W obecnym stanie prawnym istnieją trzy niezależne od siebie przepisy dotyczące pozyskiwania zgód dla celów marketingowych:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych osobowych, dalej RODO) stanowi, iż przetwarzanie danych osobowych w celach marketingowych może zostać oparte na podstawie jednej z dwóch przesłanek umożliwiających dokonywanie operacji na danych.
Pierwszą z nich jest zgoda osoby, której dane dotyczą, udzielana na podstawie art. 6 ust. 1 lit. a) RODO. Taka zgoda musi wskazywać na cel przetwarzania danych jakim jest prowadzenie działań marketingowych przed administratora. Nie może to być zgoda ogólna, czyli taka, która nie odnosi się w konkretny sposób do tego, w jakim celu została wyrażona. Warto również mieć na uwadze, że zgoda na przetwarzanie danych osobowych może zostać w każdym momencie wycofana przez osobę, która zgodę taką wyraziła, a to czyni niemożliwym dalsze przetwarzanie danych tej osoby w celu związanym z udzieloną wcześniej zgodą.
Drugą z przesłanek jest przetwarzanie danych osobowych w celach marketingowych na podstawie prawnie uzasadnionego interesu administratora danych, o którym mowa w art. 6 ust. 1 lit. f) RODO. Wśród przykładów prawnie uzasadnionych interesów administratora preambuła RODO wymienia m.in. marketing bezpośredni. W tym przypadku nie jest wymagane odrębne zbieranie zgód na przetwarzanie danych, jednakże przed rozpoczęciem przetwarzania konieczne jest rozważenie, czy nie zachodzi sytuacja, gdzie nadrzędny charakter, wobec interesów administratora danych, mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (np. gdy dane dotyczą dziecka). Dodatkowo osoba, której dane dotyczą, ma prawo do złożenia sprzeciwu wobec przetwarzania danych co zmusza administratora do zaprzestania przetwarzania danych tej osoby.
WAŻNE! Pojęcie marketingu, o którym mowa w RODO, definiowane jest jako działanie polegające na bezpośrednim kierowaniu komunikatów do konkretnych klientów – osób fizycznych i polega na indywidualnym kontakcie pracownika firmy, podejmującego działania marketingowe z klientem w celu wywołania u niego określonej reakcji. Mowa tutaj zatem o tradycyjnym kanale komunikacji (face to face, przekazanie ulotki, wysłanie informacji marketingowej za pośrednictwem poczty tradycyjnej). Marketing w tym rozumieniu to także budowanie baz danych osobowych osób fizycznych, do których komunikaty marketingowe będą bezpośrednio kierowane. Korzystając ze stworzonych baz danych osobowych, firma staje się administratorem tych danych i w tym przypadku powinna ona spełnić wobec osoby, której dane dotyczą obowiązki wynikające z RODO, m.in. obowiązek informacyjny.
W dobie rozwiniętej technologii dla większości firm skuteczność marketingu bezpośredniego zależy od możliwości wykorzystania innych niż tylko tradycyjna forma przekazu informacji handlowej potencjalnemu klientowi. Chodzi przede wszystkim o możliwość wysyłania informacji handlowej za pomocą środków komunikacji elektronicznej (np. wiadomości e-mail), czy też urządzeń telefonicznych (rozmowa, SMS, MMS). Przepisy polskiego prawa w tym przypadku stawiają szczególne wymogi w odniesieniu do przetwarzania danych osobowych w celu marketingu bezpośredniego. Klasycznymi przykładami są:
- Ustawa o świadczeniu usług drogą elektroniczną (dalej u.ś.u.d.e.), która w art. 10 nakłada obowiązek uzyskania zgody na otrzymywanie informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej (w szczególności poczty elektronicznej);
- Ustawa – Prawo telekomunikacyjne (dalej PT), która w art. 172 ust. 1 zakazuje używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla ceków marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Wynika z tego, że kolejna zgoda musi być wyrażona w sytuacji, gdy administrator danych chce prowadzić działania marketingowe za pomocą urządzeń telefonicznych (rozmowy telefoniczne, SMS, MMS).
W związku z powyższym konieczne jest rozstrzygnięcie, czy w istocie chodzi o trzy zgody, które muszą być pozyskane odrębnie, i niezależnie od siebie, czy też zachodzą pomiędzy nimi relacje pozwalające na przyjęcie, że do uzyskania zgodności z przytoczonymi przepisami nie jest konieczne składanie trzech odrębnych oświadczeń woli.
Otóż z utrwalonej linii orzeczniczej byłego już GIODO oraz sądów administracyjnych, a także z przyjętej dotychczasowo praktyki wynika, że zasadą działania powinno być odrębne udzielanie zgód na przetwarzanie danych osobowych w celu marketingu bezpośredniego oraz otrzymywanie informacji handlowej na wskazany adres poczty elektronicznej czy podany numer telefonu. Jeśli przedsiębiorca prowadzi marketing za pomocą tradycyjnego kanału komunikacji, wystarczy zgoda udzielana na podstawie jednej z przesłanek wynikających z przepisów RODO, opisanych na początku niniejszego artykułu. Chcąc jednak wysłać informację handlową mailem lub za pośrednictwem urządzenia telefonicznego potrzebne będzie uzyskanie zgody klienta na każdy z tych kanałów odrębnie. Tylko w taki sposób podmiot pozyskujący zgodę może zapewnić opcjonalność jej wyrażenia osobie, która jej udziela.
WAŻNE! Zgody uzyskane na podstawie art. 10 u.ś.u.d.e. czy art. 172 ust. 1 PT, nie mają racji bytu bez istnienia jednej z podstaw prawnych do przetwarzania danych osobowych osoby, której dane dotyczą, o których mowa w RODO. Niezależnie zatem od wyboru kanału komunikacji z klientem (mailowego, telefonicznego), podstawą jest zawsze uzyskanie zgody na przetwarzanie danych osobowych naszego klienta, który jest osobą fizyczną, w celu podejmowania jakichkolwiek działań marketingowych bądź wykazanie, że marketing bezpośredni stanowi prawnie uzasadniony interes administratora.
