Marketing odgrywa kluczową rolę w działalności większości firm, które często inwestują w to znaczące zasoby finansowe. Współczesny marketing nie może funkcjonować bez danych osobowych, które pozwalają na skuteczne dotarcie do odbiorców i dostosowanie treści do określonych grup docelowych. Należy jednak pamiętać, że wszystkie te działania muszą być zgodne z przepisami, w tym regulacjami dotyczącymi ochrony danych osobowych.
Marketing bezpośredni stanowi jeden z istotniejszych celów przetwarzania danych przez administratorów danych będących przedsiębiorcami. Choć żaden z przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) ani polskich przepisów nie definiuje wprost pojęcia marketingu bezpośredniego, to występuje ono wielokrotnie w motywach unijnego rozporządzenia i weszło też na stałe do obrotu gospodarczego.
Pod pojęciem „marketingu bezpośredniego” rozumie się każdą formę reklamy i promocji, w ramach której materiały o takiej zawartości kierowane są bezpośrednio do zidentyfikowanego podmiotu lub podmiotów przy użyciu usług łączności elektronicznej, takich jak telefon, e-mail, sms. Inaczej rzecz ujmując, marketing bezpośredni to działalność polegająca na dostarczaniu klientom informacji lub propozycji dotyczących sprzedaży towarów lub usług przez różne kanały bezpośredniej komunikacji. Marketing bezpośredni w rozumieniu motywu 47 RODO obejmuje kierowanie komunikatów do oznaczonego adresata, zatem stanowi pojęcie węższe od ogólnego pojęcia marketingu [1].
Najczęściej wykorzystywane w procesach marketingowych dane osobowe to m.in.: imię i nazwisko, adres e-mail, numer telefonu, adres IP, dane o lokalizacji, historia zakupów, preferencje konsumenckie, a także inne informacje, które mogą zidentyfikować daną osobę, bezpośrednio lub pośrednio.
Każdy administrator, chcąc przetwarzać dane osobowe w celach marketingowych, musi zidentyfikować i wybrać odpowiednią podstawę prawną tego przetwarzania. Administratorzy mają co do zasady dwie drogi: (i) oparcie procesów przetwarzania danych o zgodę podmiotu danych (art. 6 ust. 1 lit. a RODO) albo (ii) prawnie uzasadniony interes administratora danych (art. 6 ust. 1 lit. f RODO).
Uzasadniony interes administratora danych osobowych
Jedną z przesłanek przetwarzania danych osobowych jest konieczność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią (art. 6 ust. 1 lit. f RODO). Właśnie ta mało precyzyjnie określona przesłanka może być uznana za podstawę przetwarzania danych osobowych w celach marketingowych, a konkretnie marketingu bezpośredniego (motyw 47 RODO).
Według motywu 47 RODO prawnie uzasadniony interes administratora danych może istnieć np. wtedy, gdy zachodzi istotny i odpowiedni rodzaj powiązania pomiędzy osobą, której dane dotyczą a administratorem, na przykład wtedy, gdy taka osoba jest klientem administratora. Ta wskazówka, że prawnie uzasadniony interes administratora danych występuje w relacji klient – usługodawca/sprzedawca stanowić może uzasadnienie dla kierowania działań mających cechy marketingu bezpośredniego do klientów administratora.
Warto pamiętać, że w motywie 47 RODO nie ustanowiono katalogu prawnie uzasadnionego interesu administratora, a jedynie wytyczne, jakimi administrator danych powinien się kierować przy dokonywaniu oceny, czy może przetwarzać dane na podstawie art. 6 ust. 1 lit. f) RODO.
Analizując kryterium prawnie uzasadnionego interesu administratora danych jako podstawy przetwarzania, należy odpowiedzieć sobie na pytanie, jaki konkretnie rodzaj interesów administratora uzasadnia proces przetwarzania danych? W znakomitej większości wypadków interes ten ma dla administratora charakter gospodarczy (ekonomiczny).
Ponadto, aby oprzeć proces przetwarzania danych w celu marketingowym o prawnie uzasadniony interes administratora, nie można poprzestać na zidentyfikowaniu tego prawnie uzasadnionego interesu. Konieczne jest przeprowadzenie dodatkowych analiz. Administrator każdorazowo musi przeprowadzić analizę czy przyjęcie takiej podstawy prawnej w danej sytuacji jest w ogóle możliwe. W celu dokonania takiej oceny, administrator danych musi przeprowadzić tzw. test równowagi, w którym zestawi ze sobą swój prawnie uzasadniony interes oraz podstawowe prawa i wolności podmiotu danych, którego dane mają być przetwarzane.
Najważniejszym z kryteriów, który w teście równowagi powinien wziąć pod uwagę administrator, jest przeprowadzenie analizy czy podmiot danych może spodziewać się, że jego dane będą przetwarzane w celu marketingu bezpośredniego, a więc przeanalizować, czy z podmiotem danych łączy go odpowiednia relacja lub istnieje podstawa pozwalająca na obiektywne stwierdzenie, że podmiot danych może spodziewać się prowadzenia wobec niego marketingu bezpośredniego.
Taki rodzaj relacji administratora z podmiotem danych, która uzasadnia prowadzenie marketingu bezpośredniego w oparciu o prawnie uzasadniony interes to sytuacja, w której podmiot danych jest klientem administratora lub otrzymał od administratora jakieś korzyści np. często wykorzystywane w działaniach marketingowych bezpłatne ebooki, poradniki, szkolenia lub „webinary”. Zatem przykładowo administrator danych może kierować marketing bezpośredni do aktualnych, a także byłych kontrahentów o ile mogą się oni spodziewać takiego marketingu. W tym ostatnim przypadku należy dodatkowo ocenić, jak dawno temu zakończyła się dana relacja z klientem.
Test równowagi wymaga od administratora przeanalizowania także, czy zamierzone przetwarzanie danych w oparciu o jego prawnie uzasadniony interes może stanowić zagrożenie dla podmiotu danych, a w szczególności dla prywatności podmiotu danych. W tym kontekście należy bardzo ostrożnie podchodzić do częstotliwości i rodzaju używanych narzędzi marketingu bezpośredniego i poddawać je każdorazowo ocenie, czy dana forma komunikatu może naruszyć prywatność podmiotu danych [2].
Administrator danych osobowych nie może powołać się na przesłankę z art. 6 ust. 1 lit. f RODO, gdy nadrzędny charakter wobec interesów administratora mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony (w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem). Przesłanka z art. 6 ust. 1 lit. f RODO nie znajdzie też zastosowania w przypadku marketingu innego niż bezpośredni. Poza tym przepis ten nie może być wykorzystywany w przypadku przetwarzania:
- którego dokonują organy publiczne w ramach realizacji swoich zadań (właściwa jest wówczas podstawa z art. 6 ust. 1 lit. e RODO);
- szczególnych kategorii danych osobowych, a także danych osobowych dotyczących wyroków skazujących i naruszeń prawa – podstawy prawne przetwarzania tych grup danych osobowych regulują bowiem odrębne przepisy (zob. art. 9-10 RODO);
- polegającego na profilowaniu, gdyż co do zasady możliwe jest ono za zgodą osoby, której dane dotyczą (czyli na podstawie art. 6 ust. 1 lit. a RODO) [3].
Omawiając zasady przetwarzania danych w oparciu o prawnie uzasadniony interes administratora danych należy zaznaczyć, że skorzystanie z tej przesłanki w polskim porządku prawnym nie uchroni administratora danych od konieczności odebrania od podmiotu danych zgody na przetwarzanie danych w celu marketingu bezpośredniego.
Wymóg uzyskania tej zgody, nawet w przypadku, gdy mowa o marketingu opartym o prawnie uzasadniony interes administratora danych nie wynika wprawdzie z RODO, ale ze szczególnych przepisów prawa polskiego.
Mowa tutaj o art. 172 ust. 1 Ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, który przewiduje, że „Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę”.
Prawo telekomunikacyjne wprowadziło zatem do polskiego porządku prawnego obowiązek zbierania zgody użytkownika końcowego na stosowanie wobec niego szeroko rozumianego marketingu bezpośredniego, takiego jak e-mailing, telemarketing, SMS, VoIP, wiadomości push, kierowane telefon, komputer, laptop (telekomunikacyjne urządzenia końcowe).
Zatem w polskim porządku prawnym wykorzystywanie urządzeń telekomunikacyjnych do stosowania marketingu bezpośredniego musi być poprzedzone uzyskaniem zgody podmiotu danych, niezależnie od tego, jaką podstawę do przetwarzania danych w oparciu o RODO posiada administrator.
Podsumowując – jeśli danych zdecyduje się oprzeć przetwarzanie danych o prawnie uzasadniony interes, to i tak musi liczyć się z koniecznością odebrania zgody na przetwarzanie danych z wykorzystaniem urządzeń telekomunikacyjnych. Administrator powinien zadbać o to, aby wyrażenie tej zgody było dobrowolne, a treść zgody zaprezentowana w taki sposób, aby przeciętny odbiorca mógł zrozumieć jej treść [4].
Sprzeciw wobec przetwarzania danych
Osoba fizyczna, której dane są przetwarzane w oparciu o prawnie uzasadniony interes administratora, ma prawo do wyrażenia w każdej chwili sprzeciwu wobec przetwarzania danych. W takim wypadku administrator jest zobowiązany do zaprzestania kierowania komunikatów marketingowych i nie może już w przyszłości przetwarzać danych osobowych tej osoby do takich celów. Co więcej, administrator nie ma prawa ocenić, czy sprzeciw podmiotu danych był zasadny ani oceniać wystąpienie jakichkolwiek okoliczności faktycznych lub prawnych będących podstawą sprzeciwu podmiotu danych. Wniesienie sprzeciwu definitywnie przekreśla prowadzenie marketingu bezpośrednio wobec danej osoby.
Zgoda na przetwarzanie danych osobowych
Alternatywną podstawą przetwarzania danych w celu marketingu bezpośredniego jest oparcie ich o zgodę podmiotu danych. Zgoda taka może być wyrażona w formie oświadczenia lub wyraźnego działania potwierdzającego i musi spełniać wymogi, które zostały wyraźnie określone w przepisach RODO.
Wyrażenie zgody może więc polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. Zgoda musi być wyrażona dobrowolnie, a więc nie może być na podmiocie danych wymuszona. Nie może też być wyrażona równocześnie na kilka celów przetwarzania. Wymóg konkretności zgody oznacza natomiast, że zgoda musi precyzyjnie określać cel przetwarzania i wskazywać zakres danych, które w tym celu będą przetwarzane.
Kolejnym elementem, który dla ważności zgody musi być wzięty pod uwagę przez administratora jest zapewnienie, aby zgoda była wyrażona w sposób świadomy przez podmiot danych, a więc by przed jej wyrażeniem były przedstawione mu informacje, umożliwiające zrozumienie tego, na co wyraża zgodę. Zgoda powinna być wyrażona także prostym i jasnym językiem. Kryterium jednoznaczności zgody wymaga jednoznacznego okazania zgody w formie oświadczenia lub wyraźnego działania potwierdzającego.
Często procesy przetwarzania danych i wymogi dotyczące wyrażenia zgody na przetwarzanie danych mogą być tak skonstruowane, że zgody wyrażane w oparciu przepisy RODO będą jednocześnie spełniały wymogi zgody wyrażanej na kanały komunikacji bezpośredniej, w myśl polskich przepisów prawa telekomunikacyjnego.
W poszczególnych stanach faktycznych administrator danych osobowych może dokonać wyboru, czy marketing bezpośredni oprze na swoim prawnie uzasadnionym interesie, czy też o zgodę podmiotu danych. Taką decyzję administrator musi podjąć przed rozpoczęciem procesu przetwarzania, a podstawa przetwarzania musi być jasno i precyzyjnie wskazana. Oznacza to również, że w przypadku cofnięcia zgody na przetwarzanie danych osobowych administrator nie może oprzeć procesu przetwarzania na prawnie uzasadnionym interesie.
Możliwe jest jednak takie skonstruowanie zasad przetwarzania danych osobowych w celu marketingowym, że w okresie obowiązywania umowy z klientem marketing bezpośredni będzie oparty o prawnie uzasadniony interes administratora danych, a w późniejszym czasie – na podstawie zgody.
Wybór jednej z przedstawionych wyżej podstaw prawnych do przetwarzania danych osobowych do celów marketingu bezpośredniego powinien być poprzedzony analizą, która z nich będzie bardziej optymalna dla administratora, uwzględniając przy tym m. in. relacje pomiędzy klientem a administratorem danych, jak również planowane kanały komunikacji z klientem. Przykładowo, w przypadku wyboru jako podstawy prawnej przetwarzania danych prawnie uzasadnionego interesu administratora w sytuacji, gdy ten zamierza prowadzić marketing bezpośredni przy użyciu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących, administrator wciąż będzie zobligowany do pozyskania od klienta zgody na stosowanie tych narzędzi. W konsekwencji, w takich przypadkach administrator będzie miał obowiązek wdrożyć odpowiednio skonstruowane zgody na taki kontakt z klientem, a także przeprowadzić test równowagi. Wydaje się więc, że wybór podstawy prawnej przetwarzania danych osobowych jako prawnie uzasadniony interes administratora może w takim przypadku skutkować nałożeniem na administratora bardziej uciążliwych obowiązków niż gdyby opierał przetwarzanie danych osobowych do celów marketingu bezpośredniego na zgodzie klienta [5].
Legalny marketing wymaga zachowania zgodności nie tylko z przepisami RODO, ale też z przepisami innych ustaw, w szczególności: ustawy o świadczeniu usług drogą elektroniczną – która reguluje m.in. zagadnienia przesyłania informacji handlowej drogą elektroniczną (np. newslettera, ofert promocyjnych), ustawy – prawo telekomunikacyjne [od 10 listopada 2024 roku ustawa – prawo komunikacji elektronicznej], a także ustawy o prawie autorskim i prawach pokrewnych – regulującej m.in. zasady wykorzystywania wizerunku, co może być istotne np. przy prowadzeniu marketingu za pośrednictwem różnego rodzaju konkursów opartych na zdjęciach/nagraniach przedstawiających wizerunki [6].
[1] https://www.parp.gov.pl/component
[2] https://www.parp.gov.pl/component
[4] https://www.parp.gov.pl/component
[5] https://www.parp.gov.pl/component