Po upływie pięciu lat od momentu wejścia w życie RODO temat wysyłania komunikatów marketingowych do oznaczonych odbiorców wciąż budzi liczne wątpliwości w branży marketingowej. Z jednej strony reprezentanci działów marketingowych nastawieni są na rozwój zasięgów i wypracowanie zysku dla podmiotów zlecających reklamę, z drugiej jednak koncentrując się na celu sprzedażowym mogą narazić je na dotkliwe finansowo konsekwencje. Z kolei z perspektywy praktyków prawa marketingu omówienie z Klientami warunków bezpiecznego mailingu lub telemarketingu jest o tyle drażliwe, że na gruncie polskich przepisów wyłącznie zgoda może być podstawą dostarczenia do danej osoby przygotowanych materiałów marketingowych.

Czym jest marketing bezpośredni?

W obecnym stanie prawnym tzw. zgody marketingowe regulowane są w:

  • Rozporządzeniu Parlamentu Europejskiego i Rady (EU) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO);
  • Ustawie z 10 maja 2018 r. o ochronie danych osobowych;
  • Dyrektywie 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej)
  • Ustawie z dnia 18 lipca 2000 r. o świadczeniu usług drogą elektroniczną;
  • Ustawie z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne.

Mimo tak szerokich uregulowań w obrocie prawnym brak spójnej definicji prawnej czym dokładnie marketing bezpośredni jest. Żaden z przepisów nie definiuje wprost pojęcia marketingu bezpośredniego, występuje ono wielokrotnie w motywach unijnego rozporządzenia i weszło też na stałe do obrotu gospodarczego. W praktyce odnosić należy się do wykładni sądowych lub do treści decyzji organów administracyjnych, które nie raz prowadzą do sprzecznych wniosków.

Zgodnie jednak z projektem branżowym kodeksu postępowania i dobrych praktyk w zakresie ochrony danych osobowych w działaniach marketingu bezpośredniego opracowanym przez Polskie Stowarzyszenie Marketingu (https://smb.pl/news/projekt_kodo) wskazano, że marketingiem bezpośrednim jest komunikacja odbywająca się za pomocą jakichkolwiek środków bezpośredniego kontaktu (w tym e-mail, telefon, SMS, komunikatory internetowe, kontakt osobisty, powiadomienia w aplikacji mobilnej, przesyłka adresowa, przesyłka bezadresowa zawierająca formularz do podania danych osobowych itp.), która obejmuje treści marketingowe, reklamowe lub promocyjne i jest skierowana do konkretnego odbiorcy.

W praktyce zatem wyróżnić można czynności, które wykonywać można jedynie pod warunkiem dysponowania zgodą odbiorcy. Mogą to być komunikaty zawierające reklamę lub bezpośrednią ofertę kupna towaru lub usługi, zaproszenie na spotkanie promujące towary lub usługi, komunikat promujący akcję marketingową (informowanie o promocjach lub programach lojalnościowych) lub wydarzenie, wysyłka newslettera, prezentacja towarów i usług partnerów biznesowych lub promocja wizerunku danego przedsiębiorcy.

Jak prawidłowo zbierać zgody na komunikację marketingową?

Nie ulega jednak wątpliwości fakt, że na gruncie krajowych przepisów przesyłanie wszelkiej komunikacji do oznaczonego odbiorcy wymaga jego uprzedniej zgody, która zebrana powinna być w sposób zgodny z RODO. W tym zakresie art. 7 RODO szczegółowo i konkretnie wskazuje warunki wyrażenia zgody.

Zgoda marketingowa powinna zatem być:

  • uprzednia – zgodnie z aktualnymi wytycznymi wymagana jest uprzednio wyrażona zgoda potencjalnego odbiorcy marketingu bezpośredniego na to, aby określony podmiot kierował do tego odbiorcy komunikaty marketingowe z wykorzystaniem telefonu, e-maila lub innych środków komunikacji elektronicznej oraz telekomunikacyjnych urządzeń końcowych tego odbiorcy. Istotne jest, że już samo wysłanie wiadomości z prośbą o wyrażenie zgody będzie traktowane jako marketing bezpośredni;
  • konkretna – klauzula zgody powinna być napisana w prosty sposób i oddzielona od pozostałych elementów formularza lub umowy, a sama zgoda udzielona w konkretnie oznaczonym celu (np. marketing usług własnych poprzez wysyłanie wiadomości e-mail);
  • dobrowolna – odbiorca marketingu musi mieć pełną swobodę w wyrażeniu chęci otrzymywania informacji handlowych, a przedsiębiorca nie może warunkować wykonania usługi od wyrażenia przez klienta zgody marketingowej. W tym zakresie najczęstszym naruszeniem jest wymuszanie zgody w momencie rejestracji do serwisu sklepu internetowego lub przy wypełnianiu formularza kontaktowego na stronie www przedsiębiorcy;
  • poinformowana – w momencie wyrażenia zgody odbiorca musi poznać cel komunikacji marketingowej i wiedzieć, jakie podmioty mogą uzyskać dostęp do jego danych w związku z planowanymi akcjami marketingowymi;
  • prawidłowo udokumentowana – administrator ma obowiązek utrwalać i przechowywać informacje pozwalające wykazać, że zgoda została wyrażona oraz, że spełnia ona wymagania określone w RODO (archiwizacja logów lub odnotowanie zgód zbieranych w dokumentacji papierowej);
  • odwołalna – wycofanie zgody przez klienta musi być równie łatwe jak jej wyrażenie, a przedsiębiorca zobowiązany jest zagwarantować realizację tego prawa i prawidłowo odnotować wykonanie żądania.

Jaka jest praktyka polskich organów i sądów w zakresie naruszeń dot. zgód marketingowych?

Poniżej przedstawiamy przykładowe zestawienie kar polskich organów związanych z naruszeniami dot. zgód marketingowych:

  • Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 10 września 2019 r. ZSPR.421.2.2019 – 2 830 410 PLN (co stanowi równowartość 660 000 EUR) m.in. za niewykazanie, że dane osobowe z wniosków ratalnych zbierane przed 25 maja 2018 r. były przetwarzane przez Morele.net Sp. z o. o. z siedzibą w Krakowie na podstawie zgody osoby, której dane dotyczyły.
  • Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 30 listopada 2022 r. DKN.5112.5.2021 – 45 697 PLN za przetwarzaniu danych osobowych swoich klientów oraz swoich potencjalnych klientów bez podstawy prawnej, a w szczególności bez uzyskania ich zgody na przetwarzanie.
  • Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 16 października 2019 r. ZSPR.421.7.2019 – 201 559,50 PLN za przetwarzanie danych bez podstawy prawnej danych osób, które nie są klientami administratora, a od których administrator otrzymał żądania zaprzestania przetwarzania danych osobowych.
  • Wyrok Sądu Apelacyjnego w Warszawie z dnia 16 marca 2022 r. (sygn. akt VII AGa 277/21) podtrzymujący kary nałożone w łącznej wysokości 9 100 000 PLN przez Prezesa UKE za niewypełnienie obowiązku uzyskania zgody marketingowej.
  • Wyrok Sądu Ochrony Konkurencji i Konsumentów z dnia 22 października 2021 r. (sygn. akt XVII AmT 24/20) podtrzymujący karę nałożoną przez Prezesa UKE w wysokości 500 000 PLN za niewypełnienie obowiązku uzyskania uprzedniej zgody abonentów lub użytkowników końcowych na używanie telekomunikacyjnych urządzeń końcowych dla celów marketingu bezpośredniego
  • Wyrok Sądu Ochrony Konkurencji i Konsumentów z dnia 4 lutego 2021 r. (sygn. akt XVII AmT 81/19) podtrzymujący kary nałożone w łącznej wysokości 9 100 000 PLN przez Prezesa UKE za niewypełnienie obowiązku uzyskania zgody marketingowej.
  • Wyrok Sądu Ochrony Konkurencji i Konsumentów z dnia 19 kwietnia 2019 r. (sygn. akt XVII AmT 17/17) zmieniający wysokość nałożonej przez Prezesa UKE kary z 500 000 PLN na 216 000 PLN za niewypełnienie obowiązku uzyskania zgody od 24 935 abonentów dla celów marketingu bezpośredniego i użyciu danych abonentów dla potrzeb nawiązania połączeń telefonicznych celem przedstawienia oferty zawarcia umowy

Jaki jest maksymalny wymiar kar finansowych w Polsce?

Pamiętajmy, że administracyjne kary finansowe są wymierzane indywidualnie do skali naruszenia i proporcjonalnie do dochodu Administratora w zakresie jej dotkliwości. Ustawowo zdefiniowany maksymalny wymiar kar finansowych przedstawia się na chwilę obecną następująco:

  • art. 84 ust.4 RODO – w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa;
  • art. 172 Prawa Telekomunikacyjnego – w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym;
  • art. 24 Ustawy o świadczeniu usług drogą elektroniczną – kara grzywny do 5000 zł (wykroczenie ścigane na wniosek pokrzywdzonego);
  • art. 106 ust. 1 pkt 4 Ustawy o ochronie konkurencji i konsumentów – w wysokości nie większej niż 10% obrotu osiągniętego w roku obrotowym poprzedzającym rok nałożenia kary.

Jakie są przykładowe incydenty w marketingu bezpośrednim?

Nie zawsze jednak odpowiedzialność przedsiębiorcy wiązać się będzie ze świadomym naruszeniem jego obowiązków wobec wysyłania informacji handlowej. W praktyce zgłaszania incydentów ochrony danych osobowych zazwyczaj najistotniejszym źródłem ryzyka jest tzw. czynnik ludzki, który doprowadzić może do następujących sytuacji:

  • uzyskanie dostępu do bazy marketingowej przez osobę nieuprawnioną;
  • udostępnienie adresów e-mail lub numerów telefonów odbiorców komunikacji marketingowej nieograniczonej liczbie osób, np. na stronie internetowej;
  • przesłanie komunikatu marketingowego zawierającego dane identyfikacyjne oraz historię zakupów określonego odbiorcy komunikacji marketingowej do innego odbiorcy komunikacji marketingowej;
  • przesłanie zbiorowej komunikacji marketingowej jednocześnie do wielu odbiorców w sposób ujawniający dane kontaktowe pozostałych odbiorców;
  • przypadkowa utrata dostępu do bazy marketingowej na skutek działania złośliwego oprogramowania szyfrującego dane zawarte w bazie;
  • nieautoryzowana zmiana adresów e-mail odbiorców komunikacji marketingowej.

Pamiętajmy, że w razie podejrzenia wystąpienia incydentu należy zabezpieczyć wszelkie dowody wystąpienia incydentu (np. wykonać zrzuty ekranu) oraz starać się zminimalizować jego skutki. Jeżeli istotność incydentu jest wysoka w ciągu 72 godzin od stwierdzenia naruszenia należy zgłosić (w konsultacji z IOD) incydent do Prezesa Urzędu Ochrony Danych Osobowych, a także poinformować o incydencie wszystkie osoby, których dane osobowe były przedmiotem naruszenia.

Artykuł został przygotowany przez radcę prawnego JSP Aleksandrę Głąb oraz prawnika JSP Damiana Kronenberga.