Kompendium wiedzy o wykorzystywaniu danych osobowych w marketingu i sprzedaży B2B
Część 1. Dane osobowe w B2B – czym są i czy publiczna jawność niektórych danych oznacza, że można je wykorzystywać w dowolny sposób?

O tym, że RODO w jakiś sposób dotyczy także sektora B2B, danych firmowych i danych pracowników, słyszał już chyba każdy. Wciąż jednak spotykam się z pytaniami i wątpliwościami w tej materii. Do kogo można dzwonić czy pisać wiadomości cold e-mail? Czy do własnych klientów można telefonować w celu upsellingu? Czy kontakty na LinkedInie są jakkolwiek ograniczone w erze „po RODO”? Na te i inne pytania znajdziesz odpowiedź w cyklu artykułów poświęconych ochronie danych osobowych w marketingu i sprzedaży B2B.

Firmowe dane osobowe – czy coś takiego istnieje?

Jeszcze do niedawna w większości podmiotów z sektora B2B panowało przekonanie, że dane firmowe nie są danymi osobowymi i nie podlegają żadnej ochronie. Skoro Krajowy Rejestr Sądowy (KRS) jest jawny, a od kilku lat – dostępny publicznie nawet w internecie, to jakież mogą istnieć przeszkody w przetwarzaniu w dowolnie wybranych przez nas celach pochodzących z niego danych?

Idąc za ciosem: wydaje się, że tak samo można potraktować dane tzw. jednoosobowych przedsiębiorców. Skoro firma Jana Kowalskiego jest wpisana do jawnej i również publicznie dostępnej w internecie Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), to czyż nie można dowolnie korzystać z danych Jana Kowalskiego, które się tam znajdzie?

Słuchaj „Marketer+” Podcast

Jeśli działasz w marketingu lub sprzedaży w sektorze B2B, powinieneś zapamiętać, że wobec publicznie dostępnych firmowych danych osobowych czy danych kontaktowych również istnieją pewne ograniczenia. Najpierw jednak wyjaśnię, czym są te dane osobowe.

Zgodnie z art. 4 pkt 1 RODO dane osobowe to wszelkie informacje dotyczące żyjącej, zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. A osobą fizyczną jest po prostu człowiek.

Dowiedz się więcej o wykorzystywaniu danych osobowych
w marketingu ze szkolenia online „Prawo w marketingu”.

Oprócz osób fizycznych w obrocie gospodarczym funkcjonują także:

• osoby prawne (skarb państwa, gminy i inne instytucje, którym przepisy przyznają tzw. osobowość prawną – przede wszystkim są to spółki z ograniczoną odpowiedzialnością oraz spółki akcyjne),
• podmioty, które wprawdzie nie są osobami prawnymi, ale zgodnie z przepisami mogą zawierać umowy, zaciągać zobowiązania, zatrudniać pracowników itp. – przede wszystkim są to spółki osobowe, takie jak spółka jawna, spółka komandytowa czy spółka partnerska (tzw. ułomne osoby prawne).

W przeciwieństwie do osób fizycznych osoby prawne i spółki osobowe nie mają danych osobowych. Nawet jeżeli w nazwie takiej spółki pojawi się nazwisko człowieka (np. „Firma XYZ J. Kowalski spółka jawna”) – to w tym aspekcie nazwisko to nie podlega żadnym przepisom RODO.

Motyw 14 preambuły RODO wskazuje, że jego przepisy nie dotyczą danych osobowych osób prawnych, przede wszystkim przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. Z tego wynika, że adresy pocztowe, adresy e-mail i numery telefonu podane jako „ogólne”, tzn. do kontaktu z konkretną firmą będącą osobą prawną¹, nie podlegają restrykcjom RODO.

Od powyższych musisz odróżnić dane osobowe konkretnych ludzi, którzy sprawują funkcje w organach osób prawnych, np. prezesów czy członków zarządu, członków rady nadzorczej czy wspólników w spółkach osobowych. Ich dane w zakresie imienia, nazwiska i numeru PESEL są oczywiście danymi osobowymi i mimo że są jawne (również wpisane do KRS), nie oznacza to jednak, że możesz z nimi robić, co chcesz (więcej na ten temat poniżej).

Wspomniałam o motywie 14 preambuły RODO, który wyklucza zastosowanie ochronnych przepisów do danych kontaktowych osób prawnych. Nie istnieje jednak analogiczny przepis, który wykluczałby zastosowanie RODO w stosunku do osób fizycznych prowadzących jednoosobową działalność gospodarczą.

Dane takich osób (w tym czasem adresy e-mail lub adresy zamieszkania – jeśli ktoś ma siedzibę zarejestrowaną we własnym domu), pomimo że są ujawnione w CEIDG, podlegają ochronie ustanowionej przez RODO. Może Ci się to wydawać zaskoczeniem, ponieważ przed 25 maja 2018 r. istniał w Polsce przepis, który częściowo wyłączał zastosowanie przepisów ustawy o ochronie danych osobowych do danych ujawnionych w CEIDG. Niektórzy przedsiębiorcy działający w sektorze B2B mogli się już przyzwyczaić, że ich działań sprzedażowych czy marketingowych nic nie ogranicza. Proces dostosowywania się do RODO może ich zatem w tej kwestii zaskoczyć.

Sprzedawca oprogramowania CRM stworzył „nakładkę” do poprzedniej wersji swojego programu, ułatwiającą spełnianie niektórych obowiązków wynikających z RODO, np. generowanie kopii wszystkich danych o konkretnej osobie, zaznaczanie, że wobec konkretnej osoby spełniono obowiązek informacyjny, itp.

Klienci, którzy przetwarzali w tym oprogramowaniu głównie dane przedsiębiorców jednoosobowych (działali w sektorze B2B, ale na rynku mikroprzedsiębiorstw), uważali, że nie muszą kupować rozszerzenia, ponieważ przetwarzania danych przedsiębiorców jednoosobowych przepisy RODO nie dotyczą. Byli oni przyzwyczajeni do poprzedniej wersji przepisów, w której dane ujawnione w CEIDG były wyłączone spod niektórych obowiązków wynikających z ustawy o przetwarzaniu danych osobowych.

RODO nie wymaga aktualizacji wszelkich programów do przetwarzania danych osobowych. Nie są obowiązkowe specjalne „nakładki”. Trzeba jednak wiedzieć, że RODO chroni również dane jednoosobowych przedsiębiorców. Po jego wejściu w życie należy zadbać o to, by również w stosunku do danych jednoosobowych przedsiębiorców działać zgodnie z obowiązującym prawem.

Powinieneś też wiedzieć, że spółka cywilna jest szczególnym rodzajem spółki. Nie jest ona osobą prawną ani ułomną osobą prawną. Gdy zawierasz umowę ze spółką cywilną, zawierasz tak naprawdę umowę ze wszystkimi jej wspólnikami „równolegle”. Wspólnicy spółki cywilnej są wpisani do CEIDG, a nie do KRS – ich dane są traktowane zatem tak jak dane przedsiębiorców jednoosobowych.

Skoro chronione są dane dotyczące osób prowadzących jednoosobową działalność gospodarczą oraz dane osób wpisanych do KRS, jako wchodzących w skład organów spółek kapitałowych, to tym bardziej podlegać ochronie będą także dane pracowników zatrudnionych przez różne podmioty, ujawniane w internecie czy w innych źródłach w celach służbowych. Jeśli działasz w sektorze B2B i Twoja praca opiera się na nawiązywaniu relacji, pozyskiwaniu i utrzymywaniu kontaktów z partnerami biznesowymi – musisz się orientować, jakie działania marketingowe i sprzedażowe są dozwolone wobec:

• adresu typu „office@mylo.pl”,
• adresu typu „jan.kowalski@mylo.pl”, jeśli jednocześnie wiesz, że Jan Kowalski jest dyrektorem działu marketingu w kancelarii MyLo, a Ty prowadzisz dom mediowy i chciałbyś mu przedstawić propozycję nawiązania współpracy (aby MyLo skorzystało z Twoich usług).

Dane firmowe, służbowe i biznesowe są w niektórych przypadkach danymi osobowymi, chronionymi przez RODO. Warto wiedzieć, kiedy, które z nich i w jaki sposób można wykorzystywać (ramka poniżej).

Dane ogólnodostępne – możesz je wykorzystywać, ale spełnij obowiązek informacyjny

Jeśli jakiś rodzaj danych jest ogólnodostępny (dane wpisane do KRS albo do CEIDG, albo ujawnione w internecie w inny sposób), to RODO nie stanowi przeszkody, by takie dane wykorzystywać w celach, w których zostały one ujawnione.

Dane członków zarządu ujawnione w KRS są jawne dla pewności obrotu – byś jako kontrahent spółki wiedział, z kim powinieneś podpisać umowę. Dane w CEIDG są ujawnione głównie po to, by można było sprawdzić wiarygodność kontrahenta jako przedsiębiorcy, poznać adres jego siedziby (żeby wpisać go do umowy, doręczyć pismo, złożyć pozew ze wskazaniem tego adresu).

Z uwagi na jawny charakter danych zawartych w KRS czy CEIDG można np. tworzyć własne – biznesowe czy branżowe – bazy danych oparte na tych rejestrach (takie jak np. Bisnode.pl, PanoramaFirm.pl itp.). Samo tworzenie takiej bazy i udostępnianie tego samego zakresu informacji, ale np. w bardziej przystępnej formie, nie jest sprzeczne z wyżej wskazanym podstawowym celem, który przyświeca KRS i CEIDG.

Z kolei jeśli firma ujawnia na swojej stronie WWW adres e-mail lub numer telefonu konkretnego pracownika, zatrudnionego na konkretnym stanowisku – możesz wykorzystać te dane, ale zastanów się, w jakim celu zostały one ujawnione. Jeśli będziesz się trzymał tego celu, Twoje działanie będzie zgodne z prawem – bez konieczności pozyskiwania dodatkowych zgód (przykład B i C).

Firma XYZ sp. z o.o. zamieściła ogłoszenie o pracy w portalu Pracuj.pl. Wskazała w nim, że CV mają być przesyłane przez kandydatów na adres anna.nowak@xyz.pl. Adres ten jest zatem możliwy do znalezienia po wpisaniu nazwy firmy XYZ sp. z o.o. w wyszukiwarkę Google. Następnie pani Anna Nowak zaczyna otrzymywać zapytania o możliwość przesłania jej oferty gadżetów reklamowych dla firmy XYZ, oferty wyjazdu integracyjnego oraz oferty samochodów służbowych.

Przesyłanie Annie Nowak w tej sytuacji ofert wyjazdów integracyjnych czy samochodów będzie w świetle prawa spamem, tj. niezamówioną informacją handlową. Nie można uznać, że Anna Nowak wyraziła zgodę na otrzymywanie treści handlowych czy marketingowych przez ujawnienie swego adresu e-mail w celach rekrutacyjnych. Są to dwa zupełnie różne cele. Wysyłanie do Anny Nowak zapytań o możliwość przesłania oferty dotyczącej gadżetów reklamowych będzie również wątpliwe prawnie.

Żadne okoliczności sytuacji opisanej powyżej nie wskazują, że Anna Nowak jest menedżerem odpowiedzialnym za zakupy takich produktów w firmie XYZ. Z faktu podania adresu e-mail Anny Nowak jako właściwego do przesyłania CV nie wynika nic innego jak tylko możliwość przesyłania do niej właśnie CV.

Firma TTT sp. z o.o. jest producentem odzieży. Na swojej stronie WWW zamieściła adresy e-mail Krzysztofa Kowalskiego, sprawującego funkcję „kupca na Europę”, oraz Tomasza Tomaszkiewicza, sprawującego funkcję „kupca na Azję”.

Ty prowadzisz w Polsce firmę produkującą bawełnę. Chciałbyś przesłać do Krzysztofa Kowalskiego zapytanie, czy byłby zainteresowany Twoją ofertą materiałów bawełnianych. Możesz to zrobić, ponieważ e-mail Krzysztofa Kowalskiego właśnie po to został podany na stronie WWW firmy TTT – aby ułatwić kontakty handlowe między producentem odzieży a jego dostawcami.

Zwróć uwagę, że w przykładach B i C mówię o zapytaniu o możliwość przesłania oferty. Chodzi tu o „suche” zapytanie, takie jak: „Czy byłby Pan zainteresowany otrzymaniem oferty…?”. Nie powinieneś bez uprzedniej zgody odbiorcy przesyłać mu jakichkolwiek materiałów reklamowych, marketingowych czy handlowych.

Wszelkie materiały, które zachwalają Twoje produkty czy mają kształtować wizerunek Twojej firmy, a nawet treści merytoryczne (content marketing), które mają wytworzyć u odbiorcy zainteresowanie Twoją działalnością, mogą być przesyłane jedynie za wyraźną zgodą. Więcej na ten temat dowiesz się z kolejnych artykułów w tym cyklu.

Jeśli pozyskałeś fragmentaryczne dane jednej osoby (np. rozmawialiście na konferencji i ta osoba podała Ci swoje imię i nazwisko oraz numer telefonu, ale nie otrzymałeś od niej wizytówki), możesz wpisać je do sytemu CRM czy innego programu komputerowego, którego używasz, oraz uzupełnić je danymi, które znajdziesz w CEIDG czy w mediach społecznościowych (dopisać w CRM nazwę firmy, stanowisko tej osoby oraz adres pocztowy tej firmy).

Dowiedz się więcej o wykorzystywaniu danych osobowych
w marketingu ze szkolenia online „Prawo w marketingu”.

Pamiętaj jednak, że operowanie na ogólnodostępnych danych wiąże się też z pewnymi wymaganiami, takimi jak:

• spełnienie obowiązku informacyjnego (doręczenie klauzuli informacyjnej),
• odpowiednie zabezpieczenie baz danych (jeśli sprzedajesz swoje usługi lub produkty firmom jednoosobowym albo współpracujesz z takimi firmami, np. rozliczasz z nimi prowizję – kwoty widniejące na fakturach Twoich lub Twoich partnerów będą nie tylko ich tajemnicą handlową, lecz także ich danymi osobowymi),
• pozyskanie zgody jednoosobowego przedsiębiorcy na niektóre działania, np. przekazanie jego danych (innych niż ujawnione w CEIDG) do podmiotu trzeciego.

Klauzula informacyjna w takich przypadkach powinna być skonstruowana zgodnie z art. 14 RODO, tj. wskazywać również m.in. to, skąd pozyskałeś dane konkretnej osoby. Klauzulę tę należy dostarczyć w miarę możliwości niezwłocznie (czyli niedługo po tym, jak pozyskałeś dane i zaczynasz je przetwarzać w jakichś własnych celach), a najpóźniej przy pierwszym kontakcie.

Firma dystrybuująca specjalistyczne urządzenia klimatyzacyjne – Klima sp. z o.o. – mniej więcej raz na pół roku rozsyła drogą pocztową papierowe katalogi urządzeń wchodzących w skład jej oferty. Z publicznie dostępnych internetowych baz branżowych Klima sp. z o.o. wybiera potencjalnych klientów – jednoosobowych przedsiębiorców prowadzących np. sklepy, restauracje, hurtownie, magazyny. Klima sp. z o.o. w systemie CRM tworzy wewnętrzną bazę takich potencjalnych klientów – po to, by przy kolejnej wysyłce wiedzieć, do kogo katalog już trafił.

Klima sp. z o.o. nie przetwarza tych danych osobowych w żadnym innym celu, ponieważ:
sprzedaż odbywa się bezpośrednio od producenta (Klima sp. z o.o. jest tylko agentem pośredniczącym w sprzedaży, ale nie podpisuje umów sprzedaży w imieniu producenta),wszelka obsługa posprzedażowa odbywa się przez wyspecjalizowane serwisy (innych przedsiębiorców).

Klima sp. z o.o. może tworzyć wyżej opisaną bazę i może przesyłać pocztą katalogi, jednak do przesyłki pocztowej powinna dołączać klauzulę informacyjną (m.in. informacje, skąd pozyskała dane, w jakich celach i jak długo będzie je przetwarzała itd.). Klauzula może mieć nawet formę kilku akapitów wydrukowanych na początkowych stronach katalogu.

Oczywiście jeśli działasz na danych ogólnodostępnych, ale nie masz adresu e-mailowego ani pocztowego danej osoby, nie musisz się starać o pozyskanie dodatkowych danych tylko po to, by doręczyć klauzulę. Byłoby to działanie niezgodne z zasadą minimalizacji wyrażoną w RODO (chodzi o to, by zbierać jak najmniej danych, które są potrzebne w procesie biznesowym). Jeśli pozyskanie danych kontaktowych w celu doręczenia klauzuli byłoby kłopotliwe, można w niektórych przypadkach przyjąć, że obowiązek informacyjny zostanie spełniony przez umieszczenie klauzuli na stronie WWW (przykłady E i F poniżej).

Podsumowanie

Po lekturze tego artykułu powinieneś zapamiętać, że nie każde korzystanie z dobrodziejstw internetu, w tym z wyszukiwarek i narzędzi do monitorowania, będzie zgodne z prawem. Jeśli chcesz korzystać z danych ogólnodostępnych, powinieneś wziąć pod uwagę, w jakim celu zostały one udostępnione. Twoje planowane działania, wykorzystujące publicznie dostępne dane, powinny być zgodne z tym celem.

Dowiedz się więcej o wykorzystywaniu danych osobowych
w marketingu ze szkolenia online „Prawo w marketingu”.

Ograniczenia wynikające z prawa ochrony danych osobowych oraz przepisów antyspamowych dotyczą nie tylko branży B2C, lecz także – choć w węższym zakresie – B2B. Jest to zgodne z modnym obecnie określeniem, że działamy w erze marketingu H2H – human to human. Nieważne, czy po drugiej stronie masz do czynienia z konsumentem, pracownikiem korporacji, czy jednoosobowym przedsiębiorcą – Twoje działania powinny się opierać na poszanowaniu praw tej osoby.

Chcesz wiedzieć, jak w świecie B2B zgodnie z prawem prowadzić marketing tradycyjny (drogą pocztową) i telefoniczny oraz e-mail marketing? W jaki sposób bez naruszania prawa organizować eventy, które należą do narzędzi marketingu B2B? Jakie są ograniczenia w pozyskiwaniu kontaktów za pośrednictwem LinkedIna? Tego wszystkiego dowiesz się z kolejnych części cyklu.

Firma InfoVeriti.pl na swojej stronie WWW umieszcza bazę danych pobieraną z KRS, przy czym udostępnia klientom funkcje, których nie oferuje oficjalny rejestr. W internetowej bazie KRS można wyszukiwać jedynie podmioty (spółki itd.), a nie konkretne osoby fizyczne.

Ponadto w internetowym KRS nie ma informacji finansowych o spółkach, np. sprawozdań finansowych, które są również jawne i dostępne w sądach rejestrowych, ale jedynie na miejscu, tzn. w postaci papierowej w konkretnej miejscowości zgodnie z siedzibą spółki.

Tymczasem na InfoVeriti.pl można przeszukać bazę po imieniu i nazwisku konkretnej osoby (znamy np. członka zarządu spółki XYZ sp. z o.o. i chcemy zobaczyć, czy pełni on również funkcje w innych spółkach), a także zamówić płatny raport zawierający o wiele szerszy zakres informacji niż internetowy KRS (powiązania spółki z innymi spółkami, powiązania z osobami, które w przeszłości pełniły funkcje w tej spółce, dane finansowe itp.).

Właściciel serwisu InfoVeriti.pl pozyskuje dane z Krajowego Rejestru Sądowego, w którym uwidocznione są imiona i nazwiska oraz numery PESEL członków zarządu, członków rad nadzorczych i wspólników spółek, jednak nie ma w nim ujawnionych adresów pocztowych ani adresów e-mail tych osób. Wobec tego spełnienie przez InfoVeriti.pl obowiązku informacyjnego wobec tych osób byłoby utrudnione.

Wobec Info Veriti Polska sp. z o.o. toczyło się swego czasu postępowanie GIODO (jeszcze przed 25 maja 2018 r.), którego finałem było stwierdzenie, że na stronie głównej powinna się pojawić klauzula informacyjna. Obowiązek ten został spełniony (możesz to sprawdzić po wejściu na InfoVeriti.pl). Spółka w klauzuli informuje również, że osoby, których dane są przetwarzane przez serwis, mogą wnieść umotywowany sprzeciw wobec przetwarzania ich danych.

Jeśli wpiszesz na stronie Hunter.io nazwę dowolnej domeny internetowej, zostaną wyszukane wszystkie adresy e-mail, które są przypisane do tej domeny i które zostały kiedyś (w dowolnych okolicznościach) upublicznione w internecie. Serwis podpowiada, jaka jest najbardziej prawdopodobna konfiguracja adresów e-mail w tej domenie (np. „imię.nazwisko@domena.pl” czy „pierwszaliteraimienia.nazwisko@domena.pl”, czy jeszcze inna konfiguracja).

W ten sposób, jeśli znasz imię i nazwisko jednej osoby i wiesz, w jakiej firmie ona pracuje – możesz z dużą dozą prawdopodobieństwa z pomocą Hunter.io „odgadnąć” adres e-mail tej osoby.

Działanie serwisu Hunter.io jest całkowicie legalne i zgodne z RODO. Nie przetwarza on danych osobowych w żadnym innym celu niż już wcześniej określony przez kogoś innego (kto gdzieś w odmętach internetu upublicznił adres e-mail z danej domeny). Serwis ten stanowi swego rodzaju „wyszukiwarkę w wyszukiwarce” – jedynie ułatwia przeszukanie internetu, ale nie tworzy żadnych nowych celów przetwarzania danych.

Właściciel serwisu Hunter.io nie ma obowiązku przesyłania klauzuli informacyjnej na każdy adres e-mail, który jest możliwy do wyszukania za pośrednictwem opisywanego narzędzia. Powinien natomiast umieścić klauzulę informacyjną (lub politykę prywatności zawierającą informacje wymagane przez art. 14 RODO) na stronie głównej serwisu, a także umożliwić każdej osobie wniesienie sprzeciwu wobec przetwarzania jej danych w taki sposób, w jaki robi to serwis.

Właściciele serwisu Hunter.io dostosowali się zresztą do powyższych wymogów i w zakładce https://hunter.io/claim dają możliwość modyfikacji lub usunięcia swoich danych. Wymagane przez prawo informacje są udzielane przez właścicieli serwisu w zakładkach https://hunter.io/gdpr oraz https://hunter.io/privacy-policy.

Przeczytaj kolejne artykuły z cyklu „Kompendium wiedzy o wykorzystywaniu danych osobowych w marketingu i sprzedaży B2B”:

Część 2. Tradycyjne przesyłki pocztowe, sprzedaż telefoniczna i aplikacje callback

Część 3. Cold e-mailing, newsletter, event marketing i LinkedIn

1. Chodzi tu o adresy, takie jak: „office@…”, „biuro@…”, „hello@…” czy „redakcja@…”, „marketing@…”, „sales@…” itp.