RODO w marketingu – jak to działa

BySylwia Ostrowska

rodo w marketingu

Prawne przetwarzanie danych osobowych powinno się odbywać zgodnie ze spełnieniem wymogów zawartych w RODO. Zobowiązane są do tego podmioty publiczne jak i prywatne. W artykule tym omówimy jakie znaczenie ma RODO w marketingu.

Zgoda na przetwarzanie w celach marketingowych

Zgodne z prawem przetwarzanie danych osobowych w celach marketingowych, musi się opierać na podstawie motywu, który pozwala nam przetwarzać dane osobowe. Jeden z takich motywów to zgoda osoby, której dane zostaną przetwarzane. Zgoda taka musi zawierać cel przetwarzania danych osobowych – w opisywanym przypadku będą to działania marketingowe. Zgoda taka może być nieważna z uwagi na wymogi RODO, np. gdy nie odnosi się do tego w jakim celu została ona wyrażona lub kiedy nie mamy jej wyraźnie potwierdzonej (nie możemy spełnić zasady rozliczalności, o której Możesz więcej przeczytać – (link). Dokładne określenie celu w treści zgody (czyli inaczej mówiąc czego ona dotyczy) jest niezbędne.

Wycofanie zgody

Warto tutaj zaznaczyć, że osoba, której dane dotyczą ma zawsze możliwość wycofania takiej zgody. Oznacza to, że nie jest możliwe dalsze przetwarzanie danych osobowych tej osoby w celu związanym z udzieloną wcześniej zgodą. Istnieje także możliwość niewyrażenia zgody w odniesieniu do poszczególnych kanałów komunikacji.  Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, trzeba poinformować, zanim wyrazi zgodę.

Uzasadniony interes administratora w związku z przetwarzaniem danych

W poszczególnych przypadkach istnieje możliwość przetwarzania danych w celach marketingowych bez opierania się o zgodę. Korzysta się z innej podstawy prawnej uzasadnionego interesu administratora danych. W sytuacji takiej nie ma potrzeby pozyskiwania zgód na przetwarzanie danych osobowych. Dostateczne jest istnienie prawnie uzasadnionego interesu realizowanego przez administratora połączone z koniecznością przetwarzania danych w celu jego realizacji. Prawnie uzasadnionego interesu możesz użyć jako podstawy przetwarzania danych osobowych tylko wtedy, kiedy brak możliwości wykorzystania innej podstawy, bądź kiedy jest to możliwe ze względu na kontekst, jak i cel przetwarzania danych osobowych. W oparciu o swój prawnie uzasadniony interes dane osobowe swoich klientów możemy przetwarzać dla celu marketingu bezpośredniego, natomiast by móc wysłać klientowi e-mail, sms lub zadzwonić do niego nadal potrzebujemy zgody. Administrator przy tej formie przetwarzania powinien przeprowadzić tak zwany test równowagi. Test równowagi polega na porównaniu z jednej strony prawnie uzasadnionego interesu administratora danych, a z drugiej strony, praw i wolności osoby, której dane dotyczą. Jeżeli przeważające będą prawa podmiotu danych, to administrator nie powinien opierać przetwarzania danych na podstawie art. 6 ust. 1 lit f) RODO.

Zgodnie z zapisami RODO administrator może przetwarzać dane osobowe w oparciu o prawnie uzasadniony interes wówczas, gdy:

  • uzyska pozytywną ocenę w 3-etapowym teście – OPUI, na którą składa się test celu, niezbędności i równowagi;
  • odpowiednio zdefiniuje relację pomiędzy nim a podmiotem danych osobowych;
  • w przypadku pozyskania danych od strony trzeciej odpowiednio poinformuje o podstawie prawnej przetwarzania danych osoby (art. 14 RODO).

RODO bezpośrednio wskazuje przykłady przetwarzania, w których prawnie uzasadniony interes jest podstawą prawną, np.:

  • marketing bezpośredni;
  • zapobieganie oszustwom;
  • przekazywanie danych osobowych w ramach grupy przedsiębiorstw powiązanych do realizacji wewnętrznych celów;
  • zapewnienie bezpieczeństwa sieci i informacji, np. monitorowanie dostępu autoryzacji użytkowników do sieci komputerowej administratora w celu zapobiegania cyberatakom.
Profilowanie w celach marketingowych

RODO umożliwia przetwarzanie danych osobowych podmiotów danych w sposób obejmujący profilowanie osób, których dane dotyczą również w celach marketingowych. Profilowanie jako takie wymaga podstawy prawnej (np. zgody osoby, której dane dotyczą, lub wykazania prawnie uzasadnionego interesu poprzez przeprowadzenie właśnie testu równowagi). Musi być zgodne również z innymi zasadami ochrony danych (np. w zakresie adekwatności przetwarzanych danych). Samo profilowanie, a nawet profilowanie połączone z podejmowaniem decyzji, nie zawsze wymaga zgody. Zgoda jest tylko jedną z takich podstaw, obok np. konieczności realizacji umowy czy też prawnie uzasadnionego interesu administratora.

Profilowanie

„Profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych. Polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej. W szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby. Także jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”. Umożliwia to tworzenie spersonalizowanych ofert marketingowych. Biorących pod uwagę dotychczasowe preferencje zakupowe osób, których dane się przetwarza, ich lokalizację, gust czy zainteresowania.

Obowiązek informacyjny w marketingu

Nie można zapominać o konieczności poinformowania osób, których dane dotyczą o przetwarzaniu ich danych osobowych. Zgodnie z wymogami wskazanymi w treści przepisów RODO. Obejmuje to w szczególności konieczność informowania o:

  • źródle pochodzenia danych osobowych;
  • danych kontaktowych inspektora ochrony danych, jeżeli go powołano;
  • tożsamości i danych kontaktowych administratora danych,
  • kategoriach danych osobowych, chyba że dane pochodzą bezpośrednio od osoby, której dotyczą,
  • okresie, przez który dane osobowe się przechowywa, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu,
  • informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą,
  • celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania
  • zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej,
  • odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją.
Administrator danych także jest zobowiązany poinformować osobę, której przetwarzane dane dotyczą o jej prawach, a są to:
  • prawo żądania od administratora dostępu do danych osobowych ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, jeżeli przetwarzanie odbywa się na podstawie zgody,
  • prawie wniesienia skargi do organu nadzorczego.
Kara UODO-marketing

Włoski odpowiednik UODO nałożył na operatora telekomunikacyjnego – Wind Tre S.p.A.  za niezgodne z prawem przetwarzanie danych osobowych klientów w celu prowadzenia działań marketingowych karę w wysokości 17 mln euro. Z napływających skarg wynikało, że klienci operatora otrzymywali od niego liczne niezamówione oferty marketingowe. Spółka wykorzystywała w tym celu różne kanały informacyjne, w tym SMS, e-mail, faks, ale również automatyczne połączenia telefoniczne. Więcej szczegółów dowiedzą się państwo na stronie https://gdpr.pl/kara-za-uporczywy-marketing .