Od 25 maja 2018 r. pracujemy pod reżimem RODO. Wbrew często spotykanym obawom formułowanym w trakcie licznych dyskusji oraz publikacji – nie oznaczało to zakończenia działalności firm zajmujących się marketingiem bezpośrednim oraz brokerów danych osobowych.
Nowy stan prawny rodził cały szereg pytań i zagadnień praktycznych, istotnych zarówno dla osób zainteresowanych tego rodzaju usługami firm, które je świadczą, jak również osób, będących odbiorcami kampanii marketingowych. W niniejszym artykule skoncentruję się na analizie podstaw dla budowania zbiorów danych na cele działań marketingowych, realizowanych poprzez bądź ze wsparciem profesjonalnych firm prowadzących działalność w tym zakresie, na przykładzie firmy DBMS Sp. z o.o.
Istnieje potencjalnie szereg źródeł danych, które wykorzystywane są w kampaniach.
Z pełną świadomością nie użyłem określenia „danych osobowych”, ponieważ każdy podmiot, który buduje duże zbiory danych na potrzeby marketingowe i wykorzystuje zarówno dane osobowe, jak i również informacje, które nie mają takiego charakteru. Nie każdy mail i nie każdy numer telefonu będzie daną osobową. Przykładowo – adres biuro@firmaprzykładowa.pl nie jest daną osobową. Nie oznacza to, że na skrzynkę taką można bezrefleksyjnie kierować dowolną korespondencję – bowiem ochronę przed SPAMEm obok RODO zapewnia w Polsce jeszcze ustawa o świadczeniu usług drogą elektroniczną oraz prawo telekomunikacyjne. Niemniej fakt niepodlegania pod RODO oznacza brak obowiązku informacyjnego czy brak konieczności realizowania żądań podmiotów danych w zakresie wynikającym z Rozporządzenia.
Istnieje kilka podstawowych źródeł danych, z których korzystają firmy, zajmujące się marketingiem elektronicznym e-mail marketingiem czy telemarketingiem:
- Dane pozyskane bezpośrednio;
- Dane zakupione od innych podmiotów;
- Dane powierzone przez inne podmioty;
- Dane dostępne publicznie;
W praktyce każdej firmy wyróżnić możemy wiele rodzajów danych, pozyskiwanych bezpośrednio. Przykładowo mogą być to informacje „wizytówkowe” zdobyte w trakcie bezpośredniego kontaktu z daną osobą czy firmą, dane z maili, formularzy kontaktowych czy dane pozyskane w trakcie promocji, eventów, warsztatów lub konferencji. Jednak w praktyce działalności firm marketingowych w zasadzie jedynym liczącym się źródłem danych tej kategorii są dobrowolne zgody.
Zgoda taka musi dotyczyć prawa do wykorzystania danych osobowych przez administratora – czyli najczęściej firmę pozyskującą te dane – w celu marketingu produktów i usług firm trzecich – jego klientów. Co ważne, zgoda taka nie może być sformułowana nazbyt szeroko, a jeżeli istnieje kilka celów przetwarzania, powinno być również kilka zgód – odrębnie dla każdego z tych celów. RODO wymaga, aby w momencie pozyskiwania takich danych zrealizować obowiązek informacyjny z art. 13, przy czym nie jest konieczne składanie w tym zakresie dodatkowych oświadczeń przez osobę udostępniającą swoje dane, z czym czasem możemy się jeszcze spotkać.
Pozyskanie zgody nie jest łatwe – najczęściej firmy w celu jej uzyskania proponują jakieś usługi lub benefity – rabaty, zniżki, dostęp do darmowych lub rabatowanych publikacji. Np. firma DBMS udostępnia nowoczesne rozwiązanie pozwalające na wyszukiwanie rabatów i ofert specjalnych – https://oferro.com/
Sama usług jest dla użytkownika użyteczna i nieodpłatna. W tym wypadku można w pewnym uproszczeniu wskazać, że podanie danych osobowych, które zostają później użyte w płatnych kampaniach realizowanych przez DBMS na rzecz swoich klientów stanowi swoistą „cenę” za korzystanie z tej funkcjonalności. Niektóre firmy na podobnych zasadach organizują konkursy, oferują rabaty. Służy to pozyskaniu możliwie największych baz dobrowolnych zgód. Są również osoby, które świadomie udostępniają swoje dane, w trakcie wypełniania ankiet czy formularzy dotyczących preferencji konsumenckich. Współpraca z rzetelną firmą zajmującą się działalnością marketingową pozwala bowiem na uzyskiwanie kierowanej preferencjami zakupowymi informacji handlowej i uzyskania dostępu do atrakcyjnych promocji.
Tak pozyskane dane mogą być przetwarzane w oparciu o art. 6 ust. 1 lit. a RODO aż do czasu wycofania zgody. Prawo do wycofania zgody przysługuje w każdej chwili i nie może być w żaden sposób ograniczane przez administratora. Korzystanie z tych danych jest legalne i nie rodzi ani kontrowersji, ani wątpliwości, zaś administratorem zbioru będzie najczęściej firma, która takie dane pozyskała.
Także w praktyce korzystania z baz budowanych w oparciu o zgody, pojawiają się problemy i wątpliwości. Do najważniejszych można zaliczyć: kwestie wiarygodności danych pozyskanych przez internet – nie mamy pewności, czy osoba, której dane zostały nam przekazane to rzeczywiście ta sama osoba, której dane te dotyczą. W praktyce pozyskiwanie fałszywych danych zdarza się. Czasami wynika to z błędu czy pomyłki osoby udzielającej zgody, czasami jest to działanie świadome. Trudno jednak administratorowi na poziomie pozyskiwania danych zweryfikować taką nieprawidłowość.
Dyskusje budzi również kwestia minimalnej treści i szczegółowości samej zgody, jak również dopuszczalność łączenia różnych zgód (np. zgody na wykorzystanie danych w celach marketingowych ze zgodą na przetwarzanie danych w celach marketingowych). Także Europejska Rada Ochrony Danych, jak i nasz lokalny PUODO niemało miejsca poświęcili dopuszczalności dalszego korzystania z danych pozyskanych w poprzednim reżimie prawnym – czyli przed 26 maja 2018 r. Ciekawym problemem praktycznym, z którym się spotkałem była również zmiana abonenta telefonu – którego numer uznawany jest za daną osobową. Kto inny bowiem wprowadził ten numer do formularza zgody, a kto inny był jego dysponentem po zmianie abonenta, o której administrator nie wiedział aż do czasu otrzymania skargi na bezpodstawne przetwarzanie danych.
Kolejnym źródłem danych osobowych, zawartych w zbiorach marketingowych firm, takich jak DBMS są dane zakupione od innych podmiotów.
Taki „zakup” w praktyce odbywa się najczęściej na dwa sposoby.
- Pierwszym jest przekazanie określonego zbioru danych na zasadzie „administrator do administratora”– potocznie nazywane „sprzedażą bazy”. I tu należy wskazać, iż aby taka „sprzedaż” była skuteczna, a baza mogła być legalnie wykorzystywana przez nabywcę, zgoda udzielona przez osobę udostępniającą dane powinna obejmować taki właśnie cel. Nie można bowiem utożsamiać celu w postaci wysyłki informacji handlowej – nawet na rzecz partnerów administratora ze zgodą na permanentne przekazanie danych tym partnerom.
- Drugą możliwością uzyskania zbioru, stworzonego na bazie zgód przez inną firmę jest jego cesja na rzecz nowego administratora związana z zakupem firmy lub jej zorganizowanej części – obejmującej prawa do tego zbioru (w tym w związku z procesem likwidacji czy upadłości). W tej sytuacji nowy administrator niejako „wchodzi” w całość praw i obowiązków w miejsce poprzedniego administratora. Dane takie może wykorzystywać tak, jakby pozyskał je bezpośrednio.
W obu jednak opisanych powyżej przypadkach nabycia bazy od innej firmy wymagana jest realizacja obowiązku informacyjnego z art. 14 RODO (pozyskanie danych od innego podmiotu niż osoba, której dane te dotyczą) najpóźniej w terminie miesiąca od uzyskania statusu administratora.
Istotnym ryzykiem korzystania z tego typu danych jest odpowiedzialność, za ich prawidłowość i rzetelność, którą będzie ponosił administrator. Nie można bowiem zasłaniać się, że to inny podmiot pozyskiwał dane. To aktualny administrator musi wykazać, że udzielono zgody oraz że była ona prawidłowa. Dlatego przed nabyciem takiej bazy warto dokonać jej dokładnej weryfikacji.
Kolejnym sposobem pozyskania danych do kampanii jest uzyskanie licencji na dane od administratora.
W tej sytuacji firma, której udzielono licencje nie uzyska statusu administratora, a jedynie podmiotu przetwarzającego (procesora). Licencja jest ograniczona czasowo oraz określa, w jakim celu dane mogą być wykorzystywane. W tym momencie firma, która prowadzi kampanię na danych objętych licencją, realizuje polecenie administratora i działa w jego imieniu – mimo tego, że prowadzi kampanię dotyczącą usług własnych lub usług jej klientów. W świetle ograniczenia możliwości „sprzedaży” baz, w związku z koniecznością posiadania odrębnej zgody na ten cel, licencje stały się pod rządami RODO głównym sposobem przekazywania danych przez brokerów oraz między brokerami. Z poziomu praw osób, których dane są przetwarzane, stan ten ma kilka istotnych zalet.
- Po pierwsze, zapobiega „pączkowaniu” i mnożeniu zbiorów.
- Po drugie, wiadomo, do kogo zwrócić się z żądaniem usunięcia czy korekty danych lub sprzeciwem co do ich przetwarzania. Zaś to na administratorze będzie już spoczywał obowiązek poinformowania wszystkich, którym dane powierzył na podstawie licencji i zadbanie o usunięcie danych przez wszystkich licencjobiorców. To administrator będzie odpowiadał również za nieprawidłowości w przetwarzaniu danych. Dane zostaną usunięte ze zbiorów po upływie okresu licencji bez konieczności podejmowania dalszych działań w tym zakresie. Korzystanie z licencji jest przede wszystkim ryzykowne dla administratora, który odpowiada za działania swoich procesorów i właściwe zabezpieczeni danych. Pojawia się również ryzyko regulacyjne – związane z tym, czy taki model współpracy z brokerem w danych konkretnym przypadku nie zostanie uznany za nieprawidłowy. Po stronie podmiotu korzystającego z licencji pojawia się kwestia ograniczenia jej zakresu. Przy przeniesieniu (zakupie) zbioru panowała tu dowolność. Licencja dowolność tą ogranicza – zarówno cel przetwarzania, jak i jego czas powinny być zbieżne z licencją, zaś dane pozyskane w ramach licencji nie powinny na stałe zasilić zbioru danych licencjobiorcy – chyba że w okresie ich przetwarzania uzyska inną podstawę, pozwalającą mu na wejście w rolę administratora (np. zgodę). Dodatkowo kupujący licencję ponosi też ryzyko związane z jej jakością. Realizując kampanię na tym zbiorze, odpowiada bowiem za wymogi wynikające z art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 prawa telekomunikacyjnego – czyli zgody na marketing bezpośredni poprzez telefon lub komputer. Dlatego ważne jest, aby dane objęte licencją zawierały odpowiednie zgody także w tym zakresie.
Ostatnim ze źródeł pozyskania danych przez brokerów są dane dostępne publicznie – np. wpisy w KRS, CEIDG czy na stronach internetowych firm lub w publicznych profilach na portalach społecznościowych, czy w Księgach Wieczystych.
Możliwość wykorzystania takich danych budziła i nadal budzi sporo kontrowersji. Niemniej warto wspomnieć, że w świetle ostatnich interpretacji Urzędu Ochrony Danych Osobowych, jak i orzecznictwa NSA, w odniesieniu do RODO przetwarzanie takich danych będzie dopuszczalne. Korzystanie z danych ze źródeł dostępnych publicznie dla celów marketingowych wymaga jednak dużej ostrożności. Należy bowiem pamiętać, że marketing prowadzony drogą elektroniczną regulowany jest nie tylko przez RODO. Przesłanie niezamówionego komunikatu na tak pozyskany adres może więc wiązać się z naruszeniem innych przepisów. Stąd zarówno treść komunikatu, jak i sposób komunikacji wymagają spełnienia określonych wymogów. Wydaje się, że dołączanie tak zdobytych danych do głównego zbioru nie będzie bezpiecznym dla firmy prowadzącej kampanie rozwiązaniem. Wykorzystanie takich danych można za to rozważyć przy realizacji konkretnego projektu.
W świetle powyższych rozważań nie ulega wątpliwości, że budowanie baz, prowadzenie kampanii marketingowych czy przekazywanie zbiorów danych również pod regulacją RODO nie stanowi problemu, wymaga jednak pewnej wiedzy i know-how. Począwszy od sposobu konstrukcji zgody, zbudowania mechanizmów prawnych i informatycznych w celu zabezpieczenia danych czy znajomości zasad związanych z ich udostępnianiem lub realizowaniem kampanii w oparciu o takie dane. Stąd też warto korzystać z usług podmiotów, które posiadają w tym zakresie doświadczenie i umiejętności.
W praktyce funkcjonowania firm zajmujących się e-mail marketingiem lub telemarketingiem wyróżnić można dwa podstawowe modele działania.
Jednym jest przekazywanie wyselekcjonowanych według określonych przez klienta danych na potrzeby przeprowadzenia kampanii bezpośrednio przez tego klienta – czyli skorzystanie z opisanego modelu licencyjnego. Jest to w praktyce działanie brokera danych, dostosowane do obecnych realiów i ograniczeń z tym związanych, ale nie zwalniające odbiorcy danych z ryzyka związanego z ich wykorzystaniem.
Drugim modelem jest prowadzenie kampanii we własnym imieniu, przy wykorzystaniu własnych narzędzi, na zlecenie klienta, gdzie w praktyce nie dochodzi do przekazania danych. Przykładem takiego rozwiązania jest DMSender udostępniany przez DBMS.
I tylko to drugie rozwiązanie daje firmie, która jest beneficjentem kampanii bezpieczeństwo. Tylko bowiem w tej sytuacji całe opisane powyżej ryzyko prawne obciąża firmę prowadząca kampanię. Jej klient nie musi zastanawiać się, czy dane pozyskano prawidłowo, czy zostały uzyskane wszystkie wymagane zgody, czy ich zakres zbieżny jest z celami, jak również realizować obowiązków procesora lub administratora, jak również zapewniać bezpieczeństwa danych.