Pod koniec marca tego roku Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą karę za niedopełnienie obowiązku informacyjnego w wysokości ponad 943 tys. zł. Kolejna wyniosła prawie 56 tys. zł. Sprawdź, jakie przepisy prawne są najczęściej łamane przez marketerów oraz co zalecają eksperci prawa w marketingu, żeby uniknąć podobnych konsekwencji.
Z tego artykułu dowiesz się:
- czy obecne działania marketerów w zakresie ochrony danych osobowych są wystarczające,
- jakie przepisy są najczęściej łamane przez marketerów,
- z jakimi istotnymi problemami związanymi z prawem borykają się marketerzy,
- co powinni robić marketerzy, żeby ustrzec się przed wysokimi karami – podobnymi do tych, które otrzymały np. firmy Philipiak i Netia.
Kardynał Richelieu mawiał: „Jeżeli dasz mi sześć linijek napisanych przez najbardziej uczciwego człowieka i tak znajdę w nich przyczynę do powieszenia go”.
Marketerzy codziennie wykonują mnóstwo czynności, które podlegają przepisom prawnym. Nawet najbardziej uczciwy marketer może popełnić błąd, jeśli nie ma kompletnej wiedzy z zakresu prawa w marketingu. Nieznajomość prawa szkodzi, niezależnie od intencji.
Słuchaj „Marketer+” Podcast
Chcesz zdobyć wiedzę potrzebną do legalnego i skutecznego działania?
Weź udział w kursie online „Prawo w marketingu”.
Prawie milionowa kara UODO
Pod koniec marca tego roku Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył pierwszą karę za niedopełnienie obowiązku informacyjnego w wysokości ponad 943 tys. zł.
– Spółka nie dopełniła obowiązku informacyjnego w stosunku do ponad 6 mln osób. Spośród ok. 90 tys. osób, których spółka poinformowała o przetwarzaniu danych, ponad 12 tys. wniosło sprzeciw wobec przetwarzania ich danych. Pokazuje to, jak ważne jest prawidłowe spełnienie obowiązków informacyjnych dla realizacji uprawnień przysługujących nam zgodnie z RODO – tłumaczył Piotr Drobek, dyrektor Zespołu Analiz i Strategii w UODO.
Kolejną karę finansową, w wysokości prawie 56 tys. zł, otrzymał Dolnośląski Związek Piłki Nożnej za upublicznienie w sieci danych osób, którym przyznano licencje sędziowskie. Podano jednak nie tylko ich imiona i nazwiska, lecz także dokładne adresy oraz numery PESEL. Administrator stworzył tym samym ryzyko ich bezprawnego wykorzystania, np. do podszycia się pod te osoby w celu zaciągania pożyczek czy innych zobowiązań.
Netia kupiła gotowe bazy kontaktów. Następnie przedstawiciele firmy dzwonili do ludzi z propozycją zawarcia umowy – mimo iż nie zweryfikowano, czy sprzedawca bazy pozyskał prawidłowe zgody abonentów na kontakt w celach marketingu bezpośredniego ze strony Netii. Pośrednik baz posiadał zgody marketingowe zbyt ogólne, a nie pozyskane konkretnie na rzecz Netii. Taką zgodę próbowano uzyskać dopiero w trakcie rozmowy (co jest wbrew przepisom). Firma uniknęła kary finansowej jedynie dlatego, że zobowiązała się zmienić zasady współpracy z partnerami. Poza tym zapowiedziała również przyznanie rekompensaty do wyboru zarówno osobom, które zawarły umowę, jak i tym, które jej nie zawarły.
Producent popularnych naczyń – spółka Smak i Zdrowie (dawniej Philipiak Polska) – zleciła zewnętrznej firmie nawiązywanie połączeń telefonicznych w swoim imieniu i zapraszanie rozmówców na pokazy garnków. Okazało się, że pośrednik nie miał zgód konsumentów na wykonywanie takich połączeń. W efekcie UOKiK nałożył na spółkę karę finansową w wysokości ponad 35 tys. zł.
ZapamiętajKontakt w celu marketingu bezpośredniego lub z informacją handlową (nawet kiedy korzystasz z usług pośrednika) zgodnie z prawem musi być poprzedzony odpowiednią zgodą osoby, do której dzwonisz (art. 172 ustawy z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne).
Lekcje dla marketera: prawo w marketingu – przepisy prawne najczęściej łamane przez marketerów
Czy obecne działania marketerów w zakresie ochrony danych osobowych są wystarczające? Jakie przepisy są przez nich najczęściej łamane i co powinni oni robić, żeby ustrzec się przed wysokimi karami – podobnymi do tych, które otrzymały np. firmy Philipiak i Netia?
Na te pytania odpowiadają prawnicy działający w zakresie prawa w marketingu: Agnieszka Grzesiek-Kasperczyk, Ilona Świderska-Ćwik, Tomasz Palak, Tomasz Jan Siemiński, Piotr Kantorowski i autorzy bloga Prawieoprawie.pl.
Agnieszka Grzesiek-Kasperczyk
radca prawny i współwłaściciel kancelarii MyLo
Moim zdaniem nie można generalizować, że marketerzy albo podejmują wystarczające działania, albo nie.
Są osoby bazujące na poszanowaniu dla swoich odbiorców i kierujące komunikaty marketingowe tylko do tych, którzy rzeczywiście chcą je czytać. One zazwyczaj podejmują działania zgodne z prawem, a dodatkowo wolą się o tym upewnić, więc wcześniej konsultują je z odpowiednim doradcą.
Są też jednak tacy – jak w firmach Netia i Philipiak – którzy chcieliby bazować na efekcie skali (1% pozytywnych odpowiedzi z kilkumilionowej bazy może dać satysfakcjonujący wynik sprzedażowy).
Tymczasem nowoczesny marketing internetowy opiera się na relacji H2H (human to human). Niechciana komunikacja, nawet jeśli będzie legalna, nie przyniesie w nim odpowiedniego efektu sprzedażowego.
W sprawach firm Netia i Philipiak – wbrew pozorom – pośrednicy baz danych posiadali zgody marketingowe, i to uzyskane za pomocą checkboxów. Jednak zrobiono to w sposób nieco „podstępny”, gdy internauci podawali swoje dane do innych celów.
Pozyskiwane zgody były zbyt ogólne (np. „Zgadzam się na przetwarzanie moich danych do celów marketingowych przez firmę XY oraz jej partnerów”) i dlatego słusznie właściciele numerów telefonów byli zaskoczeni, skąd właściwie ich dane znalazły się w posiadaniu Netii.
Moim zdaniem powyższe sprawy potwierdzają więc twierdzenie, które głoszę od dłuższego czasu: nie jest najważniejsze, aby pozyskać dużą liczbę zgód, nie jest też konieczne mnożenie checkboxów. Najważniejsza jest transparentność komunikacji z potencjalnym klientem. Marketerzy, którzy mają z tym problem, najczęściej naruszają przepisy prawa.
Recepta na uniknięcie kar jest wbrew pozorom prosta. Nie należy się sugerować praktykami „zasłyszanymi” albo „zobaczonymi” gdzieś indziej, np. u konkurencji albo w wielkich korporacjach (jak widać, wielkie korporacje takie jak Netia również mogą naruszać prawo).
Należy rzetelnie, po ludzku, bez zbędnych odstraszających formalności budować bazy leadów rzeczywiście zainteresowanych naszą ofertą. Komunikacja „ludzkim językiem”, bez ukrywania naszych intencji będzie z pewnością bardziej skuteczna (a jednocześnie może być legalna) niż rozbudowane prawnicze formułki, których nikt nie rozumie.
Przykładowo narzędzie typu callback wyświetla pop-up z tekstem: „Zainteresowała Cię oferta? Zostaw swój numer – oddzwonimy w 28 sekund”. Jest to o wiele lepsze niż zbieranie numerów telefonu pod innym pretekstem, np. komunikatem: „Odbierz rabat”.
Kontakty e-mailowe powinno się zbierać przez komunikowanie wprost, że chce się subskrybentom przesyłać w przyszłości informacje o swojej ofercie czy promocjach.
Komunikat na stronie: „Zapisz się do newslettera Nike. Jako pierwszy dowiesz się o naszych nowościach i promocjach, a co tydzień otrzymasz dawkę wiedzy ze świata sportu” (uwaga: przykład fikcyjny!), będzie prawidłowy i nie będą w nim wymagane dodatkowe checkboxy, jeśli przy zapisie subskrybent otrzyma również właściwą klauzulę informacyjną.
Z kolei samo „Zapisz się do newslettera” na blogu branżowym o sporcie – jeśli nie widać na pierwszy rzut oka, kto jest jego wydawcą – może nie być wystarczające. Samo słowo „newsletter” nie jest w sensie prawnym równoznaczne z komunikatami marketingowymi (np. UOKiK również ma newsletter, a przecież nie przesyła w nim żadnych ofert). Ponadto subskrybent powinien zawsze wiedzieć, komu przekazuje swoją zgodę.
Podsumowując, lekcja dla marketera to: opieraj się na zasadzie permission marketingu, zbieraj leady w sposób transparentny, operuj językiem zrozumiałym dla Ciebie i Twoich odbiorców. Wówczas najprawdopodobniej z łatwością potwierdzisz u prawnika, że Twoje działania marketingowe są legalne.
Uzyskaj dostęp do ponad 5 godzin niezbędnej wiedzy, która pomoże Twojej firmie uniknąć pozwów i kar finansowych.
Weź udział w kursie online „Prawo w marketingu”
Ilona Świderska-Ćwik
radca prawny w kancelarii Kolmers Legal
Wejście w życie RODO było poprzedzone wielomiesięcznym edukowaniem przedsiębiorców w zakresie zmian i nowych obowiązków, a w pewnym momencie liczba komunikatów dotyczących ochrony danych osobowych była w mediach wręcz przytłaczająca.
Niestety, mimo jednej z najgłośniejszych akcji informacyjnych nadal pojawiają się na rynku firmy, które przeprowadzają kampanie promocyjne, w których wykonują połączenia pod numery wygenerowane losowo.
Żeby uniknąć kar – takich ja ta, która w ostatnim czasie została nałożona przez UOKIK na spółkę Smak i Zdrowie (dawniej Philipiak Polska) – marketerzy i agencje powinni zwrócić szczególną uwagę na sposób pozyskiwania danych. Wykonywanie do konsumentów połączeń telefonicznych, których celem jest prezentowanie komunikatów marketingowych, wymaga posiadania uprzedniej zgody takich osób.
Innymi słowy: przed podjęciem pierwszego kontaktu z konsumentem i niezależnie od technologii wykorzystanej do wykonania takiego połączenia (tj. bez względu na to, czy będzie to rozmowa telefoniczna, wideorozmowa, e-mail czy SMS) marketer powinien pozyskać zgodę (która – zgodnie z RODO – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w formie oświadczenia lub wyraźnego działania potwierdzającego).
Warto także pamiętać, że każda czynność musi być osobno potwierdzona (pozostawienie danych za pobranie e-booka, wysyłanie informacji handlowych, przekazanie danych kontaktowych partnerom, wykorzystanie wizerunku itd.). Zbiorcze: „Wyrażam zgodę na wszystko, na co tylko macie lub będziecie mieli ochotę w przyszłości”, może skutkować nałożeniem kary.
Co cieszy, większość narzędzi marketing automation najczęściej stosowanych przez marketerów jest dobrze dostosowana do wymagań RODO i wręcz sugeruje rozwiązania zgodne z prawem. Spojrzę więc na temat z drugiej strony. Po wejściu w życie RODO pojawiło się sporo akcji, w których firmy wykorzystują informację o dostosowaniu się do przepisów o ochronie danych, żeby podkreślić swoją rzetelność i swój profesjonalizm. Pominę same kancelarie prawne i firmy oferujące rozwiązania z zakresu bezpieczeństwa IT.
Interesującym działaniem wizerunkowym są według mnie konsultacje branżowe zainicjowane m.in. przez eRecruiter i Pracuj.pl dotyczące stworzenia „Kodeksu ochrony danych osobowych w rekrutacji”
Na marginesie wspomnieć należy, że karę finansową może nałożyć nie tylko UOKIK, lecz także Prezes Urzędu Komunikacji Elektronicznej oraz Prezes Urzędu Ochrony Danych Osobowych. Tak więc podejmowanie działań marketingowych w niedozwolony sposób może mieć dla przedsiębiorcy dość dotkliwe skutki finansowe.
Tomasz Jan Siemiński
adwokat, partner w Siemiński Gutowski Kancelaria Adwokacka
Obecne działania marketerów w celu zapewnienia zgodności ich działań z przepisami prawa trudno uznać za wystarczające. Wynika to w dużej mierze z niskiej świadomości obowiązujących regulacji oraz z przeświadczenia, że „inni też tak robią”.
Większość osób zdaje sobie sprawę z istnienia RODO, natomiast znacznie gorzej jest ze znajomością konkretnych ograniczeń wynikających z tej regulacji. A przecież RODO to nie wszystko.
Przykładowo: marketerzy jednej z dużych firm oferowali abonament za określoną kwotę, ale nie informowali, że kwota ta obowiązuje tylko w wypadku wyrażenia zgody na przesyłanie informacji handlowych – tym samym wprowadzali klientów w błąd.
Dlatego też tym, co może uchronić przedsiębiorców przed karami nakładanymi np. przez UOKiK, jest przede wszystkim podnoszenie świadomości prawnej przedsiębiorców i ich pracowników wogóle, nie tylko marketerów.
Piotr Kantorowski
radca prawny, wspólnik w Kancelarii Prawnej Kantorowski, Głąb i Wspólnicy
Dla marketingu w dobie internetu i społeczeństwa informacyjnego podstawową „walutą” stały się dane osobowe. Dlatego też problematyka ich legalnego wykorzystywania jest tak niezmiernie istotna, co było szczególnie widoczne w czasie wejścia w życie RODO.
Nie wszyscy jednak wiedzą, że w legalnym wykorzystywaniu danych osobowych w digital marketingu to nie przepisy RODO są kluczowe. Podstawę stanowią tu dwie inne ustawy, czyli: Prawo telekomunikacyjne oraz Ustawa o świadczeniu usług drogą elektroniczną.
Realnie to właśnie te akty prawne wymuszają na przedsiębiorcach uzyskanie zgody na działania marketingowe. Jak się bowiem okazuje, w świetle RODO w zasadzie każda firma może wykorzystać dane osobowe, które pozyskała w związku z zawartymi umowami, pod warunkiem, że wykorzystywać je będzie do marketingu własnych usług czy produktów.
Wszystko jednak wraca do punktu wyjścia, czyli konieczności uzyskania stosownych zgód. Jeśli weźmie się pod uwagę uregulowania obu ustaw wskazanych powyżej. I choć rozwiązanie to może budzić niejednokrotnie wiele kontrowersji, przede wszystkim wśród marketerów, to w obecnym stanie prawnym nie ma wątpliwości, jak należy je wykładać.
W dalszym ciągu jednak nie dość klarowne wydają się przepisy prawa w zakresie zarówno przetwarzania danych osobowych, jak i kwestii dotyczących działań marketingowych prowadzonych w social mediach. Duże znaczenie będzie miała tu kształtująca się praktyka, a także orzeczenia wydawane przez właściwe organy i sądy.
Oczywiście, także w tym wypadku można większość schematów działań marketingowych ocenić z punktu widzenia już istniejących przepisów. Ze względu na dość specyficzny sposób funkcjonowania tej części internetu można by rozważać wdrożenie bardziej precyzyjnych uregulowań w tym zakresie.
Autorzy bloga Prawieoprawie.pl
Kwestia przetwarzania danych osobowych to dzisiaj realny problem i ryzyko dla marketerów.
Podkreślić należy, że zwłaszcza działalność telemarketingowa znalazła się w obszarze zainteresowań Urzędu Ochrony Danych Osobowych – objęta została bowiem planem kontroli na rok 2019. Ponadto problemem są nie tylko przepisy dotyczące RODO.
Powinniśmy się także liczyć z możliwością kontroli UKE w zakresie przestrzegania prawa telekomunikacyjnego i UOKiK – w zakresie ochrony konkurencji i konsumentów. Dodatkowo na bieżąco pojawiają się interpretacje i wytyczne, za którymi bardzo trudno nadążyć.
Istotnym problemem, z którym borykają się marketerzy, jest legalność pozyskiwanych danych osobowych. Nawet korzystanie z ogólnodostępnych baz, takich jak KRS, nie zwalnia z obowiązku informacyjnego i konieczności uzyskania zgody – jak pokazał przykład pierwszej w Polsce kary UODO.
Ponadto wiele problemów przysparza uzyskanie wszystkich wymaganych zgód. Marketerów obowiązują różne regulacje (dotyczące ochrony danych osobowych, wprowadzone przez Prawo telekomunikacyjne oraz Ustawę o świadczeniu usług drogą elektroniczną). W związku z tym treść, forma oraz ilość niezbędnych zgód to kwestie, o których powinno się mówić częściej.
Tomasz Palak
radca prawny prowadzący blog Prawnik.blog
Marketerom wciąż zdarzają się kłopoty z przestrzeganiem przepisów dotyczących ochrony danych osobowych.
Nagłośnienie tematu przy okazji wejścia w życie RODO spowodowało wzrost świadomości w tym względzie, jednak to często nie wystarcza. Konieczne są konkretne działania.
Gorzej jest z innymi wymogami prawnymi, zwłaszcza prawem autorskim. Złym przykładem może tu być używanie obrazków bez zgody ich autorów czy prowadzenie konkursów niezgodnych z regulaminami portali.
Jeśli marketerzy chcą się ustrzec kar, takich jak otrzymana np. przez firmę Philipiak, powinni dbać o posiadanie zgody na kontakt od osób, do których będą kierować swoje komunikaty.
Działaj w marketingu zgodnie z prawem i unikaj kar! Sprawdź kurs „Prawo w marketingu”.
