RODO a marketing B2B

Jedno z najczęściej zadawanych przez naszych klientów pytań dotyczy prowadzenia działań marketingowych w relacjach B2B pod rygorem RODO, ustawy o świadczeniu usług drogą elektroniczną oraz prawa telekomunikacyjnego. W poniższym artykule postaramy się na nie wyczerpująco odpowiedzieć.

Dane osobowe przedsiębiorcy pod RODO

Choć może się to wydawać zaskakujące, wspomniane powyżej akty prawne mają zastosowanie również w przypadku relacji marketingowych pomiędzy przedsiębiorcami. RODO ma zastosowanie zawsze tam, gdzie przetwarzane są dane osobowe, a w przypadku kontaktów B2B również możemy natrafić na dane, które pozwolą nam zidentyfikować osoby fizyczne (np. adresy e-mail, które zawierają inicjały.nazwisko@spółka.pl). Należy wówczas spełnić wszelkie obowiązki względem podmiotu danych, które nakłada na nas wspomniane wyżej rozporządzenie. Wyłączeniu spod przepisów RODO podlegają jednak zawsze dane kontaktowe osób prawnych (np. biuro@spółka.pl).

Co ciekawe, zdaniem The Information Commissioner’s Office (ICO, Biuro Rzecznika Informacji w UK), RODO znajduje zastosowanie wobec danych znajdujących się na wizytówkach tylko wtedy, gdy zamierzamy dane z wizytówek wprowadzić do systemów informatycznych lub przechowywać w plikach(!).

Podstawy prawne prowadzenia działań marketingowych B2B

Przetwarzania danych w relacjach marketingowych B2B, w przeciwieństwie do komunikacji z osobami fizycznymi, nie musi być zawsze prowadzone w oparciu o przesłankę zgody. Alternatywę może stanowić „prawnie uzasadniony interes” administratora danych, który legalizuje prowadzenie działań marketingowych względem innego podmiotu biznesowego.

Przesłankę te możemy zastosować, gdy jesteśmy w stanie wykazać, że dane osobowe są przetwarzane adekwatnie do celu, mają minimalny wpływ na prywatność osób, których dotyczą, a ponadto podmioty danych będą mogły się spodziewać tego typu przetwarzania lub nie wyraziły sprzeciwu wobec prowadzenia działań marketingowych.

ICO, udzielając odpowiedzi na pytanie pani Sary Day o przesłankę prowadzenia działań marketingowych, dokonał rozstrzygnięcia, że może ją stanowić prawnie uzasadniony interes administratora danych. Tłumaczenie poniższego zrzutu ekranu:

Trwało to 67  dni, jednak mogę w końcu powiedzieć, że dzisiejszego ranka otrzymałam oficjalną odpowiedź od ICO Case Team. Moje pytanie brzmiało: „Proszę odpowiedzieć «tak lub nie» na pytanie, czy prawnie uzasadniony interes administratora danych może być odpowiedni

ą podstawą przetwarzania danych do wysyłania wiadomości e-mail do pracowników korporacji na ich spersonalizowane korporacyjne adresy e-mail (np. imię@org.co.uk) w sytuacji, w której tzw. «soft-opt in» nie występuje (np. kiedy osoba, do której adresujemy e-mail, nie jest obecnym klientem)”.

Odpowiedź ICO: Wysyłanie marketingowych wiadomości e-mail do pracownika korporacji (np. imię.nazwisko@spółka.com) nie wymaga uprzedniego uzyskania zgody na wysyłanie wiadomości e-mail. Takie przetwarzanie danych może zostać oparte o prawnie uzasadniony interes administratora danych, aby uzasadnić część działań marketingowych prowadzonych przez organizację.

Wygląda na to, że nie ma już o czym dyskutować w tym temacie!

To stanowisko popiera również Ministerstwo Cyfryzacji w przygotowanym przez siebie poradniku „RODO DLA SEKTORA FINTECH”.

Oczywiście, nie oznacza to, że zgoda zawsze będzie niepotrzebna, bowiem inne przepisy mogą nakładać na nas wymóg posiadania zgody przedsiębiorcy na kontakt z nim określonym kanałem komunikacji. Prowadzenie działań marketingowych w niektórych przypadkach może być regulowane przepisami ustawy o świadczeniu usług drogą elektroniczną (uśude) lub prawa telekomunikacyjnego. W takich sytuacjach niezależnie od przepisów RODO będą miały zastosowanie normy wynikające z uśude lub prawa telekomunikacyjnego. Może to wymagać odebrania odrębnych zgód np. na kontakt telefoniczny czy wysłanie informacji handlowej w celu marketingu B2B.

Wiadomości e-mail lub sms

Osoby prowadzące jednoosobową działalność gospodarczą są traktowane jak osoby fizyczne, więc wiadomość w celu marketingowym można do nich przesłać tylko w przypadku posiadania zgody na kanał komunikacji, z jakiego chcemy skorzystać. Najczęściej będzie ona niezbędna oprócz posiadania aktualnej i ważnie wyrażonej zgody na tego typu działania lub prawnie uzasadnionego interesu administratora.

Zgodnie z art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną (UŚUDE), prowadzenie marketingu bezpośredniego poprzez wysyłkę wiadomości e-mail, SMS lub MMS wymaga zgody odbiorcy tylko w sytuacji wysyłania informacji „niezamówionych”.

Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. Nie jest zatem niezbędne posiadanie przez nas formalnej zgody, wystarczy, że odbiorca poda swój adres e-mail lub numer telefonu np. w polu formularza internetowego opisanego słowami „podaj swój adres e-mail, jeżeli chcesz otrzymywać od nas informacje o…” lub w rubryce opisanej w podobny sposób w pisemnej umowie. Wszelkie internetowe formularze kontaktowe, w ramach których odbiorca prosi o udzielenie mu odpowiedzi na zadane pytanie lub przekazanie informacji o świadczonych usługach, stanowią formę „zamówienia” informacji handlowej, w związku z czym odpowiedzi na takie pytania można udzielić bez odbierania dodatkowych zgód.

Ocena, czy zgoda została skutecznie udzielona powinna być dokonana w oparciu o warunki ustalone w UŚUDE, która w sposób autonomiczny określa warunki skutecznego udzielenia zgody.

Ponadto osoby takie muszą otrzymać możliwość zrezygnowania z dalszego otrzymywania wiadomości marketingowych, np. w stopce otrzymanego e-maila. Wysyłanie e-maili do pracowników firm (osób kontaktowych) którzy posiadają spersonalizowane firmowe adresy e-mail (np. imię.nazwisko@spółka.pl), jak zostało wyżej wskazane rozstrzygnięciem ICO, może opierać się na prawnie uzasadnionym interesie administratora danych.

Pomimo że wiadomości e-mail lub SMS o treści marketingowej mogą być przesyłane do każdego podmiotu biznesowego, dobre biznesowe wyczucie nakazuje, by nie przesyłać takich wiadomości podmiotom, które wyraźnie zaznaczyły, że sobie tego nie życzą lub zrezygnowały z subskrypcji.

Marketing telefoniczny B2B

Marketing telefoniczny B2B zgodnie z art. 172 prawa telekomunikacyjnego opiera się na zakazie używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

Przywołany powyżej artykuł jednoznacznie wskazuje, że w przypadku marketingu bezpośredniego zgoda na tego typu działania jest jedyną ważną przesłanką, która umożliwia dokonywanie marketingu bezpośredniego poprzez telekomunikacyjne urządzenia końcowe i automatyczne systemy wywołujące – niezależnie od tego, czy mamy do czynienia z osobą fizyczną, czy prawną (abonent). Można uznać, że artykuł ten stanowi swoiste lex specialis względem przepisów RODO, a zatem wyklucza stosowanie marketingu bezpośredniego za pomocą urządzeń telekomunikacyjnych tylko na podstawie uzasadnionego interesu administratora. W każdym przypadku może być wymagana zgoda podmiotu danych. Jednak po ostatnim wyroku Sądu Okręgowego Warszawa-Praga w Warszawie wydanym w dniu 4 stycznia 2019 r. w sprawie IV Ca 1873/16 istnieje też możliwość zebrania tej zgody w trakcie rozmowy. Należy jednak mieć świadomość, że wyrok ten stoi w opozycji do przyjętej interpretacji przez UOKiK i UKE, które wymagają posiadania uprzedniej zgody.

Podobnie na gruncie prawa telekomunikacyjnego zakazane jest dokonywanie połączeń wykonywanych przez automatyczny system wybierania numerów, który odtwarza nagraną wiadomość – chyba że podmiot wyraźnie zgodził się na otrzymanie tego typu wiadomości. Ogólna zgoda na marketing, a nawet wyrażenie zgody na połączenia telefoniczne nie wystarczą w tym wypadku – musi nastąpić wyraźne wyrażenie zgody na połączenia automatyczne.

Warto w tym miejscu odnotować nałożono stosunkowo niedawno, bo 18 czerwca 2019 r., karę wydaną przez Urząd Komunikacji Elektronicznej. Zastosowano ją wobec spółki akcyjnej Koksztys. Za podstawę wydania decyzji uznano naruszenie właśnie art. 172 prawa telekomunikacyjnego. Według ustaleń UKE spółka „nie wypełniła obowiązku uzyskania uprzedniej zgody na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego i użycie telekomunikacyjnych urządzeń końcowych polegające na nawiązaniu 30 636 kontaktów telefonicznych w celu poinformowania o działalności Koksztys (…)”. Odbiorcami tych informacji byli przedsiębiorcy (zarówno osoby prowadzące jednoosobową działalność gospodarczą, jak i osoby prawne). W tej sprawie prezes UKE zwraca jednak uwagę, że te podmioty nie inicjowały w żaden sposób kontaktu ani nie zwracali się o przedstawienie oferty marketingowej. W decyzji wskazano również, że w przedmiotowej sprawie Koksztys kontaktowała się z przedsiębiorcami w celu zaproponowania świadczenia obsługi prawnej na rzecz przedsiębiorców. Wobec tego akcja marketingowa nie mogła być rozumiana jako oferta handlowa dotycząca wprost przedmiotu działalności tych przedsiębiorców. W konsekwencji prezes UKE uznał, że podmioty te powinno się potraktować jako zwykłych abonentów czy użytkowników. W wyniku powyższego UKE nałożyło na Koksztys karę w wysokości 80.000 zł.

Prawa i obowiązki względem podmiotów danych

Zgoda na prowadzenie działań marketingowych musi być dobrowolnie udzielona, co oznacza, że podmioty danych muszą mieć możliwość dokonania wyboru, czy chcą wyrazić zgodę, oraz posiadać kontrolę nad przetwarzaniem ich danych np. poprzez możliwość wycofania w każdym czasie udzielonej zgody. Ponadto zgoda powinna być dobrowolna, jednoznaczna, świadoma oraz konkretna. Formularze zgody powinny być napisane prostym językiem oraz wyodrębnione z innych dokumentów np. umów. Należy również na nich zamieścić informacje o przetwarzaniu danych (zgodnie z art. 13 RODO), w szczególności informacje o tożsamości administratora danych oraz cel tego przetwarzania. Podmioty danych muszą otrzymać informacje na temat podstaw przetwarzania, okresów retencji oraz odbiorców danych (obowiązek informacyjny), a także przysługujących im praw.

Obowiązki informacyjne, zgodnie z treścią RODO, muszą być spełniane zarówno wobec osoby, od której dane zostały bezpośrednio zebrane (art. 13 RODO), jak i wobec osoby, której dane posiadamy z innego źródła (art. 14 RODO). Wyżej wskazane obowiązki różnią się zakresem przekazywanych danych oraz okolicznościami, w których muszą zostać spełnione. Informacje, które podajemy w przypadku zbierania danych od osoby, której dane dotyczą, powinny zostać przekazane w momencie gromadzenia danych. W innym przypadku, art. 14 RODO nakazuje spełnienie obowiązku informacyjnego w rozsądnym terminie, nie dłuższym niż miesiąc. Jednakże jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dotyczą, informacje przekazujemy najpóźniej przy pierwszej takiej komunikacji z tą osobą lub jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.

Jeśli przetwarzanie oparte jest na prawnie uzasadnionym interesie administratora danych przejawiającym się w działaniach marketingu bezpośredniego, należy również brać pod uwagę prawo sprzeciwu, które jest absolutne dla osób fizycznych i zawsze obliguje do zaprzestania przetwarzania danych. Tylko w przypadku wyrażenia zgody, podmiot danych nie dysponuje prawem do sprzeciwu, ale może on w każdej chwili wycofać udzieloną zgodę, co również uniemożliwia dalsze przetwarzanie danych.

Co mamy robić?

W ramach marketingu B2B możliwe jest przyjęcie następujących wariantów postępowania:

Model bezpieczny

W modelu bezpiecznym przed kontaktem sprzedażowym telefonicznym podmiot powinien pozyskać dwie zgody:

1. na kontakt telefoniczny w celach marketingu bezpośredniego (obowiązek ten wynika z art. 172 prawa telekomunikacyjnego);

2. na przetwarzanie danych w celach marketingowych.

W przypadku kontaktu wyłącznie środkami komunikacji elektronicznej np. poprzez wiadomości e-mail, należy legitymować się pierwszą ze zgód, a także zgodą na zamówienie informacji handlowej (o ile kontakt nie jest realizowany na maile ogólne np. biuro@xyz.pl)

Model efektywny

W modelu efektywnym w kontaktach biznesowych (B2B) organizacja może rozważyć pominięcie zbierania wyżej wymienionych dwóch zgód. Wynika to z tego, że kontakt w celu marketingu B2B jest prawnie uzasadnionym interesem organizacji i nie narusza praw i wolności osoby kontaktowej, ponieważ jest dokonywany nie w stosunku do jej sfery prywatnej, a służbowej. Niezbędne jest jednak zebranie zgody na kontakt telefoniczny w celach marketingu bezpośredniego. Zgoda ta może zostać odebrana podczas rozmowy. W modelu efektywnym schemat postępowania może wyglądać następująco:

1. Kontakt z nowym klientem biznesowym poprzez rozmowę telefoniczną (np. numer telefonu został podany na stronie internetowej);

2. Pytanie o zgodę na przedstawienie oferty.

3. Podczas rozmowy informuje się o swojej tożsamości jako administratora danych, celu rozmowy telefonicznej oraz źródle danych (np. znalezione na stronie internetowej);

4. Po zakończonej rozmowie w przypadku:

   • nieudanego kontaktu telefonicznego – powinniśmy usunąć rekord lub w przypadku chęci zatrzymania go, realizować podpunkt poniższy – jednak istnieje w tym wypadku ryzyko złożenia sprzeciwu przez podmiot, którego dane dotyczą;

   • udanego kontaktu telefonicznego – w podsumowaniu/potwierdzeniu emaliowym rozmowy należy umieścić klauzulę obowiązku informacyjnego.

5. Jeżeli istnieje zamiar ponowienia kontaktu z osoba kontaktową po stronie klienta, powinno się odebrać od niego zgodę na kontakt w celach marketingowych.

Reklama