W pierwszej części wątku dotyczącego permission marketingu omówiliśmy kwestię zgody na otrzymywanie informacji handlowej (art. 10 ustawy o świadczeniu usług drogą elektroniczną) oraz zgody na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego (art. 172 ustawy – prawo telekomunikacyjne). Kontynuując ten temat, przeanalizujemy dzisiaj art. 23 ustawy o ochronie danych osobowych, jak również praktyczne sposoby na prawidłowe pozyskiwanie wszystkich zgód oraz konsekwencje ich braku.

ZGODA NA PRZETWARZANIE DANYCH OSOBOWYCH W CELACH MARKETINGOWYCH

W powszechnym przekonaniu wielu osób, pierwszą zgodą, jaką musimy uzyskać od odbiorcy, aby wysłać mu, np. mailing lub wiadomość SMS, jest zgoda na przetwarzanie danych osobowych w celach marketingowych. Podstawą takiego podejścia jest z pewnością art. 23 ust. 1 pkt 1  ustawy o ochronie danych osobowych, gdzie możemy przeczytać, iż przetwarzanie danych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę. Kiedy dodamy jeszcze do tego fakt, iż przetwarzaniem danych osobowych są „jakiekolwiek operacje wykonywane na danych osobowych takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie”, moglibyśmy stwierdzić, iż sytuacja jest klarowana i zgoda będzie potrzebna w każdym wypadku. 

Analizując jednak dalej treść tego przepisu możemy przeczytać, kluczowy w tym przypadku, art. 23 ust. 1 pkt 5, który stwierdza, iż przetwarzanie danych osobowych jest możliwe również, gdy jest to „niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców (…)”. Pewnie myślicie teraz, jaki ma to związek z marketingiem. Pewnie też pomyślałbym tak, gdybym nie znał treści art. 23 ust. 4 pkt 1:

„Za prawnie usprawiedliwiony cel(…), uważa się w szczególności: Marketing bezpośredni własnych produktów (…)”

I tutaj dochodzimy do sedna sprawy. Moim zdaniem bowiem, na tej podstawie, uzyskanie zgody na przetwarzanie danych osobowych jedynie w celach marketingowych, w wielu przypadkach nie będzie potrzebne. Wysyłanie mailingu, czy wiadomości SMS będzie można uznać wówczas właśnie za marketing bezpośredni własnych produktów. Co więcej, podobne stanowisko wyraził również Generalny Inspektor Ochrony Danych Osobowych (można o tym przeczytać więcej w sprawozdaniu GIODO za rok 2007, s. 37-38).

Przy takiej interpretacji tego przepisu, nie można jednak zapomnieć o art. 32 ust. 1 pkt 8 oraz art. 32. ust. 3 omawianej ustawy. Zgodnie z nimi, każdy może wnieść sprzeciw wobec przetwarzania danych osobowych w przypadku prawnie usprawiedliwionego celu (czyli również marketingu). Wniesienie takiego sprzeciwu oznacza, iż dalsze przetwarzanie danych jest automatycznie niedopuszczalne i wysłanie komunikatu reklamowego do takich osób nie będzie zgodne z przepisami ustawy.

JAK (NIE) ODBIERAĆ ZGODY OD ODBIORCÓW?

Ustaliliśmy już, jakie zgody są potrzebne, abyśmy mogli w pełni legalnie stosować permission marketing. Niemniej ważną kwestią jest również, w jaki sposób powinny być one wyrażone, aby były skuteczne. Najczęściej stosowanym sposobem jest oczywiście zaznaczenie checkboxa przez odbiorcę. W tym miejscu warto pamiętać o zasadzie, iż każda zgoda powinna być wyraźnie wyrażona, najlepiej poprzez osobne checkboxy dla każdej z nich.

Częstym błędem jest również ukrywanie zgody w innym miejscu, np. regulaminie. Działanie takie również należy ocenić negatywnie, gdyż zgoda nie powinna być ani dorozumiana, ani wynikać z oświadczenia woli o innej treści.

Musi jasno i wyraźnie zawierać, na co odbiorca się zgadza tak, aby nie miał do tego żadnych wątpliwości.

Należy również pamiętać, że zgoda odbiorcy musi być dobrowolna. Najczęściej spotykanym przykładem łamania tej zasady są sytuacje, kiedy dokonanie określonej czynności (przykładowo: zarejestrowanie się na stronie internetowej lub dokonanie zakupu w sklepie internetowym) jest uzależnione od wyrażenia którejś z wyżej wymienionych lub wszystkich zgód.

Ważnym składnikiem permission marketingu jest również zastosowanie modelu double opt-in. Przykładowo w przypadku mailingu, oprócz wyrażenia zgody przez odbiorcę, warto wysłać e-mail z linkiem, który musi zostać kliknięty w celu potwierdzenia, np. zakupu lub rejestracji na newsletter. Z perspektywy prawnej model ten jest dla nas pozytywny, gdyż stanowi dowód, iż odbiorca rzeczywiście wyraził odpowiednią zgodę. Dane te zapisują się  wówczas na naszym serwerze, wraz z datą, godziną czy numerem IP odbiorcy. Jest to również istotne, aby mieć pewność, że nie mamy do czynienia, np. ze spambotem, który automatycznie podał adres e-mail. Mamy również wtedy pewność, że adres e-mail rzeczywiście istnieje, a nie został wymyślony przez odbiorcę tylko na potrzeby wpisania w odpowiednim miejscu.

Należy również pamiętać, iż odbiorca musi mieć zapewnioną opcję rezygnacji z wcześniej wyrażonej zgody, w każdym momencie. Powinniśmy więc zapewnić mu taką możliwość. Na tym z resztą polega istota permission marketingu, który ma być dobrowolny i nienarzucający się osobom, które nie chcą otrzymywać komunikatów. Obowiązek taki przewiduje przykładowo art. 174 pkt 3 prawa telekomunikacyjnego:

Jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta: (…)
może być wycofana w każdym czasie, w sposób prosty i wolny od opłat.

KONSEKWENCJE PRAWNE BRAKU WYMAGANEJ ZGODY

Wiele osób bagatelizuje kwestię wyżej przedstawionych zgód. Przecież „nikt tego nie sprawdza” i „komu chciałoby się to robić”. Niestety, kwestia ta wygląda inaczej, a za niespełnienie warunków ustawowych przewidziane są dotkliwe konsekwencje.

Brak zgody na przetwarzanie danych osobowych w celach marketingowych może wiązać się z grzywną, karą ograniczenia wolności lub nawet pozbawienia wolności do lat 2.

Z kolei przesyłanie niezamówionych informacji handlowych za pomocą środków komunikacji elektronicznej, z czym mamy do czynienia przy braku zgody z art. 10 ustawy o świadczeniu usług drogą elektroniczną, wiąże się z możliwością nałożenia przez sąd kary grzywny.

Karę przewiduje również ustawa – prawo telekomunikacyjne. Brak zgody z art. 172 tej ustawy może wiązać się z nałożeniem przez Prezesa Urzędu Komunikacji Elektronicznej kary pieniężnej w wysokości do 3% przychodu przedsiębiorcy z poprzedniego roku kalendarzowego. Taka sytuacja miała miejsce m.in. w głośnej sprawie dotyczącej T-Mobile. Operator telefonii komórkowej został ukarany karą pieniężną w wysokości 5 milinów złotych za brak uzyskania zgody abonentów na wysyłanie SMS-ów zachęcających do udziału w loterii promocyjnej. T-Mobile próbował odwołać się od tej kary, powołując się na fakt, iż akcja była przeprowadzana przez zewnętrzną agencję, a nie przez operatora. Argumentacja wskazywała, iż z tego powodu kara została niesłusznie na niego nałożona. Sprawa trafiła ostatecznie do Sądu Najwyższego, który rozstrzygnął to zagadnienie na niekorzyść T-Mobile.

Permission marketing – pODSUMOWANIE

Podsumujmy więc w skrócie najważniejsze informacje, dotyczące prawnej strony permission marketingu:

#1 – W większości przypadków będziemy potrzebowali uzyskać dwie podstawowe zgody od odbiorców, aby w pełni legalnie wysłać do nich komunikat reklamowy. Są to:

  • zgoda na przesyłanie informacji handlowych drogą elektroniczną,
  • zgoda na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego.

#2 – Podstawą przetwarzania danych osobowych w przypadku marketingu bezpośredniego jest art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych, dlatego uzyskanie dodatkowej uprzedniej zgody na takie przetwarzanie nie musi być konieczne.

#3 – Należy pamiętać o podwójnej weryfikacji danych odbiorców (double opt-in), jak również o umożliwieniu im usunięcia swoich danych.

#4 – Nie można zapominać również o konsekwencjach prawnych niezastosowania wyżej omówionych przepisów.

Jak widać kwestia permission marketingu z perspektywy prawnej jest dosyć złożona i skomplikowana. Przy wdrażaniu powyższych uwag w życie należy przede wszystkim pamiętać, że oprócz legalnej strony permission marketingu jest też zgoda wynikająca z samej woli otrzymywania przez odbiorcę komunikatów od nas. Jeżeli będzie on zainteresowany treściami, które otrzymuje, wówczas zgody prawne, nie będą dla niego wielką przeszkodą i zamiast szukać podstępu w kruczkach prawnych, będzie zadowolony z przekazanych mu informacji. Trzeba więc pamiętać, że permission marketing to przede wszystkim taka zgoda odbiorcy, która wynika z jego przekonania, że chce otrzymywać konkretne treści i przynoszą mu one korzyści, a dopiero w drugiej kolejności zgoda w sensie prawnym. Dbajmy więc o to, co wysyłamy odbiorcom i czy rzeczywiście tego chcą. A prawne zgody niech będą tylko dodatkiem, który pozwoli nam mieć pewność, że działamy w pełni legalnie.

***

grafika autorstwa Sergey Nivens pochodzi z banku zdjęć Fotolia

Tutaj znajdziesz pierwszą część artykułu Permission marketing czyli jak wysyłać marketing zgodnie z prawem? #1.