Baza danych marketingowych a ochrona danych osobowych cz. II

Transkrypt

1 Baza danych marketingowych a ochrona danych osobowych cz. II Podmiot, który gromadzi dane osobowe tworząc w ten sposób swoją bazę danych (tzw. zbiór danych) staje się ich administratorem i jest zobowiązany przetwarzać dane osobowe z poszanowaniem zasad wynikających z powszechnie obowiązujących przepisów prawa, w tym przepisów o ochronie danych osobowych. Profesjonalne bazy danych są dziś istotnym elementem realizowanych projektów marketingowych. Kluczem do sukcesu z pewnością są umiejętnie dobrane narzędzia marketingowe, ale również zdobycie zaufania adresatów wiadomości marketingowych, poprzez respektowanie ich praw. Dlatego mając na uwadze wartość umiejętnie zbudowanej bazy, należy poza wyborem skutecznych machanizmów rozbudowy bazy danych zadbać również o spełnienie wielu wymogów formalnych. Budowanie bazy danych marketingowych w 7 krokach: 1. Zasada adekwatności pozyskiwanych danych czyli jakie dane zbierać? Wiele podmiotów zakłada, że im więcej pozyskanych informacji o adresatach przekazu marketingowego tym lepiej. Prawdą jest, że posiadanie szczegółowych informacji o adresatach pozwala na trafne dopasowanie treści wiadomości do ich zainteresowań i potrzeb. Niestety wysyłanie spersonalizowanych informacji marketingowych wciąż stanowi rzadkość. Natomiast gromadzenie informacji o adresacie, o zakresie szerszym, niż jest to niezbędne do zrealizowania celu w jakim dane osobowe są pozyskiwane, stanowi naruszenie zasady adekwatności przetwarzania danych osobowych. Zgodnie bowiem z art. 26 ust.

2 1 pkt. 3 UODO należy dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnić, aby dane te były adekwatne w stosunku do celów, w jakich są przetwarzane. Co więcej, badania pokazują, że im więcej pól w formularzu, tym mniej chętnych do jego uzupełnienia. Dlatego mając na uwadze powyższe warto zadbać, aby zbierane od adresatów dane ograniczały się do podstawowych informacji np. imienia, adresu / nr telefonu. 2. Zgoda adresata na przesyłanie informacji handlowych jak ją uzyskać? Podmioty chcące prowadzić wysyłkę informacji handlowych muszą uzyskać zgodę danej osoby na ich otrzymywanie. Brak takiej zgody stanowi naruszenie prawa i może być podstawą do wystąpienia przez adresata z roszczeniami cywilnoprawnymi wobec nadawcy. Jak w związku z tym uzyskać zgodę? Podmiot może poprosić o jej wyrażenie na przykład: poprzez stronę internetową, umieszczając stosowne zgody pod formularzem rejestracyjnym, formularzem kontaktowym, zapisem na newsletter prowadząc ankiety, badania rynkowe organizując konkursy zawierając umowy Kluczowy jest przy tym fakt, że wyrażenie zgody na otrzymywanie informacji handlowych jest prawem, nie obowiązkiem. Niepoprawne jest domniemanie zgody z oświadczenia woli o innej treści. To oznacza na przykład, że rejestracja klienta na stronie internetowej, nie może być rozumiana jako udzielenie zgody na otrzymywanie informacji handlowej od właściciela strony. Klient musi udzielić odrębnej, wyraźnej i

3 dobrowolnej zgody. Ustawa nie przesądza o formie pozyskania przedmiotowych zgód. Jednym z powszechnie znanych sposobów jest możliwość wyrażenia zgody poprzez zaznaczenie odpowiedniego oświadczenia w formie check boxu. Jego zaznaczenie (uwaga! nie odznaczenie) może być traktowane jako wyrażenie zgody. Niedopuszczalne jest, aby opcja wyrażam zgodę była zaznaczona w momencie otwarcia okienka. Klient musi sam wybrać tę opcję. Budując profesjonalną bazę danych marketingowych warto mieć świadomość, że zgoda, którą należy uzyskać, aby zgodnie z przepisami prawa prowadzić działania marketingowe nie ogranicza się do jednej ustawy. Zagadnienie zgody na wysyłkę informacji handlowych na adresy lub przedstawianie ich drogą telefoniczną należy rozpatrzeć z perspektywy trzech ustaw: ustawa o ochronie danych osobowych art. 23 W związku z tym, że numer telefonu lub adres (w przypadkach, kiedy pozwala nam na identyfikację osoby fizycznej) stanowią dane osobowe, aby je przetwarzać należy dysponować przesłanką legalizującą. Niezbędne jest zatem pozyskanie zgody na przetwarzanie danych osobowych w celach marketingowych. Wyrażam zgodę na przetwarzanie moich danych osobowych przez XYZ sp. z o. o. w celach marketingowych, w tym m. in. dla informowania o aktualnych akcjach promocyjnych i aktualnej ofercie. ustawa o świadczeniu usług drogą elektroniczną art. 10 Na podstawie art. 10 ust. 1 uśude, nie można przesyłać za pomocą środków komunikacji elektronicznej niezamówionej informacji handlowej, a za informację zamówioną, uważamy taką, na której otrzymanie odbiorca (będący osobą fizyczną) wyraził

4 zgodę. Wyrażam zgodę na otrzymywanie drogą elektroniczną informacji handlowych w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną ( tekst jedn. Dz. U. z 2016, poz z późn. zm.) o treści marketingowej pochodzącej od XYZ sp. z o. o. ustawa prawo telekomunikacyjne art. 172 O ile uśude, zezwala na wysyłkę niezamówionej informacji handlowej do podmiotów nie będących osobą fizyczną, to w związku z art. 172 pr. telekom. zgody wymaga również przesyłanie informacji handlowych osobom prawnym. Powyższy przepis zakazuje, używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących (urządzenia służące do wysyłania wiadomości , SMS, MMS, czy inicjowania połączeń telefonicznych), do marketingu bezpośredniego, chyba, że abonent lub użytkownik końcowy, a więc każdy podmiot, nie tylko osoba fizyczna, uprzednio wyraził na to zgodę. Zgody z uśude oraz pr. telekom. funkcjonować powinny obok siebie niezależnie. Wyrażam zgodę na wykorzystywanie przez XYZ sp. z o. o. urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego w rozumieniu przepisów ustawy z dnia 16 lipca 2014 r. Prawo telekomunikacyjne ( tekst jedn. Dz. U poz z późn. zm.) Podsumowując powyższe, w związku z przepisami UODO, uśude oraz pr. telekom. przed wysyłką informacji handlowych, a co za tym idzie przed rozpoczęciem procesu przetwarzania danych osobowych w celach marketingowych, od ich adresatów (bez względu na to czy są to osoby fizyczne czy firmy) powinny zostać zebrane stosowne zgody. Należy pamiętać o tym już na etapie wdrażania narzędzi do budowania bazy danych marketingowych, inaczej działania marketingowe nie przyniosą

5 zamierzonych rezultatów. Nikt nie chce otrzymywać informacji, których nie zamawiał, i którymi nie jest zainteresowany.

6 3. Obowiązek informacyjny o czym należy poinformować adresata? Obowiązek informacyjny na etapie pozyskania danych kształtuje się w zależności od źródła, z którego dane pochodzą. Jeżeli dane zbierane są od osoby, której dotyczą, należy poinformować tę osobę o : Adresie swojej siedziby i pełnej nazwie administratora, Celu zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych, Prawie dostępu do treści swoich danych oraz ich poprawiania,

7 4. Dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej Spełnienie obowiązku informacyjnego jest o tyle ważne, że dzięki niemu osoba, której dane dotyczą ma świadomość, że jej dane są wykorzystywane, a także w jaki sposób to się odbywa. Dodatkowo, jeżeli osoba, której dane zostały pozyskane ze źródeł powszechnie dostępnych, nie chce, aby były one przetwarzane przez określony podmiot, może zażądać usunięcia jej danych osobowych. Klauzule informacyjną zaleca się zamieścić w widocznym, łatwo dostępnym miejscu np. pod formularzem, czy w regulaminie strony internetowej. 4. Cofnięcie zgody kiedy jest możliwe? Dbając o adresatów przekazu marketingowego należy pamiętać, że zgoda, która została udzielona na przetwarzanie danych osobowych w celach marketingowych oraz przekazywanie informacji handlowych może być odwołana w każdym czasie, bez konieczności podawania powodu. Dlatego istotne jest zagwarantowanie tego prawa osobom, w stosunku do których prowadzone są działania marketingowe. Zalecane jest

8 poinformowanie o możliwości i formie cofnięcia zgody już na etapie jej pozyskania. 5. Rejestr pozyskanych zgód jakie informacje warto odnotować? W budowaniu bazy danych ważna jest również dbałość o jej przejrzystość. Należy dopilnować by każdorazowo wyrażona zgoda rejestrowana była w systemie. Posiadanie takiej informacji z pewnością posłuży jako dowód w sytuacji złożenia skargi przez adresata przekazu marketingowego. Rejestr powinien wskazywać: dokładną datę wyrażenia zgody adres / login/ nazwę osoby treść wyrażonej zgody dokładną datę cofnięcia zgody 6. Zgłoszenie zbioru danych do rejestru kiedy jest to konieczne? Zgłoszenie zbioru danych osobowych (danych z bazy marketingowej) do rejestru prowadzonego przez GIODO jest regułą, od której wyjątki wymienione zostały w art. 43 ust. 1 pkt 1-12 UODO. Katalog wyjątków jest zamknięty i niedopuszczalne jest interpretowanie ich rozszczerzająco. Oceny tego, czy istnieje konieczność zgłoszenie zbioru do rejestracji dokonuje podmiot, który jest administratorem tych danych. Istotną kwestią jest ustalenie, czy w podmiocie został powołany, a następnie zgłoszony do rejestru prowadzonego przez GIODO administrator bezpieczeństwa informacji (ABI). To bardzo ważna informacja związana z problematyką rejestracji zbiorów danych, albowiem funkcjonowanie ABI w strukturze ADO, zwalnia z obowiązku rejestracji, z wyjątkiem zbiorów zawierających dane wrażliwe. Jeżeli natomiast podmiot przetwarza dane osobowe w zbiorze jako administratora danych, a jednocześnie nie zachodzi żadna

9 z przesłanek określonych w art. 43 ust 1 i 1a UODO, to jest on zobligowany do zgłoszenia tego zbioru do rejestracji GIODO. 7. Korespondencja seryjna jak wysyłać? Zarządzanie bazą danych marketingowych to również umiejętność tworzenia odpowiednich treści do konkretnych adresatów, czyli tworzenie segmentów odbiorców. Badania pokazują jednak, że zdecydowana większość podmiotów korzystających z marketingu wysyła identyczną wiadomość do wszystkich adresatów. W sytuacji, gdy do wysyłki informacji handlowych wykorzystywana jest poczta elektroniczna, konieczne jest stosowanie kopii ukrytych podczas wysyłania informacji do wielu adresatów. Każdy program pocztowy ma pola Do wiadomości: i Ukryte do wiadomości. Pola te mogą też być oznaczone jako DW: i UDW:, CC: i BCC: lub po prostu Kopia: i Ukryta kopia:. Najlepsze do wysyłania i do wielu odbiorców jest pole UDW: nasz trafi do każdego z odbiorców, ale żaden z nich nie będzie widział pozostałych adresatów. Podsumowanie Budowanie bazy danych osobowych to niewątpliwie długotrwały proces, wymagający cierpliwości i wszechstronnej wiedzy. Mimo starań i wysiłku jaki należy włożyć, budowanie własnej bazy uznaje się za najlepszą formę pozyskiwania danych od adresatów przekazu marketingowego. Istnieje wiele możliwości gromadzenia danych, a wybór sposobu oraz narzędzi służących do pozyskiwania danych zależy wyłącznie od podmiotów zainteresowanych prowadzeniem działalności marketingowej. Pozwala to na pełną kontrolę zawartości bazy oraz prawidłowe zarządzanie danymi.

10 Źródła prawa: Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r., poz. 922 ze zm.), Ustawa z dnia 16 lipca 2014 r. Prawo telekomunikacyjne (Dz. U poz z późn. zm.) Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2016, poz z późn. zm.) Stanowisko GIODO (