Pięć lat temu konsumenci wyrażali nadzieję, że z rozpoczęciem stosowania przepisów ogólnego rozporządzenia dotyczącego ochrony danych osobowych, ich prywatność, szczególnie w aspekcie wykorzystania danych w celach marketingowych, będzie chroniona w większym stopniu. Przedsiębiorcy z kolei obawiali się, że nowe przepisy będą utrudniały im rozwój biznesu. Pięcioletnia praktyka stosowania nowych regulacji potwierdza, że mylili się jedni i drudzy – przepisy dotyczące ochrony danych osobowych wcale nie okazały się być dla konsumentów zbawienne, a dla przedsiębiorców istotnym utrudnieniem prowadzenia działalności.
Prowadzenie działań marketingowych – z perspektywy marketingowca-praktyka – jawi się jako relatywnie proste. Sposobów pozyskania klientów jest niezwykle wiele, żeby wymienić w tym miejscu tylko niektóre z nich takie jak: organizacja webinaru, udział w branżowych targach czy konferencjach, prowadzenie kampanii w mediach społecznościowych, newsletter, uruchomienie programu lojalnościowego.
Prowadzenie działań marketingowych z perspektywy teorii prawnej jest niezwykle złożone i wiąże się z koniecznością prezentowania elastycznego podejścia do ryzyka. Prowadzenie działań marketingowych jest przecież niezbędne dla rozwoju prowadzonej działalności. Jednocześnie rzeczywistość prawna, w jakiej przychodzi nam wszystkim funkcjonować, w której działania marketingowe bezpośrednio lub pośrednio są regulowane przez szereg niekoherentnych aktów prawnych, jedynie utrudnia racjonalne, przejrzyste i uwzględniające interesy przedsiębiorców oraz ich potencjalnych klientów czy konsumentów podejście do tematu. Nie może bowiem ujść uwadze fakt, że marketing jest potrzebny zarówno firmom, jak i ich odbiorcom.
Przedsiębiorca prowadzący działania marketingowe musi liczyć się z licznymi ograniczeniami prawnymi, które należy uwzględnić w codziennych działaniach biznesowych.
Przedsiębiorca powinien pamiętać o tym, że intensywność, częstotliwość, charakter i okoliczności prowadzonych działań marketingowych mogą prowadzić do naruszenia dóbr osobistych osoby, która była odbiorcą tychże działań. Wykaz zawartych w art. 23 Kodeksu cywilnego dóbr osobistych jest jedynie przykładowy i nie jest sporny fakt, że do dóbr osobistych podlegających ochronie cywilistycznej należy prawo do prywatności.
Odbiorca, który staje się obiektem działań marketingowych, przybierających przykładowo formę uporczywych telefonów marketingowych, ma, w teorii, prawo do żądania zaniechania naruszenia, usunięcia jego skutków (przeprosiny), zadośćuczynienia, domagania się zapłaty na cele społeczne, zadośćuczynienia czy odszkodowania.
Uzyskanie ochrony prawnej wymaga jednak podjęcia inicjatywy poprzez skierowanie stosownego powództwa do sądu. Podjęcie działań obronnych może nastąpić dopiero po naruszeniu, dodatkowo wymaga nie tylko poniesienia pewnych kosztów, ale przede wszystkim ustalenia tożsamości potencjalnego naruszyciela. Nie jest to zadanie proste, szczególnie gdy działania marketingowe prowadzone są w sposób nieodznaczający się przesadną „uprzejmością” (niepodawanie imienia i nazwiska dzwoniącego przedstawiciela firmy, nazwy firmy w imieniu, której realizowane jest połączenie, tłumaczenie o wylosowaniu numeru telefonu i nieprzetwarzaniu danych osobowych).
Tego typu sprawy można napotkać na wokandach polskich sądów, lecz z racji istnienia wspomnianych ograniczeń należą one do rzadkości. W praktyce zatem przedsiębiorcy takie ryzyko w pełni akceptują.
Działania marketingowe, szczególnie prowadzone przy wykorzystaniu poczty elektronicznej, powinny z kolei uwzględniać dyspozycję art. 10 ust. 1 Ustawy o świadczeniu usług drogą elektroniczną, z której wynika, że „Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej”. Ustawodawca doprecyzował jednocześnie, że informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
W teorii naruszenie tego przepisu stanowi wykroczenie zagrożone karą grzywny. Praktyka, poparta statystykami Policji, potwierdza jednak, że sankcje za naruszenie tego przepisu w skali kraju należą do rzadkości (przeciętnie kilkadziesiąt ukarań rocznie). Nie mogą zatem odnieść efektu prewencyjnego.
Przedsiębiorcy związani z ewentualnym naruszaniem tego przepisu ryzyka akceptują lub podejmują działania je minimalizujące. Do najczęściej spotykanych form „omijania” przepisu należy wysyłanie informacji handlowej na tzw. adresy mailowe nieosobowe typu: sekretariat@, kontakt@, iod@, biuro@, ponieważ odbiorca wiadomości nie jest w takim przypadku oznaczoną osobą fizyczną. Inną powszechnie stosowaną formą minimalizowania ryzyka jest wysyłanie komunikatu zwanego potocznie cold mailingiem, który nie zawiera bezpośredniego przekazu marketingowego (choć oczywiście może to być w praktyce dyskusyjne, granica między przekazem bezpośrednio i pośrednio marketingowym, jeśli w ogóle istnieje, jest bardzo cienka), a najczęściej przybiera formę zaproszenia do kontaktu, ewentualnie prośby o wyrażenie zgody na kontakt marketingowy.
Ewentualne podjęcie działań obronnych ponownie wymaga inicjatywy odbiorcy komunikatów poprzez złożenie zawiadomienia o możliwości popełnienia wykroczenia do organów ścigania. W praktyce działania obronne w oparciu o wspomnianą regulacje są mało skuteczne, a przedsiębiorcy akceptują i tego typu ryzyka.
Kolejnym aktem regulującym prowadzenie działań marketingowych, który wymaga przedstawienia, jest art. 172 ust. 1 Ustawy Prawo telekomunikacyjne. Przepis stanowi, że zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego lub przesyłania niezamówionej informacji handlowej w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
Regulacja w teorii wydaje się być klarowna. Prowadzenie działań marketingowych m.in. przy wykorzystywaniu komunikacji telefonicznej wymaga posiadania uprzedniej zgody rozmówcy. Prewencję ogólną, zniechęcającą do naruszenia tego przepisu, mogłyby wspierać działania Prezesa Urzędu Komunikacji Elektronicznej, który jest organem uprawnionym do nakładania administracyjnej kary pieniężnej do wysokości 3% przychodu ukaranego podmiotu.
W praktyce sankcje finansowe nakładane są relatywnie rzadko, a ich adresatem są zasadniczo podmioty działające na bardzo dużą skalę (ogólnopolscy operatorzy telekomunikacyjni, dostawcy usług satelitarnych). Działania UKE są podejmowane zazwyczaj, gdy skala naruszeń i liczba pochodzących od abonentów skarg, jest znaczna.
Przedsiębiorcy radzą sobie i z tym zakazem. Realizują swoje działania w formie cold callingu, dzwoniąc i prosząc o wyrażenie zgody na kontakt marketingowy, argumentując przy tym, że celem kontaktu jest zapytanie o zgodę i taki kontakt nie jest zakazany, ewentualnie proponując spotkanie, kontakt z ekspertem, wreszcie, ograniczając grupę odbiorców do takich, których poziom zainteresowania daną usługą jest wyższy niż przeciętnego Kowalskiego.
Ryzyko ewentualnej kary, które realnie, biorąc pod uwagę opisane uwarunkowania, jest całkiem niskie, nie stanowi zatem przeszkody do prowadzenia tego typu działań w praktyce.
Opisane dotychczas regulacje wymagają uzupełnienia o przepisy dotyczące ochrony danych osobowych oraz konstatację, w zakresie tego, jaki miały one wpływ na sposób prowadzenia działań marketingowych, szczególnie od 25 maja 2018 r.
Zacząć należy od tego, że gdy działania marketingowe prowadzone są w sposób skutkujący przetwarzaniem danych osobowych, przedsiębiorca zobowiązany jest do ich prowadzenia m.in. z poszanowaniem zasady legalności. W przypadku działań, których celem jest pozyskanie klienta, najczęściej stosowana jest jedna z dwóch podstaw przetwarzania danych – zgoda lub uzasadniony interes prawny administratora.
Istota prowadzenia działań marketingowych w oparciu o zgodę jest oczywista. Z bardziej istotnych kwestii należy pamiętać o tym, że zgoda to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. Administrator musi wykazać, że legitymuje się zgodą, ale również, że umożliwia tak samo łatwe wycofanie zgody jak jej udzielenie.
Praktyka potwierdziła, że prowadzenie działań marketingowych na podstawie zgody nie jest proste, a czasem bywa problematyczne. O ile zapis do newslettera czy zgoda na profilowanie nie budzi wątpliwości, to od rozpoczęcia stosowania RODO przestało być możliwe wyrażenie zgody „zaszytej” w regulaminie, gdyż przepisy wymagają złożenia świadomego i konkretnego oświadczenia. Ponadto niektórzy przedsiębiorcy utrudniali osobom pierwotnie wyrażającym zgodę jej łatwe wycofanie[1] i wciąż wcale nie do rzadkości należy sytuacja, gdzie można natknąć się na tego typu błędny sposób wypisania się z listy subskrybcyjnej (brak możliwości ominięcia ankiety wymuszającej podanie przyczyny rezygnacji czy trudność w znalezieniu opcji „wypisz się”).
Również z tych względów zgoda niekoniecznie jest jedyną czy nawet najczęściej występującą w praktyce przesłanką przetwarzania danych w celach marketingowych. Co najmniej tak samo ważną, a w praktyce może nawet bardziej istotną, choć tak mocno nieartykułowaną, stało się przetwarzanie danych w celach marketingowych w oparciu o przesłankę określoną w art. 6 ust. 1 lit. f) RODO.
W świetle motywu 47 RODO prawnie uzasadniony interes może istnieć na przykład w przypadku, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą a administratorem, na przykład gdy osoba, której dane dotyczą jest klientem administratora. Ponadto zgodnie z przedmiotowym motywem, celem przetwarzania danych wynikającym z prawnie uzasadnionego interesu może być między innymi marketing bezpośredni administratora.
Działania Prezesa Urzędu Ochrony Danych Osobowych potwierdzają, że przetwarzanie danych osobowych w oparciu o uzasadniony interes prawny administratora wobec aktualnych klientów, w świetle RODO, jest możliwe. W decyzji z dnia 17 września 2021 r., sygn. DKE.523.33.2021, wskazano, że przesłanie wobec aktualnego klienta w korespondencji pisemnej materiałów marketingowych jest dopuszczalne:
„Po pierwsze, działanie Spółki związane było ściśle z łączącym strony stosunkiem umownym i dotyczyło marketingu usług, z których Skarżący korzystał lub którymi – w uzasadnionej ocenie Spółki – mógł być zainteresowany. Po drugie przesłanie informacji handlowej przez Spółkę jedynie w minimalnym stopniu wkroczyło w sferę prywatności Skarżącego, ponieważ zawarte było niejako przy okazji, w pisemnej korespondencji, w której Spółka spełniła wobec Skarżącego obowiązek informacyjny związany z przyszłym stosowaniem przepisów Rozporządzenia 2016/679 oraz przedstawiła nowe ogólne warunki umowy sprzedaży energii elektrycznej. Zdaniem Prezesa UODO takie wkroczenie w sferę prywatności Skarżącego nie daje podstaw do stwierdzenia, że przeważa ono nad usprawiedliwionym interesem Spółki”.
Sprawa wydaje się klarowna w przypadku działań podejmowanych wobec klientów aktualnych, jest natomiast bardziej problematyczna w przypadku podejmowania działań marketingowych wobec osób, które nie należą i nie należały do grupy klientów danego przedsiębiorcy.
Przepisy RODO mówią o możliwym przetwarzaniu danych w celach marketingowych na podstawie uzasadnionego interesu prawnego jedynie wobec klientów aktualnych. Nie ograniczają jednocześnie wprost prowadzenia takich działań wobec klientów potencjalnych czy wobec klientów byłych. W praktyce przedsiębiorcy takie działania prowadzą. Mogą być one dopuszczalne, o ile oczywiście przedsiębiorca będzie w stanie wykazać, że przeprowadził test uzasadnionego interesu prawnego, tj.:
1) test celowości – ustalił, jaki ma być cel przetwarzania danych i czy jest on zgodny z prawem;
2) test niezbędności – ustalił, czy przetwarzanie danych jest niezbędne do osiągnięcia wskazanego celu;
3) test równowagi – ustalił, czy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem, nie mają nadrzędnego charakteru wobec interesów administratora danych;
4) ocenił wpływ na prawa lub wolności osoby fizycznej – ustalił, czy przetwarzanie rodzi ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.
Kluczowe przy prowadzeniu marketingu w oparciu o uzasadniony interes prawny jest przeprowadzenie testu równowagi, w którym należy uwzględnić m.in. naturę przetwarzanych danych oraz uzasadnione oczekiwania – czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne podstawy do tego, by spodziewać się, że może nastąpić przetwarzanie danych w danym celu (np. czy ta osoba wiedząc o przetwarzaniu, z pewnością zgłosiłaby sprzeciw). Inaczej bowiem ocenimy sytuację, gdy firma specjalizująca się w szkoleniach programistycznych skieruje swoje działania do programistów, oferując im podniesienie kwalifikacji, a inaczej gdy firma oferująca garnki będzie kierowała marketing do przeciętnego Nowaka.
Trzeba przy tym pamiętać, że zgodnie z motywem 47 RODO interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.
W praktyce organów nadzorczych w państwach UE wykształciło się stanowisko, zgodnie z którym o braku możliwości powołania się na uzasadniony interes administratora danych mogą świadczyć następujące twierdzenia:
1) osoba, której dane dotyczą, nie oczekiwałaby (rozsądnie oceniając jej oczekiwania) przetwarzania w danym celu;
2) osoba, której dane dotyczą, byłaby skłonna sprzeciwić się przetwarzaniu;
3) przetwarzanie miałoby znaczący wpływ na osobę, której dane dotyczą;
4) przetwarzanie uniemożliwiłoby tej osobie korzystanie z przysługujących jej praw;
5) przetwarzane dane są szczególnie „wrażliwe” lub są to dane dzieci.
Przeprowadzenie testu wymaga indywidualnej oceny każdego stanu faktycznego. Interesy, aby można było się na nie powoływać, muszą być dostatecznie skonkretyzowane, nie mogą być czymś potencjalnym i niepewnym. Przy przetwarzaniu danych w celach marketingowych będziemy co do zasady mówić o interesie ekonomicznym – dopasowanie reklam czy dotarcie do potencjalnych klientów z towarami lub usługami służy de facto lepszej sprzedaży tychże towarów bądź usług i ma na celu rozwój prowadzonej działalności gospodarczej. Uzasadniony interes może ponadto obejmować interesy gospodarcze, faktyczne lub prawne.
Uzasadniony interes prawny jest bardzo powszechnie stosowaną podstawą przetwarzania danych osobowych w działaniach marketingowych. Działania podejmowane w formie cold mailingu i cold callingu opierają się właśnie o tę przesłankę przetwarzania danych.
W praktyce przedsiębiorcy prowadzą wskazane działania, stosując się do pewnych ukształtowanych już nieformalnie standardów, wśród których można wymienić następujące:
– kontaktowanie się wyłącznie z osobami, które mogą odnieść korzyść z nawiązania potencjalnej współpracy;
– kontaktowanie się w ciągu miesiąca od pozyskania danych osobowych, co ma szczególnie istotne znaczenie przy prowadzeniu działań marketingowych przy wykorzystaniu danych pochodzących ze źródeł publicznie dostępnych;
– kontaktowanie się nie częściej niż 2-3 razy, a przy braku zainteresowania ofertą współpracy, zakończenie dalszego kontaktu;
– kontaktowanie się w odstępach czasu nie krótszych niż kilka dni, a czasem nawet tygodni tak, aby klient nie odczuł intensywności kontaktu jako naruszenia prywatności;
– kontaktowanie się w dni i godziny robocze;
– prowadzenie rozmowy lub proponowanie współpracy drogą elektroniczną w sposób nienachalny, tj. bez bezpośredniego zachwalania oferty, a bardziej poprzez zachęcenie do spotkania, umówienie się na rozmowę z ekspertem, zachęcenie do zapoznania się z wersją demo danego programu.
Praktyka pokazuje, że negatywne konsekwencje przetwarzania danych w oparciu o uzasadniony interes prawny zasadniczo dotyczą dwóch aspektów. Po pierwsze, przedsiębiorcy ponoszą większe ryzyko, jeśli przy prowadzeniu działań marketingowych nie realizują obowiązku informacyjnego, szczególnie na podstawie art. 14 RODO, gdy dane są zbierane np. z Internetu. Po drugie, przedsiębiorcy ponoszą większe ryzyko, gdy nie reagują skutecznie na zgłoszony przez odbiorców komunikatów sprzeciw co do przetwarzania ich danych w celach marketingowych. Praktyka, szczególnie widoczna w działaniach zagranicznych organów nadzorczych, m.in. we Włoszech, pokazuje, że organy nadzorcze reagują, jeśli przedsiębiorca, pomimo zgłoszenia sprzeciwu w oparciu o art. 21 ust. 2 RODO, kontynuuje działania marketingowe. Jeżeli osoba, której dane dotyczą wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.
Przedsiębiorca, który uwzględnia w swoich działaniach powyższe ryzyka, z pewnością może prowadzić marketing bardziej bezpiecznie niż ten, który tego nie czyni.
Problematyka prowadzenia działań marketingowych zgodnie z prawem jest złożona. Na potrzeby niniejszego artykułu wystarczy zarysować zagadnienie, którego istotą jest pytanie, czy zgodnym z prawem może być przetwarzanie danych w oparciu o przesłankę uzasadnionego interesu prawnego, w sytuacji gdy działania te naruszają lub mogą naruszać odrębne regulacje takie jak Prawo telekomunikacyjne czy Ustawę o świadczeniu usług drogą elektroniczną. Sytuacji prawnej nie rozwiązują przedłużające się prace nad regulacją e-Privacy.
Dodatkowo, patrząc z perspektywy konsumenta brakuje realnych i skutecznych narzędzi dla osoby ceniącej prywatność dla zapewnienia jej ochrony. W Polsce w zasadzie nie funkcjonuje tzw. lista robinsona, która mogłaby pełnić funkcje wyrażonego uprzednio przez potencjalnych odbiorców komunikatów marketingowych sprzeciwu. Co więcej, w praktyce dochodzi do istotnych rozbieżności interpretacyjnych pomiędzy organem nadzorczym a sądami administracyjnymi, w zakresie przykładowo tego, czy numer telefonu jest daną osobową i choć wiedzieć powinniśmy, że kontekst przetwarzania jest tutaj kluczowy i nigdy rozwiązania zero-jedynkowe w odniesieniu do klasyfikacji danych na osobowe i nieosobowe nie powinny mieć miejsca, to tego typu przekazy uwypuklające, że numer telefonu daną nie jest lub może nie być, są bardzo szkodliwe dla prywatności konsumentów i nie zmienią tych najbardziej intensywnych działań marketingowych. Na zakończenie tej egzemplifikacji można dodać, że prace nad kodeksem RODO w działaniach marketingowych toczą się w wolnym tempie.
Wyrazić można nadzieję, że w najbliższej przyszłości z jednej strony działania marketingowe będą mogły być prowadzone w bardziej przejrzystej i klarownej rzeczywistości prawnej i że będą one w większym stopniu kierowane do odbiorców, którzy tego oczekują, a z drugiej ci, którzy sobie tego nie życzą, otrzymają dodatkowe narzędzia ich wspierające.
Artykuł ukazał się w publikacji „Poradnik prenumeratora. 5 lat z RODO – przewodnik” wydanej przez „Rzeczpospolitą” w dniu 21.06.2023 r.
Interesujesz się zagadnieniami związanymi z RODO? Przeczytaj koniecznie o sztucznej inteligencji jako narzędziu marketingowym tutaj.
[1] Tak przykładowo w decyzji z dnia 16 października 2019 r., sygn. ZSPR.421.7.2019.