Skąd legalnie pozyskiwać dane w marketingu i sprzedaży B2B?
Wejście w życie przepisów dotyczących RODO było ważnym wydarzeniem ...
Od 25 maja 2018 r. pracujemy pod reżimem RODO. Wbrew często spotykanym obawom formułowanym w trakcie licznych dyskusji oraz publikacji – nie oznaczało to zakończenia działalności firm zajmujących się marketingiem bezpośrednim oraz brokerów danych osobowych.
Nowy stan prawny rodził cały szereg pytań i zagadnień praktycznych dotyczących pozyskiwania danych, istotnych zarówno dla osób zainteresowanych tego rodzaju usługami firm, które je świadczą, jak również osób, będących odbiorcami kampanii marketingowych. W niniejszym artykule skoncentruję się na analizie podstaw dla budowania zbiorów danych na cele działań marketingowych, realizowanych przez lub ze wsparciem profesjonalnych firm, prowadzących działalność w tym zakresie, na przykładzie firmy DBMS Sp. z o.o.
Z pełną świadomością nie użyłem określenia „danych osobowych”, ponieważ każdy podmiot, który buduje duże zbiory danych na potrzeby marketingowe i wykorzystuje zarówno dane osobowe, jak i również informacje, które nie mają takiego charakteru. Nie każdy mail i nie każdy numer telefonu będzie daną osobową. Przykładowo – adres biuro@firmaprzykładowa.pl nie jest daną osobową. Nie oznacza to, że na skrzynkę taką można bezrefleksyjnie kierować dowolną korespondencję – bowiem ochronę przed SPAMEm obok RODO zapewnia w Polsce jeszcze ustawa o świadczeniu usług drogą elektroniczną oraz prawo telekomunikacyjne. Niemniej fakt niepodlegania pod RODO oznacza brak obowiązku informacyjnego czy brak konieczności realizowania żądań podmiotów danych w zakresie, który określa Ogólne Rozporządzenie o Ochronie Danych Osobowych.
W praktyce każdej firmy wyróżnić możemy wiele rodzajów danych pozyskiwanych bezpośrednio. Przykładowo, mogą być to informacje „wizytówkowe”, zdobyte w trakcie bezpośredniego kontaktu z daną osobą czy firmą, dane z maili, formularzy kontaktowych czy dane pozyskane w trakcie promocji, eventów, warsztatów lub konferencji. Jednak w praktyce działalności firm marketingowych w zasadzie jedynym liczącym się źródłem danych tej kategorii są dobrowolne zgody.
Zgoda taka musi dotyczyć prawa do wykorzystania danych osobowych przez administratora – czyli najczęściej firmę pozyskującą te dane – w celu marketingu produktów i usług firm trzecich – jego klientów. Co ważne, zgoda taka nie może być sformułowana nazbyt szeroko, a jeżeli istnieje kilka celów przetwarzania, powinno być również kilka zgód – odrębnie dla każdego z tych celów. Nowe przepisy – RODO – wymagają, aby w momencie pozyskiwania takich danych, zrealizować obowiązek informacyjny z art. 13, przy czym nie jest konieczne składanie w tym zakresie dodatkowych oświadczeń przez osobę udostępniającą swoje dane, z czym czasem możemy się jeszcze spotkać.
Pozyskanie zgody nie jest łatwe – najczęściej firmy w celu jej uzyskania proponują jakieś usługi lub benefity – rabaty, zniżki, dostęp do darmowych lub rabatowanych publikacji. Np. firma DBMS udostępnia nowoczesne rozwiązanie pozwalające na wyszukiwanie rabatów i ofert specjalnych – https://oferro.com/
Sama usług jest dla użytkownika użyteczna i nieodpłatna. W tym wypadku można w pewnym uproszczeniu wskazać, że podanie danych osobowych, które zostają później użyte w płatnych kampaniach realizowanych przez DBMS na rzecz swoich klientów, stanowi swoistą „cenę” za korzystanie z tej funkcjonalności. Niektóre firmy na podobnych zasadach organizują konkursy, oferują rabaty. Służy to pozyskaniu możliwie największych baz dobrowolnych zgód. Są również osoby, które świadomie udostępniają swoje dane, w trakcie wypełniania ankiet czy formularzy dotyczących preferencji konsumenckich. Współpraca z rzetelną firmą zajmującą się działalnością marketingową pozwala bowiem na uzyskiwanie kierowanej preferencjami zakupowymi informacji handlowej i uzyskania dostępu do atrakcyjnych promocji.
Tak pozyskane dane mogą być przetwarzane w oparciu o art. 6 ust. 1 lit. a RODO aż do czasu wycofania zgody. Katalog czynności przetwarzania jest otwarty, gdyż niemożliwe jest określenie z góry wszystkich czynności, które może obejmować zakres przetwarzania. Prawo do wycofania zgody przysługuje w każdej chwili i nie może być w żaden sposób ograniczane przez administratora. Korzystanie z tych danych jest legalne i nie rodzi ani kontrowersji ani wątpliwości, zaś administratorem zbioru będzie najczęściej firma, która takie dane pozyskała.
Także w praktyce korzystania z baz budowanych w oparciu o zgody, pojawiają się problemy i wątpliwości. Do najważniejszych można zaliczyć: kwestie wiarygodności danych pozyskanych przez internet – nie mamy pewności czy osoba, której dane zostały nam przekazane, to rzeczywiście ta sama osoba, której dane dotyczą. W praktyce zdarza się pozyskiwanie fałszywych danych. Czasami wynika to z błędu czy pomyłki osoby udzielającej zgody, czasami jest to działanie świadome. Trudno jednak administratorowi na poziomie pozyskiwania danych zweryfikować taką nieprawidłowość.
Dyskusje budzi również kwestia minimalnej treści i szczegółowości samej zgody, jak również dopuszczalność łączenia różnych zgód (np. zgody na wykorzystanie danych w celach marketingowych ze zgodą na przetwarzanie danych osobowych w celach marketingowych). Także Europejska Rada Ochrony Danych, jak i nasz lokalny PUODO niemało miejsca poświęcili dopuszczalności dalszego korzystania z danych pozyskanych w poprzednim reżimie prawnym – czyli przed 26 maja 2018 r. Ciekawym problemem praktycznym, z którym się spotkałem była również zmiana abonenta telefonu – którego numer uznawany jest za daną osobową. Kto inny bowiem wprowadził ten numer do formularza zgody, a kto inny był jego dysponentem po zmianie abonenta, o której administrator nie wiedział aż do czasu otrzymania skargi na bezpodstawne przetwarzanie danych.
Taki „zakup” w praktyce odbywa się najczęściej na dwa sposoby.
W obu jednak opisanych powyżej przypadkach nabycia bazy od innej firmy wymagana jest realizacja obowiązku informacyjnego z art. 14 RODO (pozyskanie danych od innego podmiotu niż osoba, której dane te dotyczą) najpóźniej w terminie miesiąca od uzyskania statusu administratora.
Istotnym ryzykiem korzystania z tego typu danych jest odpowiedzialność, za ich prawidłowość i rzetelność, którą będzie ponosił administrator. Nie można bowiem zasłaniać się, że to inny podmiot pozyskiwał dane. To aktualny administrator musi wykazać, że udzielono zgody oraz, że była ona prawidłowa. Dlatego przed nabyciem takiej bazy warto dokonać jej dokładnej weryfikacji.
W tej sytuacji firma, której udzielono licencje nie uzyska statusu administratora, a jedynie podmiotu przetwarzającego (procesora). Licencja jest ograniczona czasowo oraz określa, w jakim celu dane mogą być wykorzystywane. W tym momencie firma, która prowadzi kampanię na danych objętych licencją, realizuje polecenie administratora i działa w jego imieniu – mimo tego, że prowadzi kampanię dotyczącą usług własnych lub usług jej klientów. W świetle ograniczenia możliwości „sprzedaży” baz, w związku z koniecznością posiadania odrębnej zgody na ten cel, licencje stały się pod rządami RODO głównym sposobem przekazywania danych przez brokerów oraz między brokerami. Z poziomu praw osób, których dane są przetwarzane, stan ten ma kilka istotnych zalet.
Możliwość wykorzystania takich danych budziła i nadal budzi sporo kontrowersji. Niemniej warto wspomnieć, że w świetle ostatnich interpretacji Urzędu Ochrony Danych Osobowych, jak i orzecznictwa NSA, w odniesieniu do RODO, przetwarzanie takich danych będzie dopuszczalne. Korzystanie z danych ze źródeł dostępnych publicznie dla celów marketingowych wymaga jednak dużej ostrożności. Należy bowiem pamiętać, że marketing prowadzony drogą elektroniczną regulowany jest nie tylko przez RODO. Przesłanie niezamówionego komunikatu na tak pozyskany adres może więc wiązać się z naruszeniem innych przepisów. Stąd zarówno treść komunikatu, jak i sposób komunikacji wymagają spełnienia określonych wymogów. Wydaje się, że dołączanie tak zdobytych danych do głównego zbioru nie będzie bezpiecznym dla firmy prowadzącej kampanie rozwiązaniem. Wykorzystanie takich danych można za to rozważyć przy realizacji konkretnego projektu.
W świetle powyższych rozważań nie ulega wątpliwości, że budowanie baz, prowadzenie kampanii marketingowych czy przekazywanie zbiorów danych również pod regulacją RODO nie stanowi problemu, wymaga jednak pewnej wiedzy i know-how. Począwszy od sposobu konstrukcji zgody, zbudowania mechanizmów prawnych i informatycznych w celu zabezpieczenia danych czy znajomości zasad związanych z ich udostępnianiem lub realizowaniem kampanii w oparciu o takie dane. Stąd też warto korzystać z usług podmiotów, które posiadają w tym zakresie doświadczenie i umiejętności.
W praktyce funkcjonowania firm zajmujących się e-mail marketingiem lub telemarketingiem wyróżnić można dwa podstawowe modele działania.
Jednym jest przekazywanie wyselekcjonowanych według określonych przez klienta danych na potrzeby przeprowadzenia kampanii bezpośrednio przez tego klienta – czyli skorzystanie z opisanego modelu licencyjnego. Jest to w praktyce działanie brokera danych, dostosowane do obecnych realiów i ograniczeń z tym związanych, ale nie zwalniające odbiorcę danych z ryzyka związanego z ich wykorzystaniem.
Drugim modelem jest prowadzenie kampanii we własnym imieniu, przy wykorzystaniu własnych narzędzi, na zlecenie klienta, gdzie w praktyce nie dochodzi do przekazania danych. Przykładem takiego rozwiązania jest DMSender udostępniany przez DBMS.
I tylko to drugie rozwiązanie daje firmie, która jest beneficjentem kampanii bezpieczeństwo. Tylko bowiem w tej sytuacji całe opisane powyżej ryzyko prawne obciąża firmę prowadząca kampanię. Jej klient nie musi zastanawiać się, czy dane pozyskano prawidłowo, czy zostały uzyskane wszystkie wymagane zgody, czy ich zakres zbieżny jest z celami, jak również realizować obowiązków procesora lub administratora, jak również zapewniać bezpieczeństwa danych.
Przeczytaj więcej z tej kategorii
Trzeba bardzo uważać, bo kary są bardzo dotkliwe
Zupełnie zaskakujący koncept licencjobiorcy bazy danych jako procesora.