Marketing bezpośredni – mailing (e-mail marketing) i calling według RODO

Zewsząd słychać o rewolucji jaką ma przynieść Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO)dla mailingu i callingu.

RODO nie zmienia tego, że możliwe jest – po spełnieniu kilku warunków – stosowanie działań marketingu bezpośredniego. Istotne w stanie prawnym po wejściu w życie RODO jest przede wszystkim to, że nadal rozpatrujemy podstawy prawne dla mailingu i callingu w oparciu nie tylko o RODO czy projektowaną ustawę o ochronie danych osobowych, ale z uwzględnieniem ustawy z dnia z 16.07.2004 r. – Prawo telekomunikacyjne (t.j. Dz.U. z 2017 r. poz. 1907) oraz ustawy z dnia 18.07.2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2017 r. poz. 121).

Współcześnie przedsiębiorcy, aby dotrzeć do klienta z ofertą często stosują działania marketingowe polegające na wysyłaniu wiadomości e-mail lub kontaktują się telefonicznie. Marketingiem bezpośrednim zajmują się także podmioty w tym wyspecjalizowane, które na zlecenia przedsiębiorców realizują akcje promocyjne lub reklamowe.

CZY RODO ZMIENIA ZASADY STOSOWANIA MARKETINGU?

RODO w zakresie marketingu bezpośredniego stanowi niewiele. Zdaje się, że RODO tak, jak przy wielu innych zagadnieniach ochrony danych osobowych – nie narzuca rozwiązań, ale określa zasady, w granicach których należy poruszać się, aby dane osobowe były chronione zgodnie z prawem.

W motywie 47 preambuły RODO wskazuje, że za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Z kolei według art. art. 6 ust. 1 lit. f RODO przetwarzanie danych osobowych jest zgodne z prawem jeżeli jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem. Oznaczałoby to, że generalnie możemy realizować działania marketingu bezpośredniego z powołaniem na prawnie uzasadnione interesy administratora bez konieczności uzyskiwania zgód odbiorców na kontakt w celach marketingowych. Przepis nie jest jednak “zerojedynkowy” i każe rozpatrywać indywidualny przypadek pod względem ważenia interesów – administratora oferującego produkty i usługi a prywatności i dóbr osobistych osoby fizycznej.

RODO dodaje przy tym w motywie 70 preambuły (oraz powtarza w art. 21 pkt 2 i 3 RODO), że jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, powinna mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec tego przetwarzania, pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Wymaga się także, aby informacja o prawie do sprzeciwu powinno być przedstawione wyraźnie i odbiorca mógł go wyrazić wobec przetwarzania jego danych osobowych w prosty sposób.

Przepisy RODO podobne są więc do przepisów ustawy z 29.08.1997 r. o ochronie danych osobowych. W art. 23 ust. 1 pkt 5 wskazywano, że dane osobowe mogą być przetwarzane z uwagi na tzw. klauzulę prawnie usprawiedliwionego celu administratora danych osobowych, którym mógł być marketing bezpośredni. Klauzula prawnie uzasadnionych interesów jest jedną z podstaw prawnych pozwalających na przetwarzanie danych bez konieczności ubiegania się o zgodę osoby, której dane dotyczą (por. Komentarz do artykułu 21 RODO Litwiński 2018, wyd. 1 Litwiński, Barta, Kawecki). Na gruncie ustawy o ochronie danych osobowych (co przez podobieństwo uregulowania możemy nadal odnieść do RODO) NSA w wyroku z 21.11.2002 r. (II SA 2247/01, niepubl.) stwierdził, że przetwarzanie danych nie jest zawsze uzależnione od zgody osoby, której dane dotyczą.

W naszej ocenie gdyby brać pod uwagę wyłącznie regulacje RODO prawnie dopuszczalne jest przetwarzanie danych osobowych przez administratora danych w celu marketingu własnych produktów i usług, jak i posługując się na zlecenie zewnętrznym podmiotem wyspecjalizowanym w akcjach marketingu bezpośredniego.

Pojawia się pytanie co zatem zmienia RODO dla stosujących mailing i calling. RODO kładzie nacisk na to, aby osoba fizyczna mogła w prosty sposób cofnąć swoją zgodę, o czym powinna być poinformowana wraz ze wskazaniem drogi rezygnacji już w momencie wyrażania tej zgody.

Ponadto, RODO rozszerza zakres obowiązku informacyjnego wobec osób fizycznych, których dane chcemy przetwarzać, np. w celach marketingu bezpośredniego. Przy zbieraniu danych lub przy pierwszej komunikacji (w zależności od źródła pochodzenia danych) należy podać dane administratora danych, inspektora ochrony danych (jeżeli został powołany), cele przetwarzania, podstawę prawną przetwarzania, informacja o odbiorcach, zamierzonym przekazaniu poza Unię Europejską, okres przechowywania, informacje o uprawnieniach podmiotu, konsekwencjach niepodania danych oraz czy będą wykorzystywane do profilowania.

Należy przy tym także zwrócić uwagę, że RODO owszem pozwala przetwarzać dane z powołaniem nie tyle na zgodę podmiotu, ale prawnie uzasadniony interes administratora, to czyni wyjątek w zakresie danych osobowych dzieci oraz zjawiska profilowania. Tutaj wymagana jest jednoznaczna zgoda podmiotu danych osobowych (w przypadku dzieci przedstawiciela ustawowego).

RODO zatem – pomimo rozszerzenia wymogów formalnych – zakłada możliwość po wyważeniu interesów administratora i osoby fizycznej na przetwarzanie jej danych osobowych w celach mailingu lub callingu z powołaniem na art. 6 ust. 1 lit. f (prawnie uzasadniony interes administratora danych). Aby jednak uzyskać cały obraz prawnej regulacji marketingu bezpośredniego musimy zwrócić się do – w naszej ocenie bardziej restrykcyjnych niż RODO ustaw – ustawy Prawo telekomunikacyjne (odnoszącej się głównie do callingu) oraz ustawy o świadczeniu usług drogą elektroniczną (mającej zastosowanie do mailingu).

SZCZEGÓŁOWE REGULACJE W ZAKRESIE CALLINGU

Zgodnie z obowiązującym art. 172 ustawy Prawo telekomunikacyjne zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Zakaz ten jest szeroki, bo dotyczy i osób fizycznych i podmiotów niebędących osobami fizycznymi (np. spółki). Oznacza to, że prowadzenie akcji marketingowych jest dozwolone wyłącznie pod warunkiem uprzedniej zgody, która nie może być wnioskowana z innych zgód lub oświadczeń (art. 174 tejże ustawy), zarówno w zakresie produktów i usług własnych, jak i cudzych (por. komentarz do art. 172 Prawo telekomunikacyjne Piątek 2013, wyd. 3, Piątek).

Posługując się zatem całościowo regulacją RODO i ustawy Prawo telekomunikacyjne należy stwierdzić, że działania calling marketingu możemy prowadzić tylko za zgodą odbiorcy, jednocześnie dopełniając wymogów informacyjnych z RODO, czy umożliwiając odbiorcy wykonanie prawa sprzeciwu wobec przetwarzania jego danych osobowych. Obowiązki te obciążają zarówno administratora danych, jak podmiot na jego zlecenie zajmujący się akcją marketingową.

W praktyce zatem podmioty chcące przeprowadzić calling marketing powinny umieć udowodnić, że dopełniły wymogów prawnych, co oznacza konieczność nagrywania rozmów i skrupulatnego realizowania żądań odbiorców w zakresie uprawnień (np. prawa do sprzeciwu).

Co więcej, w przypadku zaistnienia niezgodności prowadzenia callingu z przepisami prawa ewentualne kary pieniężne mogą zostać nałożone na oba podmioty – administratora i call center działający na jego zlecenie (vide: uchwała SN z dnia 17.02.2016 r., sygn. akt III SZP 7/15).

SZCZEGÓŁOWE REGULACJE W ZAKRESIE MAILINGU

Zgodnie z art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną

zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.

Oznacza to, że można kierować do osób fizycznych (nie obejmuje to więc podmiotów niebędących osobami fizycznymi – taki stan prawny mamy od 2013 r.) działań marketingowych w formie e-mail gdy taka osoba wyraziła na to zgodę, a szczególnie gdy w tym właśnie celu udostępniła swój adres e-mail.

Akcje mailingowe zatem także w sposób legalny nie mogą odbywać się bez zgody osób fizycznych, stąd konieczność uzyskania zgody na przesyłanie informacji handlowych środkami komunikacji elektronicznej. RODO tego wymogu nie modyfikuje.

Trzeba przy tym pamiętać, aby informacja o zgodzie nie zawierała w sobie już haseł marketingowych (oferty).

PODSUMOWANIE

Marketing bezpośredni w formie mailingu lub callingu według unijnego i polskiego ustawodawcy na tyle może ingerować w prywatność i dobra osób fizycznych, że zastrzega się szereg obowiązków dla przedsiębiorców, którzy chcą w ten sposób oferować swoje produkty i usługi. W szczególności mowa o konieczności uzyskiwania zgody podmiotów na kontakt telefoniczny i za pomocą poczty elektronicznej dla działań marketingowych.

Podsumowując, należy wymienić co przedsiębiorca według stanu po wejściu w życie RODO musi zrobić, aby legalnie prowadzić działania marketingu bezpośredniego.

Prowadząc akcje marketingowe (mailing, calling) w stosunku do osób fizycznych, należy uzyskać zgodę na wysyłanie informacji handlowych drogą elektroniczną za pośrednictwem środków komunikacji elektronicznej, na używanie urządzeń końcowych i automatycznych systemów wywołujących w celu marketingu bezpośredniego. Względnie – choć nie ma wyraźnego wymogu w regulacjach RODO – można uzyskać zgodę na przetwarzanie danych osobowych w celach marketingowych (wtedy podstawą przetwarzania będzie ta zgoda, nie zaś prawnie uzasadniony interes administratora danych). Warto wziąć także pod uwagę interpretację dopuszczalności powoływania się wyłącznie na uzasadniony interes administratora wyrażoną w wyroku WSA w Warszawie z dnia 19.11.2013 r., sygn. akt II SA/Wa 1241/13, zgodnie z którym:

“Przetwarzanie danych nie może opierać się jedynie na przesłance prawnie usprawiedliwionego celu realizowanego przez administratora danych, wymagane jest, by było ono podyktowane niezbędnością i nie naruszało praw i wolności osoby, której dane dotyczą. Ocena ta ma służyć wyważeniu racji i interesów, z jednej strony osoby, której dane dotyczą, mającej objęty ochroną prawną interes, aby jej dane osobowe nie były przetwarzane bez jej zgody, a z drugiej strony – administratora danych, który ma także objęty ochroną prawną interes polegający na tym, że ma prawo realizować prawnie usprawiedliwione cele i uprawnienia“

Z kolei w stosunku do innych przedsiębiorców (w tym spółek, osób fizycznych prowadzących działalność gospodarczą) należy uzyskać zgodę: na używanie urządzeń końcowych i automatycznych systemów wywołujących w celu marketingu bezpośredniego, na wysyłanie informacji handlowych drogą elektroniczną w przypadku kierowania e-mail do konkretnego pracownika lub imiennie osoby fizycznej prowadzącej działalność gospodarczą.

WAŻNE – cechą zgody – co wprost wyraża RODO – jest jej dobrowolność (!), tj. nie można łączyć wykonania umowy (np. wykonania usługi, zamówienia towarów) od wyrażenia zgody na przetwarzanie danych osobowych w celach marketingu. Zgody uzyskiwane przez przedsiębiorców przed wejściem w życie RODO są nadal aktualne i nie ma potrzeby ich ponawiania.

Celem RODO jest wprowadzenie odpowiednich do skali i charakteru działalności zabezpieczeń danych osobowych. Toteż przy okazji marketingu bezpośredniego w wypełnieniu obowiązków RODO przedsiębiorca ma zapewnić zabezpieczenie baz z danymi osobowymi osób, do których kieruje oferty lub ma zamiar kierować, archiwizację dowodów uzyskiwania zgód (np. nagrań, zgód w formie checkbox’ów, e-maili itp.).

Przedsiębiorcy zatem powinni zweryfikować swoją działalność pod kątem spełniania nowych wymogów informacyjnych (w szczególności w treści uzyskiwanych zgód), a także przygotować się pod względem zabezpieczeń organizacyjno-technicznych co do baz danych osobowych oraz w zakresie wykonywania szerokiego zakresu uprawnień podmiotów danych osobowych, które poszerza RODO.

Same bowiem podstawy dla możliwości prowadzenia mailingu i callingu po wejściu w życie z powodu obowiązywania ustaw szczególnych nie zmienią się.

FAQ

Czy RODO dopuszcza marketing bezpośredni?

RODO co do zasady nie zawiera wyczerpujących regulacji prawnych dla marketingu bezpośredniego. RODO jako akt prawny reguluje w tym kontekście ogólne zasady, których trzeba przestrzegać, stosując calling czy mailing. Jedną z takich zasad jest na przykład przetwarzanie danych w oparciu o jasną zgodę osoby fizycznej oraz umożliwienie tej osobie wycofanie takiej zgody w dowolnym momencie.

O czym należy pamiętać w kontekście RODO w marketingu bezpośrednim?

Przede wszystkim trzeba pamiętać, aby marketing bezpośredni był zgodny nie tylko z zasadami przetwarzania danych osobowych, które umieszczono w RODO, ale także z ustawą o świadczeniu usług drogą elektroniczną. Aby marketing bezpośredni był zgodny z prawem (w szerokim tego słowa znaczeniu), warto skonsultować pomysły i procedury ze specjalistami w zakresie ochrony danych osobowych.

Czy kary za naruszenia RODO są wysokie?

Jeżeli okaże się, że marketing bezpośredni (niezależnie czy to mailing, czy calling) był prowadzony niezgodnie z prawem, Prezes Urzędu Ochrony Danych osobowych może nałożyć na podmiot karę administracyjną, której wysokość może wynieść nawet do 20.000.000 euro lub 4% rocznego obrotu. Przy ustalaniu wysokości kary oczywiście organ powinien wziąć pod uwagę wiele czynników, zatem w przypadku wszczęcia postępowania administracyjnego warto być reprezentowanym w sprawie przez profesjonalnego pełnomocnika.