Kartki świąteczne oraz prezenty dla klientów a RODO

Autor: Patryk Siewert pod red. Marcina Soczko — w kategorii Blog — 2 grudnia 2019

02

Gru
2019

Wielkimi krokami zbliżają się święta Bożego Narodzenia. Okres przedświąteczny to czas, w którym finalizuje się rozpoczęte projekty i przeprowadza się podsumowania, czego udało się w mijającym roku dokonać.

Nie wszystkich jednak to dotyczy − osoby odpowiedzialne za marketing intensywnie pracują, przygotowując okolicznościowe firmowe kartki i prezenty świąteczne, które następnie wysyłane są do osób z nimi współpracujących lub klientów. Łatwo można się domyślić, iż przy wysyłaniu kartek świątecznych i prezentów do klientów i kontrahentów, będzie dochodziło do przetwarzania danych osobowych.

Ilość obowiązków prawnych, które będą miały zastosowanie do przedsiębiorcy planującego realizację wysyłek świątecznych, będzie zależna od formy jej realizacji (tj. rodzaju kanału komunikacji) oraz od tego, kto będzie ich adresatem.

Wysyłanie kartek świątecznych i prezentów do klientów drogą tradycyjną (pocztową)

Bez względu na to kto będzie odbiorcą wiadomości (konsument czy przedstawiciel organizacji będący osobą fizyczną), w przypadku wysyłania kartek świątecznych oraz prezentów drogą pocztową zastosowanie będą miały tylko przepisy RODO.

Podstawą przetwarzania danych osobowych we wspomnianym celu będzie zgoda (art. 6 ust. 1 lit. a RODO, o ile będzie spełniała ona wymagania określone w art. 7 RODO) lub prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO), o ile pomyślnie zostanie przeprowadzona ocena spełnienia warunków jego istnienia.

Wysyłanie kartek świątecznych oraz prezentów drogą elektroniczną (przedstawiciele organizacji)

W sytuacji, gdy administrator planował będzie wysyłać kartki świąteczne oraz prezenty (np. w postaci ebooków lub rabatów na usługi B2B) drogą elektroniczną do osób fizycznych będących przedstawicielami organizacji (np. spółki), zastosowanie będą miały przepisy RODO w sposób analogiczny jak w przypadku wysyłania wiadomości drogą tradycyjną.

Wyjątkiem będzie sytuacja, w której administrator będzie świadczył usługi również osobom fizycznym, a to znaczy, że przedstawiciel organizacji (klienta) sam będzie potencjalnym klientem. W tym przypadku należy uwzględnić wskazówki dla przypadku wysyłania treści do konsumentów.

Wysyłanie kartek świątecznych oraz prezentów drogą elektroniczną (konsumenci)

W sytuacji, gdy kartki świąteczne oraz prezenty będą kierowane drogą elektroniczną do konsumentów, to uwzględnienie tylko przepisów RODO nie wystarczy. Administrator będzie musiał uwzględnić również przepisy ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (dalej „uśude”) oraz – dla ostrożności – przepisy ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (dalej „PT”).

Dlaczego przy wysyłaniu elektronicznych kartek świątecznych będą miały zastosowanie przepisy uśude?

Zgodnie z definicją określoną w art. 2 pkt 2 uśude za informację handlową można uznać: „każdą informację przeznaczoną bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach (…)”. Wysyłanie kartek świątecznych może służyć budowaniu wizerunku administratora oraz podtrzymywaniu relacji handlowych z klientami, a to znaczy, że zawartość kartek świątecznych (z nazwą lub logo administratora) będzie spełniała definicję informacji handlowej.

Dlaczego w przypadku, gdy odbiorcami wiadomości są przedstawiciele organizacji, przepisy uśude nie będą miały zastosowania?

Przepisem zakazującym wysyłania niezamówionych informacji handlowych jest art. 10 uśude, który stanowi, iż: „Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej”. Przytoczony przepis nie będzie miał zastosowania, gdy przedstawiciele organizacji nie mogą być bezpośrednimi odbiorcami usług administratora. Innymi słowy przedstawiciele organizacji tylko pośredniczą w komunikacji handlowej pomiędzy swoim pracodawcą a organizacjami z nim współpracującymi, a to oznacza, że nie jest ona kierowana do osób fizycznych. Zatem życzenia świąteczne lub prezent dla organizacji kierowany na adres jej przedstawiciela lub wysłany na ogólny adres firmowy nie będą łamały zakazu zawartego w art. 10 uśude.

Pogląd ten potwierdza uzasadnienie rządowego projektu z 23.07.2012 r. ustawy o zmianie ustawy – Prawo telekomunikacyjne oraz niektórych innych ustaw (Druk nr 627), która ustanowiła obecne brzmienie art. 10 uśude. W uzasadnieniu wskazano, iż: „Zmiana ma na celu ograniczenie regulacji do osób fizycznych, a jednocześnie umożliwienie kontaktów dwustronnie profesjonalnych – biznesowych, które w chwili obecnej, ze względu na problemy interpretacyjne odnośnie uprzedniej zgody profesjonalnego podmiotu na przesłanie informacji handlowej poprzez zamieszczenie adresu poczty elektronicznej na stronie internetowej, są utrudnione.”.

Jakie argumenty przemawiają za stosowaniem również przepisów PT?

Niestety na chwile obecną pojęcie marketingu bezpośredniego nie ma jednej, ostatecznie zaakceptowanej definicji. Spotkać można (zarówno w teorii, jak i w praktyce marketingu) różne interpretacje tego terminu. Przy podejściu zachowawczym wysyłanie kartek świątecznych drogą elektroniczną można uznać za działanie mieszczące się w definicji marketingu bezpośredniego, gdyż do oznaczonych konsumentów kierowane są bezpośrednio komunikaty marketingowe. Stanowisko bardziej liberalne nie uznałoby analizowanego działania jako realizacji marketingu bezpośredniego z uwagi na niewystępowanie oczekiwań uzyskania bezpośredniej reakcji na wysyłane komunikaty. Jednak wybór podejścia przez administratora nie będzie miał większego wpływu na realizację planowanego przetwarzania, bowiem − zgodnie z art. 10 uśude, administrator przed wysłaniem do konsumentów elektronicznych kartek świątecznych i tak będzie potrzebował uzyskać od nich zgodę.

Wskazówki dotyczące zbierania zgód

Wysyłanie kartek świątecznych oraz prezentów do klientów jest działaniem marketingowym i nie ulega to wątpliwości. Przyjmijmy również za pewnik, iż w przypadku kierowania wspomnianych treści do konsumentów, przepisy PT będą miały zastosowanie. Czy zatem administrator, aby mieć pewność realizowania planowanego celu zgodnie z przepisami powinien uzyskać trzy odrębne zgody?

Po wejściu w życie ustawy „wdrażającej RODO”, która znowelizowała uśude i PT, nie ma już wątpliwości, że można zastosować łączoną klauzulę oświadczenia zgody, która będzie spełniała wymogi trzech aktów prawnych (RODO, uśude oraz PT) na realizację marketingu. Zarówno uśude, jak i PT obecnie zawierają w tym względzie odwołania do przepisów o ochronie danych osobowych.

Jednym z dwóch czynników warunkujących występowanie potrzeby zastosowania kilku oświadczeń zgody w klauzuli jest liczba kanałów komunikacji, za pośrednictwem których będzie realizowany marketing. Osoba, której dane dotyczą powinna mieć możliwość wyboru preferowanego kanału komunikacji.

Drugim czynnikiem (jak wskazuje brytyjski organ nadzorczy ICO) jest realizacja marketingu bezpośredniego za pośrednictwem automatów wywołujących. Zdaniem ICO realizacja marketingu bezpośredniego za pośrednictwem automatycznych połączeń telefonicznych wiąże się z potrzebą uzyskania odrębnej zgody.

Pamiętaj o realizacji obowiązku informacyjnego

We wszystkich wyżej wymienionych przypadkach administrator musi pamiętać o realizacji obowiązku informacyjnego. Chyba, że wcześniej już poinformował o tym, iż dane osobowe będą mogły być przetwarzane w przedmiotowym celu.

Administrator powinien zawczasu przewidzieć cele przetwarzania danych. Z chwilą np. zebrania danych w celu zawarcia umowy oraz realizacji jej warunków, powinien on wskazać, iż dane osobowe będą mogły być przetwarzane w celach marketingowych lub w celach związanych z budowaniem i podtrzymywaniem relacji biznesowych.

Jeżeli Administrator będzie planował przetwarzać dane w celu, który nie został wcześniej oznajmiony osobie fizycznej, to przed jego realizacją powinien – zgodnie z art. 13 ust. 3 RODO – poinformować podmiot danych o planowanym przetwarzaniu. Można tego dokonać np. przy okazji prowadzonej komunikacji związanej z realizacją świadczonej usługi lub najpóźniej wraz z wysyłanymi życzeniami.

Czy wysyłanie osobom fizycznym kartek świątecznych wiąże się z przetwarzaniem danych szczególnej kategorii, o których mowa w art. 9 RODO?

W sieci można natknąć się na artykuł na temat wysyłania kartek świątecznych, który może być źródłem wątpliwości, że administrator wysyła kartki świąteczne w nawiązaniu do przekonań religijnych ich adresatów. Zatem rzekomo musi on unikać takiego działania – zgodnie z zakazem zawartym w art. 9 ust. 1 RODO – i powinien wysyłać firmom wyłącznie kartki noworoczne, życząc np. pomyślności w Nowym Roku.

Boże Narodzenie to jedno z najważniejszych i najuroczyściej obchodzonych świąt religijnych w Polsce. Dlatego wysyłanie kartek świątecznych jest w Polsce praktyką powszechnie stosowaną, która zwykle jest realizowana bez profilowania osób pod kątem wyznania religijnego, a często nawet bez wiedzy na temat rzeczywistych przekonań religijnych adresatów życzeń. Tak więc realizacja wysyłki kartek świątecznych nie będzie wiązała się z przetwarzaniem danych szczególnej kategorii.

Oczywiście adresat w każdym czasie może skorzystać ze swoich uprawnień i cofnąć zgodę lub wyrazić sprzeciw wobec wykorzystywania jego danych w tym celu.

Podsumowanie

Wymienianie się życzeniami w okresie świątecznym jest działaniem powszechnie akceptowanym, a czasami wręcz oczekiwanym – także w kontaktach biznesowych. Jednakże powyższe nie zwalnia organizacji z wywiązywania się z obowiązków wynikających z przepisów prawa. Dlatego również proces wysyłania kartek świątecznych oraz prezentów powinien być przez administratorów właściwie przemyślany, co z resztą idzie w parze z zasadą „Privacy by design”, o której mowa w art. 25 RODO.

Lepiej zawczasu uwzględnić wymagania przepisów prawa niż (pomimo dobrych chęci) poprzez nieprzemyślane działanie doprowadzić do jego naruszenia, które może wiązać się z negatywnymi konsekwencjami.

Dołącz do dyskusji

Podanie adresu e-mail jest związane z moderacją treści komentarza, w szczególności z ewentualnym kontaktem z Użytkownikiem, w celu uzgodnienia ostatecznej treści, co stanowi prawnie uzasadniony interes administratora. Po opublikowaniu komentarza widoczna jest jedynie jego treść i data publikacji oraz imię autora, reszta danych jest niezwłocznie usuwana. Szczegóły dotyczące przetwarzania danych osobowych zawarte są w Polityce prywatności.