Marketing a RODO

Od dnia 25 maja 2018 r., tj. od dnia wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej: „RODO”, „Rozporządzenie”) zmieniły się możliwości przedsiębiorców w zakresie prowadzenia działań marketingowych. Poniżej wyjaśnimy w jakich okolicznościach przedsiębiorca musi pozyskać zgodę osoby na prowadzenie działań marketingowych, a kiedy zgoda taka nie będzie wymagana.

Podstawy przetwarzania danych osobowych dla celów marketingowych

Danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (np. imię i nazwisko, numer telefonu, adres e-mail itp.). Przetwarzaniem danych osobowych jest natomiast operacja lub zestaw operacji wykonywanych na danych osobowych (zbieranie, utrwalanie, przechowywanie, itp.).

Przetwarzanie danych osobowych jest zgodne z RODO, jeżeli:

  1. wyrażona została zgoda na przetwarzanie;
  2. jest niezbędne do wykonania umowy;
  3. jest niezbędne do wykonania obowiązku prawnego ciążącego na administratorze;
  4. jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej;
  5. jest niezbędne do wykonania zadania w interesie publicznym bądź sprawowania władzy publicznej przez administratora;
  6. obsługa incydentów;
  7. jest niezbędne dla prawnie uzasadnionych interesów administratora.

Podstawą do przetwarzania danych osobowych przed przedsiębiorcę (administratora) dla celów marketingowych mogą być wyłącznie następujące okoliczności, a mianowicie:

  1. zgoda osoby, której dane dotyczą;
  2. prawnie uzasadniony interes administratora.

Zgoda osoby, której dane dotyczą

Pierwszą i główną podstawą przetwarzania danych osobowych w celach marketingowych jest zgoda osoby, której dane dotyczą. Zgoda, według definicji zawartej w RODO oznacza okazanie woli osoby, której dane dotyczą. Okazanie takie winno być dobrowolne, konkretne, jednoznaczne oraz świadome. Wyrazić je można zarówno w formie oświadczenia (np. pisemnego bądź ustnego) lub wyraźnego działania (np. zaznaczenie okienka na stronie internetowej). Zgody ogólne nie są bowiem uznawane za prawidłowe podstawy do przetwarzania danych osobowych.

RODO, w jednym w swych motywów precyzuje, iż milczenie lub niepodjęcie działania nie oznacza wyrażenia zgody. Na gruncie przepisów RODO obecnie wyrażenie zgody nie może być ukryte np. w regulaminie wprowadzonym u administratora bądź zapisane tzw. „małym druczkiem” na dole strony.

Z całą pewnością administrator musi być w stanie wykazać wyrażenie zgody na przetwarzanie danych osobowych, w tym dla celów marketingowych. Warto wskazać, iż zgoda może być w każdej chwili wycofana. Notabene również dziecko, które ukończyło 16 lat może wyrazić zgodę na przetwarzanie jego danych osobowych jednakże wyłącznie, gdy przetwarzanie to dotyczy tzw. usług społeczeństwa informacyjnego.

Uzasadniony interes administratora

Drugą z podstaw przetwarzania danych osobowych jest uzasadniony interes administratora. Jednocześnie należy pamiętać, że podstawa ta może być stosowana wyłącznie w zakresie marketingu bezpośredniego. Nie można jednak się powoływać na uzasadniony interes administratora, gdy nadrzędny interes wobec niego mają interesy oraz prawa i wolności osoby, której dane dotyczą (np. osoba ta jest dzieckiem).

Zgodnie z jednym z motywów RODO prawnie uzasadniony interes istnieje, gdy zachodzi istotny rodzaj powiązania między osobą, której dane dotyczą, a administratorem (np. relacja sprzedawca – klient). Należy mieć jednak na uwadze, iż istnienie uzasadnionego interesu zawsze winno być oceniane w konkretnym stanie faktycznym, dlatego też przedsiębiorcy winni podstawę tę stosować wyłącznie, gdy nie mają wątpliwości, czy w danej sytuacji relacja taka zachodzi, aby nie narazić się na zarzut braku podstawy do przetwarzania danych osobowych i wiążących się z tym sankcji prawnoadministracyjnych.

Marketing bezpośredni korzysta z form komunikacji bezpośredniej z klientem, który otrzymuje ofertę dopasowaną do jego indywidualnych potrzeb i oczekiwań (np. za pośrednictwem poczty elektronicznej czy podczas rozmowy telefonicznej). W przypadku marketingu bezpośredniego, osoba, której dane dotyczą musi mieć zagwarantowane prawo wniesienia sprzeciwu wobec przetwarzania jej danych osobowych. Sprzeciw taki może być wniesiony w dowolnym momencie, o czym należy ją poinformować.

Bazy marketingowe

Administratorzy tworzący bazy marketingowe winni przechowywać treść całych zgód na przetwarzanie danych osobowych celem posiadania dowodu potwierdzającego ich uzyskanie.
Nadto, przetwarzanie danych osobowych dokonywane od tej pory może być dokonywane wyłącznie w określonym celu i czasie. Nie można więc danych osobowych uzyskanych w okresach wcześniejszych przechowywać w bazach danych przedsiębiorców przez czas nieoznaczony, po wygaśnięciu celu, dla którego zostały zebrane.

Podsumowanie

Podkreślić należy, że wprowadzone przepisy Rozporządzenia nie zakazują tworzenia baz danych osobowych dla celów marketingowych. Jest to dopuszczalne na podstawie zgód osób, których dane są przetwarzane bądź w oparciu o prawnie uzasadniony interes administratora. Na administratorów nałożono jednak nowe obowiązki, których dotychczas nie było. Wśród nich jest m. in. obowiązek informacyjny czy obowiązek przestrzegania praw osób do bycia zapomnianym).

Powrót do podstrony Audyt RODO

Masz pytania lub wątpliwości?

Zadzwoń

801 50 10 50