Spis treści
Od wprowadzenia nowego rozporządzenia minęło już kilkanaście miesięcy (o ile nie kilka lat). I choć materiałów ułatwiających wcielenie zasad w życie jest wiele, wciąż otrzymujemy pytania o RODO w marketingu SMS. W tym FAQ SMS RODO zebraliśmy najczęściej poruszane kwestie związane z wysyłaniem SMS-ów reklamowych: checkboxy zgodne z RODO i towarzyszące im zgody marketingowe. Zamieszczamy także wzór zgody na newsletter SMS.
Zobacz webinar o RODO (31 maja 2022)
Zapraszamy na webinar Zapytaj o RODO, podczas którego DPO w LINK Mobility Group odpowiadał na pytania widzów.
Na wszystkie pytania odnośnie kampanii SMS i RODO odpowiada Jan Wieczorkiewicz. Przeczytaj wywiad 10 Pytań, w którym opowiada o pracy na stanowisku Data Protection Officer w LINK Mobility Group.
1. W jaki sposób nasi klienci mogą wypisać się z bazy odbiorców? Ze zwykłego newslettera jest prosto, a jak z newsletterem SMS?
Pamiętajmy, że jednym z praw nadanych konsumentom przez RODO jest prawo do bycia zapomnianym. Odbiorca komunikatów marketingowych, zapisując się do newslettera SMS czy e-mail, powinien zostać poinformowany o możliwych (i prostych) drogach wypisu.
Stworzyliśmy więc nową funkcję – Opt-out SMS. Umożliwia ona dodanie w treści wiadomości spersonalizowanego linku służącego do rezygnacji z otrzymywania wiadomości. Wystarczy, że powróci do tego SMS-a w skrzynce odbiorczej i kliknie w link, aby automatycznie wypisać się z bazy. Wszystkie wypisane kontakty będą wykluczane z przyszłych kampanii SMS na danym koncie klienta.
Klient mógł też zapisać się do newslettera SMS za pomocą widgetu na stronie internetowej. W takiej sytuacji powinien wrócić na stronę marki, odnaleźć widget i kliknąć “wypisz”. Przykład poniżej:
Istnieją także inne sposoby – każdy odbiorca komunikacji może zgłosić się za pomocą formularza kontaktowego, maila, telefonu lub wiadomości na fanpage z prośbą o usunięcie lub zmodyfikowanie danych. Nadawca komunikatu musi przychylić się do tej prośby oraz wyznaczyć wcześniej (jeśli to konieczne) Inspektora Danych Osobowych, który nadzoruje cały proces gromadzenia, zabezpieczania i przetwarzania danych osobowych w firmie.
2. Czy każdy podmiot musi wyznaczać Inspektora Danych Osobowych?
Wyznaczenie Inspektora Danych Osobowych jest obowiązkowe, gdy:
- przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Szczegółowe informacje znajdziesz w 37. artykule rozporządzenia zatytułowanym: Wyznaczenie inspektora ochrony danych.
3. Czy mogę wykorzystać swoją bazę numerów, która została zebrana przed 25 maja 2018?
Tak – pod warunkiem, że była dotychczas budowana zgodnie z UODO i w oparciu zasady: legalności, celowości, merytorycznej poprawności, niezbędności i ograniczenia czasowego. Drugim warunkiem jest dokonanie obowiązku informacyjnego, do którego zobligowany jest każdy administrator danych osobowych – więcej o tym w kolejnym pytaniu. Pamiętaj, że wysyłanie SMS bez zgody jest złą praktyką.
Przeczytaj także
4. Czy muszę ponownie zbierać zgody marketingowe od klientów w związku z RODO?
Podobnie jak w poprzednim pytaniu – nie ma potrzeby zbierania nowych zgód, jeżeli były one zgodne z RODO. Należy jednak dopełnić obowiązku informacyjnego, to znaczy przekazać odbiorcy następujące informacje w formie klauzuli:
- dane administratora,
- dane inspektora ochrony danych osobowych (jeżeli jego powołanie w danym przedsiębiorstwie jest konieczne),
- cel przetwarzania danych i podstawa prawna,
- informacja o prawie wniesienia sprzeciwu lub cofnięcia zgody,
- źródło danych, jeśli zbieramy je od innych podmiotów,
- komu zamierzamy udostępnić dane, informacja o tym, czy dane są przekazywane do państw trzecich i organizacji międzynarodowych,
- planowany okres przechowywania danych,
- informację o prawach przysługujących osobie fizycznej,
- prawo wniesienia skargi do organu nadzoru,
- informacja o tym, czy dane będą przetwarzane w formie profilowania,
- informacja o tym, czy podanie danych jest dobrowolne czy obowiązkowe, czy jest warunkiem zawarcia umowy i jakie są konsekwencje niepodania danych, informacja czy dane będą przetwarzane w formie profilowania.
Klauzula informacyjna – przykład
Zgodnie z art. 13 ust. 1 i ust. 2 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. informuję, iż: Administratorem Pani/Pana danych osobowych jest XYZ & z siedzibą w ABC;
Osobą kontaktową w sprawach ochrony danych osobowych w XYZ jest Pani Kowalska dostępna pod adresem e-mail: pani.kowalska@xyz.pl.
Pani/Pana dane osobowe przetwarzane będą w celu przesyłania drogą elektroniczną informacji dotyczących oferowanych przez nią usług w formie newslettera / wiadomości SMS/ e-maila na podstawie art. 6 ust. 1 pkt a.
Odbiorcą Pani/Pana danych osobowych będą upoważnieni: Pani Kowalska, Pan Nowak.
Pani/Pana dane osobowe nie będą przekazywane do państw trzecich.
Pani/Pana dane osobowe będą przechowywane przez okres trwania umowy lub dostępności usługi newsletter lub do momentu wycofania przez Panią/Pana zgody.
Posiada Pani/Pan prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
Ma Pan/Pani prawo wniesienia skargi do organu nadzorczego gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.
Podanie przez Pana/Panią danych osobowych jest dobrowolne, a konsekwencją niepodania danych osobowych będzie niemożność otrzymywania informacji dotyczących oferowanych przez XYZ usług w formie newslettera.
Pani/Pana dane osobowe nie będą przetwarzane w formie profilowania.
5. Jak może brzmieć przykładowa zgoda na przetwarzanie danych w celach marketingowych?
Nie wiesz jak napisać zgody marketingowe RODO? Zgoda na newsletter wzór gotowy do skopiowania i użycia znajdziesz poniżej. Pamiętaj, żeby zmienić nazwę i adres!
Zgoda na SMS marketing – przykład
Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingowych. Administratorem danych osobowych jest LINK Mobility Poland Sp. z o.o., z siedzibą w Gliwicach (44-100) ul. Toszecka 101. Dane przetwarzane będą w celach marketingowych. Usługobiorca ma prawo do dostępu i poprawiania swoich danych oraz prawo do żądania zaprzestania przetwarzania jak i prawo do sprzeciwu co do przetwarzania danych w powyższym celu.
6. Czy można wykorzystać powiadomienia SMS wysyłane np. ze sklepu internetowego do zgromadzenia zgody na wysyłkę treści marketingowych w przyszłości?
Z punktu widzenia RODO, tak. Z punktu widzenia Polskich przepisów (Ustawa o Świadczeniu Usług Drogą Elektroniczną i Ustawa Prawo Telekomunikacyjne) już nie do końca.
W obrocie funkcjonuje natomiast tzw. „soft opt-in”. Przy okazji wysłania wiadomości, w której przekazujemy informacje np. o statusie zamówienia czy przypominamy o wizycie, można zapytać klienta o to, czy chce także otrzymywać SMS-y z treścią marketingową w przyszłości. W takiej treści można umieścić link do zapisu do Newslettera SMS (przy okazji klient może podzielić się także adresem mailowym oraz preferencjami) lub wykorzystać numer odbiorczy SMS – klient sklepu internetowego może odpisać na wiadomość “TAK” i zostać automatycznie zapisany do bazy Klienta w panelu SMSAPI.
W przypadku sklepów internetowych istnieje wiele możliwości budowania bazy – od umieszczenia widgetu Newsletter SMS, po checkbox w momencie składania zamówienia (konfiguracja dostępna w każdym oprogramowaniu sklepu internetowego) czy właśnie wykorzystując wspomniany numer odbiorczy i wchodzenie w interakcję z klientem. Pamiętajmy, że w zamian za pozostawienie danych warto także nagradzać klientów dodatkowym rabatem lub darmową dostawą.
7. Jaką treść SMS mogę wysłać klientowi, aby potwierdził zgodę na dalsze otrzymywanie od nas wiadomości?
Dziękujemy za zapis do naszego newslettera. Od teraz jako pierwszy otrzymasz informacje o zbliżających się promocjach i wydarzeniach.
Mamy dla Ciebie tony wiedzy na temat grządek, pielenia i mądrych zmian w Twoim ogrodzie. Zapiszesz się do newslettera? Odpisz TAK, aby potwierdzić.
Czy to początek pięknej przyjaźni? Zapisz się do newslettera: www.idz.do/rowery. Nie spamujemy. ;)
8. Jakie mogą być przykładowe wiadomości informujące o możliwości wypisu z powiadomień SMS?
Przykłady powiadomień SMS informujących o możliwości wypisu z subskrypcji:
Pamiętaj, że w każdej chwili możesz zrezygnować z otrzymywania treści. Kliknij, aby wypisać się z SMS-ów: www.wyp.is/XYZ
Aby zrezygnować z naszego newslettera, kliknij www.wyp.is/XYZ
Mamy nadzieję, że nasze SMS-y są dla Ciebie wartościowe. Ale zawsze możesz zatrzymać wysyłki: www.wyp.is/XY
9. Jakie cechy powinna mieć zgoda wyrażona przez użytkownika?
Żeby baza powstała, po przedstawieniu podmiotowi danych klauzuli informacyjnej zgodnej z wymogami RODO trzeba zapytać klienta o zgodę na przetwarzanie danych. W tym punkcie RODO stawia dosyć szczegółowe wymagania, a mianowicie prawodawca zwraca uwagę, że zgoda musi być:
- świadoma, konkretna, jednoznaczna,
- napisana prostym, zrozumiałym językiem,
- powiązana z polityką informacyjną firmy,
- wyraźna, tzn. nie może budzić wątpliwości, że została wyrażona,
- związana z określonym celem przetwarzania – w sposób precyzyjny określa czego dotyczy oraz jakie są ramy czasowe trwania zgody,
- dobrowolna,
- możliwa do wycofania – klient w każdej chwili może się zwrócić z prośbą o usunięcie jego zgody z bazy (a wycofanie zgody musi być równie łatwe jak je wyrażenie)
- jeżeli działania dotyczą osób niepełnoletnich – potrzebna jest zgoda opiekuna (w przypadku dzieci, które nie ukończyły 16 roku życia, gdyż dzieci, które ukończyły lat 16 samodzielnie mogą udzielić zgody na przetwarzanie danych osobowych. Państwa członkowskie mogą obniżyć tę granicę wiekową do lat 13).