Wykorzystywanie danych osobowych do celów marketingowych a RODO
Tradycyjne metody marketingowe stają się coraz mniej skuteczne, generują ogromne koszty i nie należą do lubianych przez odbiorców. Nie wystarczy rozsyłać reklam na masową skalę, przekazywać newslettera pod każdy możliwy, pozyskany adres i dzwonić na „losowe” numery. Dlatego powstają coraz bardziej wymyśle metody dotarcia do potencjalnych klientów. Działom marketingu wychodzą naprzeciw nowe technologie, które zbierają informacje o tym, jakie strony odwiedził użytkownik, ile czasu na nich spędził, z jakiego adresu wszedł, jakie hasło go przekierowało, jakie strony odwiedził potem, jaka jest geolokalizacja jego urządzenia, itd. Na podstawie dokonanych wyborów, użytkownicy są profilowani (po lokalizacji, płci, zainteresowaniach, wieku, itd.). Z moich doświadczeń wynika, że wszystkie te działania odbywają się bez wiedzy i zgody użytkownika. Zazwyczaj zgoda jest dorozumiana (ktoś przekazał wizytówkę albo klikną w link „chcę wiedzieć więcej / proszę o kontakt” i z marszu został zapisany do bazy marketingowej).
Tworzenie bazy marketingowej w oparciu o otrzymane wizytówki jest nielegalne
Naprawdę. To że ktoś przekazuje Ci wizytówkę, nie oznacza, że zgdsza się na dodanie jego danych do bazy marketingowej. Jest to dorozumienie zgody, czyli działanie niezgodne z przepisami o ochronie danych osobowych. Zaraz ktoś się oburzy – przecież ta osoba dała wizytówkę, bo chce otrzymać ofertę marketingową. Mogę się tylko zgodzić, że rzeczywiście tak było, jednakże istnieje bardzo duża różnica pomiędzy wysłaniem konkretnej, zamówionej oferty, a przekazywaniem ciągłym ofert marketingowych.
Zgodnie z RODO: „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych
To na świadczącym usługi marketingowe ciąży obowiązek udowodnienia, że zgoda na marketing była świadoma, jeżeli nie jest w stanie tego zrobić, musi liczyć się z bolesnymi konsekwencjami: możliwą karą administracyjną, odszkodowaniem dla osoby, której dane dotyczą oraz utratą wizerunku. O tym jak ważny jest obowiązek dowodowy, niech świadczy przykład Netii:
We wrześniu 2017 r. prezes Urzędu Ochrony Konkurencji i Konsumentów wszczął postępowanie przeciwko Netii. Ze skarg konsumentów i analizy rozmów sprzedażowych wynika, że Netia, korzystając z gotowych baz danych pozyskanych od podmiotów trzecich, może dzwonić z ofertą do osób, od których nie miała wcześniejszej zgody na kontakt telefoniczny w tym celu. W wielu przypadkach spółka próbuje pozyskać zgodę konsumenta podczas pierwszej rozmowy (źródło UOKiK).
Dzisiaj prawie każda usługa śledzi użytkownika. Przeglądarka, wyszukiwarka, social media, sklepy internetowe, dostawcy usług. Każdemu z nich zależy na tym, aby skutecznie dotrzeć do swoich odbiorców, a realizują to poprzez badanie decyzji przyszłego klienta nie tylko w ramach ich serwisu, ale także na innych stronach. Do realizacji tego celu służą cookies (zainteresowanych tematem odsyłam do wyszukania wyników dla hasła „śledź swoich użytkowników”). Skoro wszyscy to robią, to w czym problem? Biznesowo można powiedzieć, że nie ma problemu, dopóki Cię nie złapią, ale wtedy posprzątanie bałaganu może być bardzo trudno. Przykład Netii to pierwsze pogrożenie palcem na bezprawne działania marketingowe. Sygnał jest jasny: będziemy nakładać kary za bezprawne działania. Tym bardziej, że nielegalny marketing, to działanie sprzeczne z prawem telekomunikacyjnym, przepisami o ochronie danych osobowych oraz czyn nieuczciwej konkurencji. Mówiąc krótko, jest to działanie za które prawdopodobieństwo otrzymania kary naprawdę wzrosło, a od maja 2018 roku na mocy RODO, osoby które padły ofiarą takich działań, mają ułatwioną drogę do dochodzenia wysokich roszczeń.
Case study aktywnego marketingu – czyli gdzie tkwią błędy
Dorozumienie zgody
To największy grzech. Dodawanie do baz marketingowych osób, które przekazały wizytówkę, napisały maila, zadzwoniły, wzięły udział w konkursie. Samo dokonanie tych czynności nie wystarcza, aby uznać, że została wyrażona zgoda na marketing.
Motyw 32 RODO określa zasady wyrażania zgody, która powinna być wyrażona w drodze jednoznacznej, potwierdzającej czynności, która wyraża odnoszące się do określonej sytuacji dobrowolne, świadome i jednoznaczne przyzwolenie osoby, których dane dotyczą, na przetwarzanie dotyczących jej danych osobowych.
Na pozyskującym zgodę ciąży obowiązek udowodnienia, że faktycznie i skutecznie ją pozyskał. Zgodnie z motywem 32 RODO zgoda może mieć formę pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Jednakże ustne oświadczenie bywa trudne do udowodnienia (potrzebne jest nagranie lub obiektywni świadkowie). Zgoda może być także pozyskana elektronicznie. Może to polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. RODO bardzo wyraźnie podkreśla: Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie powinny zatem oznaczać zgody. Zgoda powinna dotyczyć wszystkich czynności przetwarzania dokonywanych w tym samym celu lub w tych samych celach. Czyli uznanie, że uczestnik konkursu lub osoba wysyłająca maila wyraża także zgodę na marketing jest błędne. Dodatkowo należy pamiętać, że jeżeli przetwarzanie służy różnym celom, potrzebna jest zgoda na wszystkie te cele.
Na marketing produktów własnych nie potrzeba zgody
Często spotykam się z argumentem, że przecież art. 23 ust. 1 pkt ustawy o ochronie danych osobowych daje prawo do działań marketingowych bez konieczności pozyskiwania zgody odbiorcy. Jednakże osoba powołująca się na prawnie usprawiedliwiony cel dla działań marketingowych, powinna wcześniej zapoznać się z treścią cytowanego artykułu (zazwyczaj jedynie odnajduje gdzieś w Internecie informację, że może tak robić ustawa na to pozwala).
Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Zgodnie z ust. 4 usprawiedliwionym celem jest marketing bezpośredni własnych produktów lub usług. Jednakże warto zwrócić uwagę, że art. 172 ustawy Prawo Telekomunikacyjne, ogranicza zasady legalnie świadczonego marketingu produktów własnych bez pozyskania zgody odbiorcy. Zgodnie z nim, na działania marketingowe świadczone elektronicznie musi zostać pozyskana zgoda. Zakazane jest używanie telekomunikacyjnych urządzeń końcowych (TUK) i automatycznych systemów wywołujących (ASW) dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Za złamanie zakazu, o którym mowa w Prawie Telekomunikacyjnym grozi kara do 3% przychodu (czyli równie groźna i wysoka, jak z RODO).
Przepisy o ochronie danych osobowych stosuje się wtedy, gdy inny przepis nie daje lepszej ochrony. Wobec tego dla działań marketingowych elektronicznych (telefony, maile, smsy, itp.), niezbędna jest zgoda. Bez uprzedniej zgody można wysyłać ulotki reklamowe oraz rozmawiać bezpośrednio.
Brak zabezpieczenia gromadzonych danych
Jak to jest, że zabezpiecza się bazy danych, serwery, sieci, a nie zabezpiecza się formularza, poprzez który gromadzi się dane? W 9/10 przypadkach, gdy na stronie jest formularz kontaktowy lub okno zapisu na newslettera, sama strona nie zabezpiecza przesyłania tych danych kryptograficznie (dla nie wtajemniczonych, przy adresie strony powinna być widoczna kłódka, potwierdzająca, że jest włączony certyfikat SSL, a strona powinna zaczynać się od https). Jeżeli przesyłanie gromadzonych danych nie jest zabezpieczone, to administrator danych nie wypełnia podstawowego obowiązku wynikającego z przepisów o ochronie danych, czyli nie jest w stanie zapewnić im poufności.
Brak jasnych zasad świadczenia usług marketingowych
Kolejny grzech wielu działów marketingu. Drogi użytkowniku, jeżeli zgodzisz się na naszego newslettera, to my zainstalujemy na Twoim komputerze nasze pliki cookies, które od tego momentu będą śledzić wszystkie Twoje ruchy w ramach naszego serwisu. Taką usługę świadczy wiele narzędzi wspierających aktywny marketing, zazwyczaj działa to tak, że użytkownik otrzymuje maila z linkiem, który musi kliknąć. Ta czynność powoduje zainstalowanie plików cookies.
W takim przypadku, nawet jeżeli zgoda została pozyskana wyraźnie i świadomie, należy uznać, że jest ona nieskuteczna, ponieważ działanie wykroczyło poza cel, w którym została pozyskana (otrzymywanie newslettera). Należy pamiętać o tym, aby zgoda, w swojej treści zawierała odpowiednie informacje o planowanych działaniach wobec użytkownika oraz że powinny być one wyraźnie opisane w regulaminie newslettera. Sam fakt nie posiadania regulaminu newslettera (pomimo, że taki obowiązek wynika z ustawy o świadczeniu usług drogą elektroniczną), jest już rażącym zaniedbaniem wobec podmiotu danych, a w parze z podejmowanymi przez usługodawcę działaniami marketingowymi, stanowi naruszenie przepisów RODO. Między innymi w obawie przed wysokimi karami, Google ostatnio tak bardzo upiera się, aby jego użytkownik zanim skorzysta z usługi, zaakceptował regulamin/politykę prywatności.
Brak możliwości zrezygnowania z działań marketingowych
Osoba, która raz wyrazi zgodę, będzie już otrzymywać reklamy i być śledzona do końca świata. Działy marketingu nie dopuszczają do siebie myśli, że ktoś mógłby chcieć zrezygnować z otrzymywania efektów ich działań. Czasami też po prostu zapominają, że należy użytkownikowi dać możliwość łatwego wycofania wcześniej wyrażonej zgody. A wystarczy dodać informację do regulaminu usługi i/lub treści wiadomości. Taka postawa może zostać uznana za naruszenie praw przysługujących użytkownikowi na mocy RODO.
Motyw 70 RODO: Jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, powinna mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec tego przetwarzania, pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.
Profilowanie użytkownika bez jego wiedzy i zgody
Warto zacząć od tego, kiedy mamy do czynienia z profilowaniem. Zgodnie z RODO, jest to dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Zatem profilowaniem nie jest samo gromadzenie danych o użytkowniku, a wykorzystywanie ich, w szczególności do celów marketingowych. RODO dopuszcza profilowanie, ale tylko wówczas, gdy odbywa się ono za zgodą i wiedzą osoby, której dotyczy. Profilowanie nie powinno być też decydującym czynnikiem, na podstawie którego zapadają istotne decyzje wobec tej osoby. Motyw 71 określa, że osoba, której dane dotyczą, powinna mieć prawo do tego, by nie podlegać decyzji – mogącej obejmować określone środki – która ocenia jej czynniki osobowe, opiera się wyłącznie na przetwarzaniu zautomatyzowanym i wywołuje wobec osoby, której dane dotyczą, skutki prawne lub w podobny sposób znacząco na nią wpływa, jak na przykład automatyczne odrzucenie elektronicznego wniosku kredytowego czy elektroniczne metody rekrutacji bez interwencji ludzkiej. Do takiego przetwarzania zalicza się „profilowanie” – które polega na dowolnym zautomatyzowanym przetwarzaniu danych osobowych pozwalającym ocenić czynniki osobowe osoby fizycznej, a w szczególności analizować lub prognozować aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się osoby, której dane dotyczą – o ile wywołuje skutki prawne względem tej osoby lub w podobny sposób znacząco na nią wpływa.
Jednocześnie RODO zaznacza, że przetwarzanie takie powinno zawsze podlegać odpowiednim zabezpieczeniom, obejmującym informowanie osoby, której dane dotyczą, prawo do uzyskania interwencji człowieka, prawo do wyrażenia własnego stanowiska, prawo do uzyskania wyjaśnienia co do decyzji wynikłej z takiej oceny oraz prawo do zakwestionowania takiej decyzji.
RODO nie pozwala profilować dzieci
Jest to zgodne z ogólnym założeniem RODO, że dzieci oraz ich aktywność w Internecie podlegają szczególnej ochronie. Jest to zastrzeżenie o tyle istotne, że wymaga wdrożenia usługi, która będzie pozwalała weryfikować wiek użytkownika oraz wykluczać z działań marketingowych dzieci.
W skrócie
RODO wymaga zweryfikowania dotychczasowych działań marketingowych, pod kątem zgodności przetwarzania z przepisami, wypełnienia obowiązku informacyjnego wobec użytkowników oraz skutecznego pozyskania zgody. Należy wdrożyć odpowiednie zabezpieczenia przy pozyskiwaniu i przechowywaniu danych oraz weryfikować wiek osób, do których skierowane są działania marketingowe. Należy pamiętać, że działania marketingowe, w tym profilowanie, wymagają wyraźnej zgody, której pozyskanie administrator jest w stanie udowodnić.
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.