Przetwarzanie danych osobowych w marketingu

Działania marketingowe najczęściej nie mogą obejść się bez przetwarzania danych osobowych. Aby móc je realizować, firmy muszą spełniać warunki związane z ochroną danych osobowych, określone przez RODO. Z naszego artykułu dowiesz się, jakie to warunki oraz jak powinna wyglądać zgoda na otrzymywanie informacji marketingowych.

Kiedy konieczna jest zgoda na przetwarzanie danych osobowych w celach marketingowych?

W stosunkach handlowych, sprzedawca nie ma obowiązku posiadać zgody na przetwarzanie danych osobowych klienta. Przetwarzanie danych np. w celu wysłania zakupionego towaru stanowi bowiem realizację umowy zawartej między administratorem, czyli w tym przypadku sprzedawcą, a podmiotem danych - klientem. Sytuacja zmienia się jednak, kiedy sprzedający towar chce przetwarzać dane osobowe klienta po to, aby np. przesyłać mu informacje handlowe takie jak oferty promocyjne i reklamy za pomocą e-maila czy wiadomości SMS.

Jak powinna wyglądać taka zgoda?

Jak tłumaczy nasz rozmówca, specjalista z firmy Audytel, zajmującej się ochroną danych osobowych:

Zgodnie bowiem z ustawą z 16 lipca 2004r. prawa telekomunikacyjnego oraz z ustawą z 18 lipca 2002r. o świadczeniu usług drogą elektroniczną, wymagana jest zgoda na kontakt marketingowy za pomocą wskazanego przez konsumenta kanału komunikacji. Od strony rozporządzenia 2016/679 (RODO), podstawę przetwarzania  danych w celach marketingowych stanowi prawnie uzasadniony interes administratora. Na przetwarzania danych w tym celu przysługuje podmiotom danych prawo sprzeciwu. Sprzedawca bądź usługodawca planujący przetwarzać dane osobowe klientów w kilku różnych celach marketingowych, musi wyraźnie wskazać kanał komunikacji, którym będzie przesyłał informacje marketingowe. Zgoda musi być odrębna dla każdego kanału informacji (np. mail, sms). Ponadto zgoda nie może być zawarta w regulaminie oraz niedopuszczalna jest sytuacja, w której klient nie ma możliwości jej wycofania.

Bezpieczeństwo danych osobowych

Dane osobowe klientów muszą być odpowiednio chronione. Prawo wymaga od  podmiotów które przetwarzają dane osobowe podejścia opartego na analizie ryzyka, czyli samodzielnego określenia zagrożeń oraz środków technicznych i organizacyjnych, które należy wdrożyć by zabezpieczyć przetwarzane dane. Każdy podmiot, który przetwarza dane osobowe musi więc ustalić dokładnie: jakie dane osobowe, w jakim zakresie, po co oraz w jakim środowisku będą lub są przetwarzane. Następnie należy określić ryzyko naruszenia praw lub wolności osób fizycznych, jakie może wiązać się z planowanym przetwarzaniem. Na koniec konieczne jest by dobrać odpowiednie środki zabezpieczające dane, które będą uwzględniały istniejące możliwości techniczne oraz możliwości finansowe. Ustawa o ochronie danych osobowych jak i samo RODO nie wskazują konkretnych środków zabezpieczających dane, które należy stosować. Pośród dostępnych metod administrator może wybrać takie jak np. szyfrowanie danych osobowych. RODO nakazuje prowadzenie dokumentacji związanej z danymi osobowymi, nie wskazując jednak ogólnie na odpowiednie „polityki i procedury”. Tworzenie i utrzymanie takich dokumentów pomaga udowodnić wprowadzenie  wyżej wymienionych odpowiednich środków ochrony. Dokumentem wprost w rozporządzeniu wymaganym jest rejestr czynności przetwarzania  oraz rejestr kategorii czynności przetwarzania. Kolejną kwestią związaną z bezpieczeństwem danych osobowych jest ocena skutków dla ochrony danych (DPIA). Taka ocena ma miejsce w sytuacjach, w których istnieje wysokie ryzyko naruszenia praw bądź wolności osób fizycznych. Istnieją procesy przetwarzania, dla których przeprowadzenie DPIA jest konieczne i wynika to wprost z RODO. W zakresie opisanych powyżej działań związanych z ochroną danych warto skorzystać z pomocy oraz wsparcia specjalisty w ramach outsourcingu Inspektora Danych Osobowych. Inspektor wesprze firmę w zakresie realizacji wymogów RODO oraz pomoże m.in. w tworzeniu umów powierzenia , obsłudze zapytań i skarg podmiotów danych, tworzeniu klauzul informacyjnych, czy niezbędnych zgód  i regulaminów konkursów. Doświadczony IOD będzie uczestniczył w projektowaniu procesów ochrony danych oraz w ocenie ryzyka dotyczącego danych osobowych. Zapewni on również odpowiednie szkolenia dla pracowników firmy, którzy w ramach wypełniania obowiązków służbowych  przetwarzają dane osobowe. Wreszcie skorzystanie z takiego rozwiązania, jakim jest outsourcing IOD pozwoli firmie na obniżenie kosztów. Zatrudnienie odpowiedniej osoby na etat w roli IOD wiąże się bowiem z większymi wydatkami oraz dużą trudnością w znalezieniu wykwalifikowanych specjalistów na rynku pracy