RODO w marketingu – jak działać zgodnie z prawem?

Czym jest RODO?

Wprowadziło ono szereg zasad regulujących przetwarzanie danych osobowych, również w stosunku do przedsiębiorców, m.in. w kontekście działań marketingowych i handlowych.

Czym są dane osobowe?

Dane osobowe to w rozumieniu RODO wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Danymi osobowymi będą również informacje, które w zestawieniu ze sobą mogą prowadzić do zidentyfikowania tożsamości danej osoby. W praktyce, poza najbardziej oczywistymi, takimi jak:

• imię i nazwisko,
• adres zamieszkania,
• adres e-mail,
• numer dowodu tożsamości,

danymi osobowymi są również:

• dane o lokalizacji,
• adres IP,
• identyfikator plików cookie,
• identyfikator reklamowy w telefonie komórkowym,
• informacje o zdrowiu, poglądach politycznych czy wyznaniu.

Poniższy screen prezentuje katalog danych osobowych przetwarzanych w programie lojalnościowym Lidl Plus (program realizowany w oparciu o środowisko desktop oraz aplikację mobilną).

Czym jest przetwarzanie danych osobowych?

Przetwarzaniem danych będzie ponadto ich ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, utrwalanie, a także usuwanie lub niszczenie.

Nie ma przy tym znaczenia, czy procesy te realizowane są w sposób zautomatyzowany, czy niezautomatyzowany.

W jakich sytuacjach pozyskuje się dane osobowe w marketingu?

Naturalną okolicznością pozyskania danych będzie np. zawarcie transakcji czy rejestracja konta w sklepie internetowym.

Dane osobowe w działaniach marketingowych można pozyskiwać na wiele innych sposobów, m.in. poprzez:

• program lojalnościowy,
• aplikację mobilną,
• konkursy,
• ankiety,
• stronę internetową,
• zapytania ofertowe,
• udostępnianie treści, np. poradników.

Z perspektywy skutecznego dopasowania komunikacji do indywidualnych potrzeb i preferencji klientów kluczem są właśnie dane osobowe, a marketing personalizacyjny, tak obecnie istotny, jest bez nich niemożliwy. W większości wymienionych powyżej przypadków konieczne jest uzyskanie odpowiednich zgód od osób, których dane dotyczą.

RODO w marketingu – zasady konstruowania zgód na przetwarzanie danych osobowych

Dobrowolność

Dobrowolność zgody oznacza, że osoba, której dane dotyczą, ma w istocie wolny wybór co do jej udzielenia, a także może tej zgody odmówić lub wycofać ją w dowolnym czasie. Przepisy RODO mówią wyraźnie, że udzielenie zgody na przetwarzanie danych nie może być warunkiem skutecznego wykonania umowy.

Ponadto brak wyrażenia zgody nie może prowadzić do żadnych negatywnych konsekwencji dla osoby, która zdecyduje się jej nie udzielić.

Jednoznaczność

Zgoda musi być jednoznaczna, co w praktyce oznacza, że osoba fizyczna składa oświadczenie woli w sposób niebudzący wątpliwości. Nie może być dorozumiana, np. wynikająca z milczenia.

Zgoda wyrażana w środowisku cyfrowym może być zrealizowana w dwuetapowym procesie, w którym najpierw osoba fizyczna wprowadza swój adres mailowy do formularza zapisu, a następnie potwierdza swoją subskrypcję poprzez wiadomość email (double opt-in). Inną popularną formą są okienka wyboru (checkboxy).

Konkretność

Dane osobowe Twoich klientów muszą być przetwarzane wyłącznie w sposób konkretny i zgodny z zadeklarowanym celem. Ponadto RODO wymaga, aby zgody na różne cele przetwarzania danych były formułowane rozdzielnie.

Powyżej prezentujemy przykład informacji o celu przekazania danych na etapie rejestracji konta na stronie internetowej sieci Lidl – określony cel przekazania danych: bezpieczeństwo, logowanie oraz odzyskiwanie hasła.

Jeśli pozyskujesz dane klientów, w tym adresy mailowe (np. do realizacji transakcji w sklepie internetowym), potrzebujesz oddzielnej zgody, by móc do tych klientów przesyłać informacje marketingowe mailem. Ponadto dla każdego z kanałów komunikacji powinna zostać przygotowana oddzielna opcja akceptacji.

Poniżej znajduje się przykład okienka przy rejestracji profilu w programie Lidl Plus, zawierającego oddzielne okienka akceptacji dla różnych kanałów komunikacji: mail, push, sms, WhatsApp, poczta tradycyjna.

Warto jednak odnotować i takie rozwiązanie, kiedy jedno okienko akceptacji odnosi się jednocześnie do kilku kanałów komunikacji (przykład niżej). Zaznaczenie jednego z okienek wiąże się z udzieleniem administratorowi – w tym wypadku jest to Allegro – zgody na przesyłanie informacji marketingowych poprzez email, sms/mms, push oraz telefon.

Jednak nad powyższym rozwiązaniem warto się dobrze zastanowić, ponieważ może to zniechęcić klienta do udzielenia zgody, jeśli nie dasz mu możliwości wyboru (np. klient byłby skłonny udzielić zgody na kontakt poprzez pocztę elektroniczną, ale już niekoniecznie życzy sobie kontaktu telefonicznego).

Świadomość

Osoba, która wyraża zgodę na przetwarzanie danych osobowych, powinna znać tożsamość podmiotu – administratora – oraz cele przetwarzania danych. Ponadto zasada przejrzystość precyzuje, iż przekazywane przez administratora informacje w tym zakresie powinny być formułowane w sposób jasny i zrozumiały.

Równie ważna jest także dostępność treści – które powinny być w każdej chwili dostępne, widoczne i wyczerpujące. Z wymogiem świadomości zgody związany jest obowiązek informacyjny.

Czym jest obowiązek informacyjny?

Obowiązek informacyjny to zbiór informacji na temat przetwarzania danych osobowych, jakie administrator danych zobowiązany jest udzielić ich właścicielowi w momencie pozyskania. To źródło informacji o celach i podstawach przetwarzania danych osobowych oraz o prawach wynikających z RODO.

Obowiązek informacyjny przyjmuje najczęściej terminy Klauzuli informacyjnej lub Polityki prywatności.

Jakie najważniejsze informacje powinny w nim zostać zawarte? Są to:

• dane Twojej firmy wraz z danymi kontaktowymi,
• dane kontaktowe Inspektora Ochrony Danych (o ile jest wyznaczony),
• cele przetwarzania danych (jeżeli zbierasz dane dla różnych celów, to musisz wskazać wszystkie cele ich przetwarzania),
• podstawy prawne przetwarzania danych osobowych wskazane w art. 6 oraz 9 RODO (należy wybrać właściwe z wymienionych)
• informacje o odbiorcach danych lub kategoriach odbiorców (jeśli dane będą przekazywane do zaufanych podmiotów, jak developerzy aplikacji, strony www, dostawcy usług finansowych)
• okres, przez który dane będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
• prawa przysługujące podmiotom danych: np. żądanie dostępu do danych, ich sprostowania, usunięcia czy wniesienia sprzeciwu do przetwarzania danych.

Przykład tematów w zakresie polityki prywatności opisanych w obowiązku informacyjnym Santander Bank Polska:

Dlaczego warto przestrzegać RODO w marketingu?

Jak pokazują badania, Polacy są coraz bardziej świadomi nie tylko przysługujących im praw w zakresie ochrony danych osobowych, ale również znaczenia ochrony swoich danych.

Z badań przedstawionych w raporcie Urzędu Ochrony Danych osobowych „Dane osobowe — czy wiemy, jak je chronić” (2023) wynika, iż 64% osób weryfikuje regulaminy i polityki prywatności na stronach internetowych, a 69% Polaków deklaruje, że sprawdza, czy dane osobowe przekazane firmom mogą być również udostępnione ich biznesowym partnerom.

Przestrzeganie RODO jest również istotne z uwagi na wysokie, sięgające nawet 4% obrotu rocznego kary, które grożą przedsiębiorcom, jeśli rażący sposób naruszą podstawowe zasady przetwarzania danych.