Coraz częściej otrzymuję od naszych klientów pytania dotyczące aspektów prawnych prowadzenia kampanii marketingowych z wykorzystaniem narzędzi marketingu SMS. Wynika to na pewno z profesjonalizacji działań marketerów, ale również z tego, że w ostatnim czasie byliśmy świadkami wielu zmian prawnych w tym zakresie.

Webinar Zapytaj o RODO

Zobacz nagranie webinaru Zapytaj o RODO z Janem Wieczorkiewiczem (DPO w LINK Mobility Group).

Na wszystkie pytania o masowe wysyłanie SMS reklamowych i RODO odpowiada Jan Wieczorkiewicz. Przeczytaj wywiad 10 Pytań, w którym opowiada o pracy na stanowisku Data Protection Officer w LINK Mobility Group.

Jako SMSAPI promujemy wszystkie działania zgodne z zasadą marketingu za przyzwoleniem (permission marketing), ale także z zachowaniem obowiązujących regulacji prawnych.

Marketing SMS a prawo

Działania marketingu SMS reguluje szereg ustaw, wśród których najistotniejsze to:

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO);
• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (UoDO);
• Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (UoŚUDE);
• Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (PT).

Czy potrzebuję zgody konsumenta na wysłanie SMS?

Odpowiadając po prawniczemu: to zależy…

Nie – Jeżeli przetwarzamy dane konsumenta w sposób konieczny do realizacji umowy – zgodnie z Art. 6.1.b RODO. Lub jeżeli przetwarzanie jest dopuszczalne na podstawie odrębnych przepisów prawa.

Tak – Jeżeli konsument nie wyraził na to jasnej i dopowiedzianej zgody – zgodnie z Art. 6.1.a RODO.

Powyższe wynika także bezpośrednio z Ustawy o świadczeniu usług drogą elektroniczną:

Art. 10. 1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.

oraz dodatkowo z Ustawy Prawo Telekomunikacyjne:

Art. 172 1. Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

W takim wypadku zawsze, przed wysłaniem informacji handlowej przedsiębiorca musi mieć zgodę konsumenta. Wysyłanie SMS bez zgody nie jest dopuszczalne. Zgoda ta nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Zgoda na wykorzystanie marketingowe musi zatem być przez konsumenta podana osobno, tj. np. nie możemy od konsumenta wymagać podania zgody na działania marketingowe w jednym zdaniu np. z akceptacją regulaminu naszego sklepu internetowego.

Pamiętaj, że…

Sam fakt posiadania bazy danych klientów, którzy kiedyś złożyli np. zamówienie w naszym sklepie internetowym i podali dane do wystawienia faktury, nie upoważnia przedsiębiorcy do wysłania kampanii marketingowej do tych kontaktów.

Jak mogę zebrać zgody marketingowe [WZÓR]?

Wiesz już, że prawo wymaga posiadania zgody na przesyłanie informacji handlowej. Jak w takim razie mamy zebrać zgody, żeby zabezpieczyć swoją działalność przed ewentualnymi roszczeniami ze strony niezadowolonych konsumentów lub wykazać poprawność naszych działań przed organami nadzoru? Baza danych konsumentów musi być prowadzona wedle pewnych zasad.

W zasadzie na powyższe kwestie odpowiada nam bezpośrednio RODO w artykule 5 i 13. Zgodnie z Artykułem 5 dane osobowe muszą być:

• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
• prawidłowe i w razie potrzeby uaktualniane – należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
• przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
• przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Pamiętaj, że…

Zgodnie z Art. 14-17 RODO konsumentowi przysługuje prawo do wglądu i poprawiania swoich danych, ale także wycofania zgody w każdym czasie.

Odpowiednio zbudowana treść oświadczenia woli upoważnia nas do wysłania osobie treści marketingowych dotyczących naszych produktów i usług (o ile oczywiście nie występują dodatkowe ograniczenia, jak w przypadku reklamy alkoholu czy leków).

Nie istnieje jeden, z góry ustalony wzór zgody na przetwarzanie danych osobowych. Istnieją jednak pewne obligatoryjne elementy które w zgodzie należy zamieścić:

• informacje o administratorze danych osobowych (nazwa, imię, nazwisko, siedziba);
• zakres przetwarzania danych osobowych (imię, nazwisko, miejsce zamieszkania itd.);
• cel przetwarzania danych osobowych (musi być jasny i prosto sformułowany);
• informacja o możliwości wycofania zgody na przetwarzanie danych. 

Wzór zgody na przetwarzanie danych osobowych w celach marketingowych:

Zgoda na przetwarzanie danych osobowych

Wyrażam zgodę na przetwarzanie moich danych osobowych w zakresie [podać zakres] przez [pełne dane administratora oraz podmioty trzecie] w celu [cel przetwarzania danych osobowych].

Do odpowiednio sformułowanej zgody dobrze jest, w zasadzie należy, dołączyć klauzulę informacyjną zawierające wszystkie wymagane przez Art. 13/14 RODO informacje.

Administrator jest zobowiązany poinformować osobę o:

1. Adresie swojej siedziby i pełnej nazwie firmy – zawsze musimy podać kto jest administratorem danych;
2. Celu przetwarzania danych – w tym miejscu dobrze jest wykazać, że jest to cel marketingowy usług własnych lub własnych i podmiotów powiązanych. Cel może być dla każdej zgody z osobna tylko jeden;
3. Podstawie prawnej i czasie (okresie) przetwarzania;
4. Gdy ma zastosowanie o przekazywaniu danych do Państwa trzeciego lub organizacji międzynarodowej;
5. Prawie dostępu do swoich danych oraz ich poprawiania;
6. Informacji o możliwości wniesienia skargi do organu nadzorczego;
7. Informacji o zautomatyzowanym podejmowaniu decyzji, w tym profilowaniu;
8. Dobrowolności podania danych – w przypadku celu marketingowego jest on zawsze dobrowolny i nie można konsumenta do tego przymusić.

Zanim jednak zaczniemy wysyłanie SMS-ów reklamowych należy sprawdzić lub uzupełnić swoją dokumentację przetwarzania danych osobowych.

Sprawdźmy czy mamy rejestr czynności przetwarzania (Art. 30 RODO) i czy jest w nim informacja o procesach związanych z marketingiem.

Sprawdźmy czy mamy odpowiednią listę procesorów których powierzamy dane i czy mamy odpowiednie umowy o powierzenie przetwarzania podpisane z tymi podmiotami (Art. 28 RODO) oraz czy zapewniają odpowiedni poziom bezpieczeństwa powierzonych danych.

Sprawdźmy także swoją organizację i czy sami jako administratorzy zapewniamy odpowiedni poziom bezpieczeństwa przetwarzania danych (Art. 24, 25, 32 RODO).

Podsumowanie

Przepisy nakładają na przedsiębiorców kilka obowiązków, po spełnieniu których mogą oni spokojnie i zgodnie z prawem realizować masowe kampanie SMS.

Zachęcam do wypełnienia zaleceń nakładanych przez RODO, nie tylko jako obowiązku, ale dla sprawdzenia stanu faktycznego poziomu zabezpieczenia danych w swojej firmie i zbudowania sobie dodatkowego silnego argumentu sprzedażowego. Niewywiązanie się z obowiązków nakładanych przez RODO może rodzić przykre konsekwencje zarówna dla naszych konsumentów, jak i dla samego administratora.

Zobacz darmowe szkolenie z online marketingu dla małych średnich firm