Newsletter, remarketing, cold mailing: gdzie firmy najczęściej się gubią
W wielu organizacjach pytanie o marketing zaczyna się i kończy na zgodzie. Czy mamy checkbox? Czy klient zaznaczył zgodę? Czy da się wysłać kampanię bez dodatkowego oświadczenia? To zrozumiałe, ale właśnie tutaj zaczyna się jeden z najczęstszych błędów.
Problem polega na tym, że w praktyce firmy bardzo często mieszają dwa różne zagadnienia. Jedno dotyczy tego, na jakiej podstawie wolno przetwarzać dane osobowe. Drugie dotyczy tego, czy wolno użyć konkretnego kanału komunikacji do marketingu bezpośredniego, na przykład e-maila, SMS-a albo telefonu. To nie jest to samo. I właśnie dlatego odpowiedź na pytanie „czy można działać bez zgody?” brzmi: czasem tak, ale nie zawsze w taki sposób, jak zakłada biznes.
Zgoda nie jest jedyną podstawą w marketingu
RODO nie mówi, że marketing zawsze wymaga zgody. Wręcz przeciwnie, z perspektywy samego RODO marketing bezpośredni może opierać się na prawnie uzasadnionym interesie administratora. Potwierdza to zarówno motyw 47 rozporządzenia RODO, jak i materiały UODO, które wskazują marketing bezpośredni jako przykład działania możliwego do oparcia na art. 6 ust. 1 lit. f RODO.
To ważne, bo wiele organizacji nadal działa w uproszczeniu: marketing równa się zgoda. Tymczasem z perspektywy ochrony danych pytanie powinno brzmieć najpierw inaczej: dlaczego w ogóle przetwarzamy te dane i czy ta podstawa jest adekwatna do celu? Taki sposób myślenia jest zresztą spójny z wcześniejszymi materiałami cyklu, które podkreślają, że błędem jest sięganie po zgodę tam, gdzie istnieje inna, właściwsza przesłanka. Sama możliwość oparcia marketingu na prawnie uzasadnionym interesie nie oznacza jednak jeszcze pełnej swobody działania.
RODO to jedno, kanał komunikacji to drugie
To punkt, w którym firmy gubią się najczęściej. Można mieć prawidłową podstawę z RODO do przetwarzania danych w celu marketingu bezpośredniego i jednocześnie nie mieć prawa do wysłania wiadomości marketingowej konkretnym kanałem.
W Polsce znaczenie mają tu przepisy sektorowe dotyczące komunikacji elektronicznej. UKE od lat podkreśla, że używanie urządzeń końcowych i środków komunikacji elektronicznej do marketingu bezpośredniego wymaga uprzedniej zgody użytkownika lub abonenta. Podobny wniosek wynika również z nowszych materiałów publicznych odnoszących się już do Prawa komunikacji elektronicznej: samo RODO może dopuszczać marketing na podstawie prawnie uzasadnionego interesu, ale e-mailowy lub SMS-owy marketing bezpośredni nadal podlega ostrzejszym regułom sektorowym.
W praktyce oznacza to, że trzeba rozdzielić dwa pytania:
- po pierwsze, czy wolno przetwarzać dane osobowe do celu marketingowego,
- po drugie, czy wolno użyć konkretnego kanału kontaktu.
Dopiero połączenie tych dwóch odpowiedzi daje realnie bezpieczny model działania. Sam checkbox „zgody marketingowej” też nie rozwiązuje sprawy automatycznie, jeśli jego treść jest nieprecyzyjna albo miesza różne cele i kanały. To byłoby zresztą sprzeczne z samym rozumieniem zgody jako działania dobrowolnego, konkretnego, świadomego i jednoznacznego.
Kiedy marketing może działać na prawnie uzasadnionym interesie
W praktyce biznesowej prawnie uzasadniony interes najczęściej pojawia się tam, gdzie istnieje już relacja z klientem albo przynajmniej racjonalne oczekiwanie kontaktu związanego z ofertą administratora. Tę logikę widać również w stanowiskach UODO, które przy ocenie interesu zwracają uwagę na związek między administratorem a osobą, której dane dotyczą, oraz na rozsądne oczekiwania tej osoby.
To nie oznacza dowolności. Oparcie marketingu na prawnie uzasadnionym interesie wymaga co najmniej kilku warunków.
Po pierwsze, cel musi być rzeczywisty i jasno nazwany. Po drugie, zakres danych powinien być ograniczony do tego, co naprawdę potrzebne. Po trzecie, organizacja powinna ocenić, czy interes biznesowy nie narusza praw i wolności osoby. Po czwarte, trzeba pamiętać o prawie do sprzeciwu wobec marketingu bezpośredniego, które w tym modelu ma szczególne znaczenie. UODO wprost wskazuje, że prawo do sprzeciwu dotyczy m.in. przetwarzania danych na potrzeby marketingu bezpośredniego opartego na art. 6 ust. 1 lit. f RODO.
Właściwe podejście nie polega więc na zadaniu jednego pytania: „czy możemy?”. Polega na sprawdzeniu, czy umiemy uzasadnić cały model: cel, zakres danych, kanał kontaktu i sposób realizacji sprzeciwu.
B2B i B2C – różnica istnieje, ale nie rozwiązuje wszystkiego
W praktyce marketingowej bardzo często słyszy się, że „w B2B można więcej”. To uproszczenie, które potrafi kosztować więcej niż sam brak kampanii.
Rzeczywiście w relacjach B2B część organizacji zakłada, że skoro kontakt dotyczy służbowego adresu e-mail albo stanowiska zawodowego, temat RODO schodzi na dalszy plan. To niebezpieczne. Jeżeli adres pozwala zidentyfikować konkretną osobę, nadal mamy do czynienia z danymi osobowymi. Sam fakt, że kontakt ma charakter zawodowy, nie wyłącza automatycznie stosowania RODO. Jest to raczej argument, który może wpływać na ocenę rozsądnych oczekiwań i bilansu interesów.
W B2C granice są zwykle bardziej oczywiste, ale za to większa jest skala ryzyka. Dane klientów indywidualnych są często łączone z historią zakupów, zachowaniami w serwisie, aktywnością w newsletterze i segmentacją marketingową. To zwiększa znaczenie przejrzystości, minimalizacji danych i prawa do sprzeciwu.
W obu modelach wspólny problem jest ten sam: firmy zbyt szybko przechodzą do kampanii, zanim uporządkują podstawę, zakres danych i dopuszczalne kanały komunikacji.
Newsletter to nie wszystko, czyli gdzie marketing gubi się najczęściej
Najwięcej błędów pojawia się nie w samej teorii, lecz w konkretnych procesach.
Newsletter
Jeżeli organizacja chce wysyłać newsletter e-mailem, nie wystarczy samo przekonanie, że ma prawnie uzasadniony interes w promowaniu własnych usług. Trzeba jeszcze ocenić, czy posiada zgodę wymaganą dla danego kanału kontaktu oraz czy sposób pozyskania adresu i treść komunikacji są zgodne z zasadą przejrzystości. Źródła publiczne wyraźnie pokazują, że e-mailowy marketing bezpośredni jest obszarem podwyższonego ryzyka regulacyjnego.
Remarketing i profilowanie
Remarketing bywa przedstawiany jako wyłącznie techniczna funkcja narzędzia marketingowego. W rzeczywistości bardzo często oznacza analizę zachowań użytkowników, łączenie identyfikatorów, budowanie profili i dopasowywanie treści reklamowych. To oznacza nie tylko potrzebę poprawnej podstawy prawnej, ale również większą wagę przejrzystości i właściwej klasyfikacji danych. Wcześniejsze materiały cyklu dobrze pokazują, że dane behawioralne, identyfikatory czy wzorce aktywności bardzo łatwo są błędnie traktowane jako „nietechniczne” albo „nieosobowe”, choć w praktyce mogą podlegać RODO.
Cold mailing
Cold mailing jest chyba najlepszym przykładem tego, jak bardzo biznes miesza dziś podstawę z RODO ze zgodą na komunikację. Sama możliwość uzasadnienia biznesowego kontaktu nie oznacza jeszcze, że wolno wysłać pierwszą wiadomość handlową bez spełnienia wymogów sektorowych dla komunikacji elektronicznej. W praktyce to właśnie tu najczęściej powstaje fałszywe poczucie bezpieczeństwa: „to przecież tylko jeden mail do firmy”. Tymczasem prawne ryzyko nie znika tylko dlatego, że kampania jest mała albo dotyczy relacji B2B.
Najczęstsze błędy organizacji
W praktyce problem zwykle nie polega na całkowitym braku świadomości, lecz na przyjęciu zbyt prostych założeń.
Pierwszy błąd to traktowanie zgody jako uniwersalnej tarczy. Wcześniejsze materiały z cyklu trafnie pokazują, że zgoda bywa najsłabszą i najbardziej niestabilną podstawą, jeśli została wybrana wyłącznie „na wszelki wypadek”.
Drugi błąd to utożsamianie podstawy z RODO ze zgodą na kanał marketingowy. Te kwestie trzeba analizować osobno.
Trzeci błąd to nadmierne zbieranie danych marketingowych „bo mogą się przydać”. Taki model szybko wchodzi w konflikt z zasadą minimalizacji i z samą logiką rozliczalności, którą cykl konsekwentnie podkreśla.
Czwarty błąd to brak realnej ścieżki sprzeciwu albo wycofania zgody. Formalnie wszystko bywa przygotowane poprawnie, ale operacyjnie organizacja nie potrafi szybko zatrzymać działań marketingowych wobec konkretnej osoby. A właśnie wtedy okazuje się, czy system działa, czy tylko wygląda poprawnie.
Jak wygląda podejście do marketingu zgodne z RODO?
Dojrzałe podejście do marketingu nie zaczyna się od formularza. Zaczyna się od uporządkowania decyzji. Najpierw trzeba ustalić, jaki jest cel konkretnego działania i jakie dane są naprawdę potrzebne. Następnie dobrać właściwą podstawę przetwarzania danych. Potem osobno ocenić, czy planowany kanał komunikacji wymaga uprzedniej zgody. Na końcu trzeba jeszcze sprawdzić, czy organizacja umie obsłużyć sprzeciw, wycofanie zgody, ograniczenie przetwarzania i aktualizację preferencji kontaktowych. Taki model jest bardziej wymagający niż proste „dodajmy checkbox”, ale za to znacznie stabilniejszy prawnie i operacyjnie.
W praktyce właśnie tu widać różnicę między marketingiem prowadzonym reaktywnie a marketingiem zaprojektowanym dojrzale. W pierwszym modelu firma szuka zgody, która „załatwi temat”. W drugim rozumie, że marketing to obszar styku danych, technologii, komunikacji i odpowiedzialności.
Podsumowanie
RODO nie zakazuje marketingu. Nie mówi też, że każda aktywność marketingowa musi opierać się na zgodzie. Mówi natomiast, że organizacja powinna umieć wskazać właściwą podstawę przetwarzania danych, działać przejrzyście i respektować prawa osób, których dane dotyczą. Dodatkowo polskie przepisy sektorowe dotyczące komunikacji elektronicznej mogą wymagać odrębnej zgody na sam kontakt marketingowy określonym kanałem.
Dlatego najbezpieczniejsze pytanie nie brzmi: „czy mamy zgodę?”. Lepsze brzmi: na jakiej podstawie przetwarzamy dane, jakim kanałem chcemy się kontaktować i czy potrafimy obronić ten model w praktyce.