną. Do osób, które nie wyraziły takiej zgody, przesyłanie informacji handlowej jest zakazane.
Wiesz, że według Sprawozdania PUODO za rok 2022, wysłanie komunikacji elektronicznej czy to SMS przy użyciu numeru telefonu, czy to wiadomości mailowych w celu prowadzenia działań marketingowych bez zgody osoby, której dane dotyczą to jedno z najczęstszych naruszeń różnych organizacji!
Telemarketing
Telemarketing to forma marketingu bezpośredniego, w której przedstawiciele firmy lub agencji marketingowej dzwonią do klientów, lub klientów potencjalnych, aby zachęcić ich do zakupu, zawarcia umowy lub uczestnictwa w danej promocji.
Sytuacja z telemarketingiem jest podobna do tej z e-mail marketingiem. Samo RODO nie wymaga zgody, jeśli możemy powołać się na prawnie uzasadniony interes administratora danych. Natomiast używanie telekomunikacyjnych urządzeń końcowych do kontaktowania się z użytkownikami podlega również pod Ustawę Prawa telekomunikacyjnego.
Zgody od osoby, której dane dotyczą, wymaga Prawo telekomunikacyjne, które wprost zakazuje użycia telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że użytkownik końcowy uprzednio wyraził na to zgodę.
Potrzebujesz dokładnego wzoru zgody dla prowadzenia marketingu bezpośredniego przy użyciu telekomunikacyjnych urządzeń końcowych czy wzory zgody na przetwarzanie danych osobowych w postaci adresu poczty elektronicznej i innych informacji potrzebnych dla celów marketingu bezpośredniego? Sprawdź nasz artykuł Działania marketingowe zgodne z RODO.
Konkursy
Przeprowadzenie konkursów jest wyzwaniem samym w sobie: musisz klarownie określić zasady, zachęcić ludzi do udziału, rozreklamować konkurs, po czym wybrać zwycięzcę w taki sposób, by nikt nie miał pretensji.
Od strony prawnej masz również do podjęcia kilka ważnych kroków. Podzielmy je na trzy etapy: przed w trakcie i po konkursie.
Przed konkursem, czyli w trakcie przygotowania całej akcji:
Po pierwsze wyraźnie określ, dlaczego zbierasz dane osobowe uczestników konkursu. Czy jest to w celu wyboru zwycięzców, dostarczania nagród, kontaktowania się z uczestnikami lub do celów marketingowych? Kiedy określisz taki cel, przygotuj dla uczestników informacje o celach przetwarzania danych osobowych, okresie przechowywania danych, a gdy nie jest to możliwe o kryteriach ustalania takiego okresu. Uwzględnij również informacje o rodzaju danych zbieranych i prawach uczestników związanych z danymi. Najlepszym rozwiązaniem będzie, jeśli te informacje zawrzesz w polityce prywatności lub regulaminie konkursu.
Obowiązek informacyjny, który Ty, jako administrator danych, musisz spełnić to również w szczególności konieczność informowania podmiotu danych o źródle pochodzenia jego danych osobowych, chyba że te dane zostały pozyskane bezpośrednio od osoby, której dane dotyczą. Czyli osoba przyszła i sama udostępniła Ci swoje dane, a nie pozyskałeś te dane od partnerów czy z innych zewnętrznych baz danych.
Podczas trwania konkursu
Pierwsze co musisz zrobić po rozpoczęciu konkursu to dostarczyć uczestnikom informacje o przebiegu konkursu i przetwarzaniu danych osobowych. Pamiętaj, że te informacje muszą być łatwo dostępne dla użytkowników w każdym momencie trwania aktywacji konsumenckiej.
Najczęściej zasady przetwarzania danych w konkursach regulowane są zapisami w regulaminie.
Żeby prowadzić działania marketingowe, zgodnie z RODO, w tym organizować różne aktywacje konsumenckie musisz pamiętać o zasadzie minimalizacji danych. Czyli, zbieraj tylko te dane, które są niezbędne do celów konkursu. Nie zbieraj nadmiernych informacji ani danych, których nie będziesz używać.
Przykładowo: nie potrzebujesz danych adresowych od wszystkich uczestników konkursu (chyba że zamierzasz się kontaktować za pomocą wiadomości listownych), a więc możesz poprosić o takie informacje tylko zwycięzców, żeby wysłać im prezent.
Kolejna ważną rzeczą jest zapewnienie uczestnikom konkursu ich praw, związanych z ochroną danych osobowych. Osoby, których dane dotyczą, muszą mieć prawo dostępu do swoich danych oraz prawo do ich usunięcia po zakończeniu konkursu, o ile nie istnieją przeciwwskazania prawne do przechowywania danych (np. w celu rozstrzygnięcia sporów). Takie osoby mają również prawo do wniesienia sprzeciwu wobec przetwarzania. W takim przypadku musisz zaznaczyć, że wniesienie takiego sprzeciwu jest równoznaczne z rezygnacją z udziału w konkursie.
No i ogłoszenie wyników, czyli sam koniec. Proces losowania zwycięzców powinien być transparentny i uczciwy. Ogłoszenie wyników powinno zawierać tylko imiona lub pseudonimy zwycięzców, aby chronić ich prywatność.
Po konkursie
Rozdanie nagród to końcowy etap konkursu, ale nie koniec ochrony danych osobowych. Czeka na Ciebie dalsze przetwarzanie danych osobowych. Zachowaj dane osobowe uczestników przez okres niezbędny do realizacji celów konkursu, a następnie usuń je lub anonimizuj. Jeśli zamierzasz korzystać z danych uczestników w celu marketingu bezpośredniego, upewnij się, że uzyskałeś na to zgodę. Poinformuj ich o celach takiego kontaktu i umożliw im łatwy sposób rezygnacji z otrzymywania takich komunikatów.
W każdym wypadku, kiedy prowadzisz działania marketingowe na dużą skalę, warto skonsultować się z ekspertem prawnym, specjalizującym się w ochronie danych osobowych, aby upewnić się, że konkurs jest zgodny z przepisami RODO i innymi przepisami dotyczącymi prywatności. Potrzebujesz pomocy ekspertów od ochrony danych osobowych? Napisz do nas!
Programy lojalnościowe
Prowadzenie programów lojalnościowych podlega nie tylko pod RODO, ale i pod Prawo telekomunikacyjne i Ustawę o świadczeniu usług drogą elektroniczną, tak samo, jak e-mail marketing.
Podobnie, jak w email-marketingu możesz powołać się na prawnie uzasadniony interes administratora danych, jeśli chodzi o RODO. Jeśli planujesz realizować program lojalnościowy w formie elektronicznej, to musisz uzyskać zgodę w rozumieniu ustawy prawo telekomunikacyjne i UŚUDE.
Wykorzystywanie i rozpowszechnianie wizerunku
Mówiąc w kontekście działań marketingowych, warto też wspomnieć o wizerunku. Wizerunek to zespół cech człowieka podlegających percepcji za pomocą zmysłu wzroku. Ten zespół cech jest na tyle charakterystyczny, że pozwala na identyfikację konkretnych osób. Nośnikiem wizerunku może być np. obraz, fotografia, płyta CD. Należy pamiętać, że wizerunek nie oznacza tylko naszej twarzy, ale całą postać.
Używamy takiego wizerunku do reklamy, żeby pokazać zespół, który u nas pracuje lub żeby pochwalić się zwycięzcami konkursów. Administrator danych musi pamiętać, że na wykorzystanie wizerunku osoby, potrzebna jest zgoda. Osoba, której dane dotyczą, ma również zawsze możliwość niewyrażenia zgody w odniesieniu do poszczególnych kanałów komunikacji.
Więcej o ochronie wizerunku pisaliśmy w tym artykule, a dokładny wzór zgody na wykorzystanie wizerunku znajdziesz tutaj.
Podsumowanie
Prowadzenie działań marketingowych zgodnych z RODO, choć może wydawać się dużym wyzwaniem, nie jest w zasadzie tak skomplikowane. To, o czym musisz zawsze pamiętać, to o uczciwym pobieraniu zgód oraz informowaniu użytkowników, w jaki sposób przetwarzasz ich dane. Doprowadzi to do bardziej etycznego i spersonalizowanego podejścia do marketingu, a w konsekwencji do większego zaufania klientów do Twojej firmy.