O ile prostsze byłoby życie marketerów, jeśli nie musieliby uzyskiwać zgody na przetwarzanie danych! Ale czy to w ogóle możliwe? Te dwa pojęcia: „marketing” i „zgoda” wydają się być w nierozerwalnej symbiozie. Jedno zawsze towarzyszy drugiemu i na odwrót. Pozyskiwanie zgody na przetwarzanie danych do celów marketingowych utarło się tak bardzo, że naturalne może być przekonanie, że każde działanie marketingowe wymaga zgody. To jednak mit. I czas się z nim rozprawić. W dzisiejszym artykule pokazujemy 3 sytuacje, w których dane są przetwarzane w ramach działań marketingowych, ale nie trzeba wcale uzyskiwać na nie zgody.
RODO wprost pozwala na to, by przetwarzać dane bez zgody
Choć dla wielu może to być nieco zaskakujące, zgoda na przetwarzanie danych osobowych jest tylko jedną z kilku podstaw przetwarzania danych. I to nie jedną z dwóch czy trzech, ale jedną z sześciu takich podstaw. Co więcej, zgodnie z ogólnymi regułami stosowania RODO, po zgodę na przetwarzanie danych osobowych powinno się sięgać w ostateczności, jeśli nie ma możliwości zastosowania innej podstawy.
Inną podstawą do przetwarzania danych osobowych jest między innymi tzw. prawnie uzasadniony interes. Co to oznacza? Chodzi tu wszelkie sytuacje, w której firma chce realizować działania zgodne z prawem i służące realizacji obiektywnie uzasadnionych celów biznesowych. Przepisy RODO (a dokładnie motyw 47) mówi wprost, że:
za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Jeśli zatem chcesz przetwarzać dane do celów marketingowych i istnieje określona relacja z osobami, których dane przetwarzasz, to nie musisz uzyskiwać zgody na przetwarzanie ich danych. RODO wymaga jednak zachowania balansu pomiędzy interesami firmy oraz prawami jej klientów. Chodzi o to, czy takie osoby – racjonalnie patrząc – mogą się spodziewać Twoich działań marketingowych. Muszą też mieć zapewnioną możliwość wyrażenia sprzeciwu wobec takich działań marketingowych, a Ty masz obowiązek ten sprzeciw uwzględnić.
Aby sytuacja była całkowicie czysta, konieczne jest przeprowadzenie tzw. „testu równoważenia”. Polega on na opracowaniu dokumentu opisującego m.in.:
- jakie działanie marketingowe chcesz realizować,
- dlaczego są one niezbędne,
- czy osoby, których dotyczą te działania marketingowe mogą się ich spodziewać i rozumieją na czym one polegają, oraz
- czy mają możliwość wyrażenia sprzeciwu.
Jakie działania marketingowe można realizować w ramach prawnie uzasadnionego interesu, czyli bez konieczności uzyskiwania zgody na przetwarzanie danych?
Po pierwsze, przeprowadzanie takich akcji marketingowych, jak konkursy, sprzedaże premiowe czy programy lojalnościowe. W ich przypadku przyjmuje się, że przetwarzanie danych na potrzeby danej akcji (przyjęcie zgłoszeń, przyznawanie i wydawanie nagród itd.) odbywa się właśnie w ramach prawnie uzasadnionego interesu. Zupełnie niepotrzebne (można nawet powiedzieć, że nieprawidłowe) jest uzyskiwanie w takich przypadkach zgody na przetwarzanie danych do celów przeprowadzenia danej akcji.
Po drugie, zbieranie i analizowanie danych sprzedażowych o już pozyskanych klientach. Statystycznie patrząc, taniej i łatwiej jest „dosprzedać” coś klientowi, który już dokonał zakupu niż pozyskiwać nowego klienta. Oczywiście marki mogą mieć różne cele w zakresie działań marketingowych. Natomiast jeśli celem jest zbieranie i analiza danych w celu zwiększenia zainteresowania lub obrotu na już pozyskanych klientach, to furtka jest otwarta. Istnieje już bowiem odpowiednia relacja pomiędzy klientem a firmą. Dlatego nie jest konieczne pytanie o zgodę na przetwarzanie danych osobowych do celów marketingowych, jeśli chcemy po prostu założyć dla klienta profil w CRM i agregować dane o jego zakupach.
Po trzecie, bez zgody klienta można personalizować ofertę (czyli profilować) na względnie prostych scenariuszach. Mówimy tu np. o segmentacji klientów lub o mechanizmie, który polega na oferowaniu produktów podobnych do tych, które ktoś od nas kupił lub produktów do nich komplementarnych albo przygotowaniu oferty związanej z tym, że produkt zakupiony przez klienta zbliża się do końca cyklu zakupowego (np. nowy telefon po kilkunastu miesiącach).
Ale uwaga: jeśli chcemy tworzyć przekaz pod konkretną osobę biorąc pod uwagę jej bardzo osobiste cechy, to wtedy prawo do prywatności wygrywa z prawnie uzasadnionym interesem sprzedawcy. Wyobraźmy sobie, że prowadzimy aptekę internetową i na podstawie historii zakupów próbujemy wywnioskować, na co może chorować nasz klient i proponujemy mu produkty pod przewidywane schorzenia. Personalizacja objęta prawnie uzasadnionym interesem nie może obejmować danych wrażliwych (np. właśnie informacji o stanie zdrowia) ani danych dotyczących dzieci. Podobnie w przypadku personalizacji, która istotnie różnicuje klientów, np. dostosowuje cenę pod konkretnego klienta. Ona również nie jest możliwa w ramach prawnie uzasadnionego interesu.
Przygotowanie do sprzedaży w odpowiedzi na zapytanie klienta
Obok prawnie uzasadnionego interesu podstawą do przetwarzania danych osobowych może być również to, że jest ono niezbędne do „podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą”. Mówiąc prościej: chodzi o obsługę sprzedażową w odpowiedzi na konkretne zapytanie lub inne podobne działanie ze strony klienta.
Przykładem takiego przetwarzania może być wysyłanie oferty na podstawie zapytania osoby zainteresowanej produktem lub usługą. Jeśli potencjalny klient samodzielnie inicjuje kontakt i wykazuje zainteresowanie, to sprzedawca nie musi odbierać od takiego klienta uroczystego oświadczenia o zgodzie na przetwarzanie danych do celów marketingowych.
Dlatego wszelkie formularze służące do zapytań ofertowych albo choćby zgłaszania zainteresowania produktem lub usługą nie wymagają dodawania w nich specjalnych checkboxów ze zgodą na kontakt marketingowy.
Trzeba jednak pamiętać o tym, żeby nie wykorzystywać takich danych do innych celów niż te, które były przedmiotem zapytania ze strony potencjalnego klienta. Jednorazowe zapytanie ofertowe nie uprawnia do tego, aby adres mailowy klienta znalazł się np. w bazie odbiorców newslettera.
Wysyłka wiadomości technicznych i obsługowych
Kolejną sytuacją, która ma związek z projektami marketingowymi oraz e-commerce’owymi, w której nie jest wymagane pozyskiwanie zgody na przetwarzanie danych osobowych jest wysyłka wiadomości technicznych i obsługowych. Dotyczy to chociażby przetwarzania danych na potrzeby akcji marketingowej, np. konkursu lub loterii. Jeśli ktoś zgłosił się do takiej akcji podając swojego maila lub numer telefonu i potem otrzymał nagrodę, to nie musisz uzyskiwać specjalnej zgody na to, aby powiadomić taką osobę o wygranej. To nie jest kontakt marketingowy, ale właśnie techniczny/obsługowy.
Wiadomości techniczne i obsługowe to takie, które mają na celu zapewnienie prawidłowego funkcjonowania usługi lub produktu, z którego korzysta klient. Przykładem innych takich wiadomości mogą być powiadomienia o zmianie warunków usługi, przypomnienie o terminie płatności lub informacja o stanie zamówienia.
Podsumowanie
Nie jest prawdą, że zawsze trzeba uzyskać zgodę na przetwarzanie danych do celów marketingowych. Istnieją sytuacje, w których można realizować działania marketingowe bez zgody odbiorcy.
Po pierwsze, każda firma powinna gruntownie przeanalizować, które z jej procesów marketingowych można realizować na podstawie tzw. prawnie uzasadnionego interesu i zamiast uzyskiwać zgodę na przetwarzanie danych, dać możliwość wyrażenia sprzeciwu (zmiana modelu opt-in na opt-out). RODO wprost uznaje, że przetwarzanie danych do celów marketingu bezpośredniego jest prawnie uzasadnionym interesem.
Po drugie, wiele działań marketingowych i sprzedażowych odbywa się w odpowiedzi na zapytanie ze strony potencjalnego klienta. W takich sytuacjach nie jest konieczne uzyskiwanie oświadczenia o zgodzie na przetwarzanie danych do celów marketingowych. RODO wprost mówi, że można przetwarzać dane w celu przygotowania do zawarcia umowy (czyli, mówiąc prościej, sprzedaży) jeśli dzieje się to z inicjatywy (potencjalnego) klienta.
Po trzecie, wiele wiadomości wysyłanych do klientów w ramach projektów marketingowych oraz e-commerce’owych ma charakter techniczny lub obsługowy. Przykładowo: powiadomienie o wygranej w akcji marketingowej albo informacja o statusie zamówienia. Takie wiadomości nie wymagają uzyskiwania żadnej zgody na przetwarzanie danych osobowych.
Oczywiście są sytuacje, w których nie uciekniesz od obowiązku uzyskania zgody, np.:
- reklama oparta na cookies i podobnych narzędziach,
- dzielenie się danymi z innymi podmiotami, a także
- e-mail marketing.