Automatyzacja marketingu, a ochrona danych osobowych

Redakcja PR - 04.07.2016
78

Specjalnie dla portalu publicrelations.pl pisze Witold Chomiczewski radca prawny, wspólnik w Kancelarii Lubasz i Wspólnicy.

Automatyzacja marketingu jest pod kątem biznesowym interesującym rozwiązaniem, które pozwala zwiększyć efektywność działań marketingowych przy jednoczesnej optymalizacji ich kosztów. Chodzi o spersonalizowane komunikaty marketingowe tworzone w oparciu o analizę zachowań danego użytkownika w Internecie lub na stronach portalu czy sklepu internetowego.


Dzięki automatyzacji można łatwo dopasować do zainteresowań lub podjętych już – lecz nieukończonych działań użytkownika – wysyłane mailingi czy smsy. Możliwe jest również dopasowywanie pod danego użytkownika zmiennych fragmentów strony, tak aby produkty cieszące się zainteresowaniem konkretnego internauty były dla niego szybciej widoczne.
Opisane działania wymagają odpowiedniego przygotowania od strony prawnej, by nie wiązało się z nimi ryzyko naruszenia ustawy o ochronie danych osobowych, ustawy o świadczeniu usług drogą elektroniczną oraz ustawy prawo telekomunikacyjne.
Znowu te dane osobowe[1]

Prawo nie zakazuje automatyzacji marketingu, natomiast wymaga, by przed podjęciem działań spełnić określone wymogi.
Przede wszystkim automatyzacja marketingu opiera się w dużej mierze na przetwarzaniu danych osobowych, czyli operacjach na informacjach, które pozwalają nam zidentyfikować konkretnego użytkownika. Będzie tak chociażby z uwagi na kojarzenie danych z adresem mailowym znajdującym się w naszej bazie, a adres mailowy zazwyczaj jest przypisany do konkretnego człowieka. W związku z tym, trzeba uwzględnić zasady ochrony danych osobowych, które wynikają w szczególności z ustawy o ochronie danych osobowych.

Dlatego dane zbierane w ramach automatyzacji marketingu muszą być odpowiednio zabezpieczone od strony technicznej, a my musimy zastosować politykę bezpieczeństwa, instrukcję zarządzania systemem informatycznym, pamiętać o upoważnieniach imiennych do przetwarzania danych osobowych i rejestrze upoważnień.
Niezależnie od tego, trzeba pamiętać, że operacje na danych osobowych stanowią ich przetwarzanie w celu marketingowym, także etap samego gromadzenia danych. Trzeba sobie zapewnić podstawę dla przetwarzania danych osobowych.
To po pierwsze zgoda, a po drugie tzw. prawnie usprawiedliwione cele administratora danych.

Zgoda na przetwarzanie danych powinna być tak sformułowana, by użytkownik wiedział, co będzie działo się z jego danymi osobowymi. Najlepiej jeśli nie jest napisana hermetycznym, prawniczym językiem, a prosto wyjaśnia czego dotyczy.
Na podstawę tzw. usprawiedliwione cele administratora danych można się powołać nawet wówczas, gdy nie mamy zgody użytkownika na przetwarzanie danych w celach marketingowych. To jednak słabsza przesłanka niż zgoda, gdyż duża część prawników uważa, że omawianej podstawy nie można zastosować, gdy dane są zbierane w związku ze świadczeniem usług drogą elektroniczną.

Konieczne jest też zrealizowanie tzw. obowiązku informacyjnego. Powinniśmy go spełnić na etapie pozyskiwania danych od użytkowników poprzez wskazanie im naszych danych jako administratora danych, celu w jakim będziemy przetwarzali dane osobowe, informacji o prawie dostępu i poprawiania danych, a także o tym, czy podanie danych jest dobrowolne.
Sama ochrona danych osobowych to za mało
Poza etapem zbierania danych na temat zachowań użytkownika, w ramach systemów do automatyzacji marketingu ustawiamy określone reguły działań.
Jeżeli użytkownik przykładowo po raz drugi wejdzie na stronę określonego produktu, to otrzyma spersonalizowany komunikat mailowy, wiadomością push, czy sms. To kolejny newralgiczny z prawnego punktu widzenia etap działań w ramach automatyzacji marketingu.

Zarówno ustawa o świadczeniu usług drogą elektroniczną, jak i ustawa prawo telekomunikacyjne, zezwalają na wysyłanie komunikatów marketingowych do użytkowników jedynie po zdobyciu od nich zgody. Trzeba pamiętać, że jest ona jedyną przesłanką legalizującą nasze działania. Dlatego musimy ją uzyskać, by zgodnie z prawem realizować ten, najważniejszy ze sprzedażowego punktu widzenia, etap działań automatyzacji marketingu.
Zgoda powinna być wyraźnym oświadczeniem użytkownika. Jeśli stosujemy przy jej pozyskiwaniu checkboxy, to pamiętajmy, by ich domyślnie nie zaznaczać. Użytkownik sam musi to zrobić. Inaczej ryzykujemy możliwością podważenia takiej zgody.
Zgoda powinna być przejrzystym komunikatem dla użytkownika. Możliwe jest także opracowanie jednej zgody, która spełnia wymogi zarówno ustawy o świadczeniu usług drogą elektroniczną, jak i prawa telekomunikacyjnego. Trzeba tylko odpowiednio dobrać pojęcia stosowane w treści zgody.

Nie przekonuje mnie argumentacja, że wymagane są dwie osobne zgody i bez uzyskania jednej z nich nie będzie można wysyłać komunikatów do użytkownika. Takie podejście nie chroni użytkownika, a wręcz wprowadza go w błąd, gdyż po zaznaczeniu tylko jednej zgody spodziewa się on otrzymywania wiadomości, ale ich nie dostanie, bo nie zaznaczył drugiej zgody.
Sensownym rozwiązaniem jest podanie objętych zgodą kanałów komunikacji np. e-mail, sms, wiadomości push. Pozwala to użytkownikowi zorientować się nie tylko jakiego typu wiadomości będzie otrzymywał, ale także jakim kanałem będą one do niego trafiały.Brak prawidłowej zgody naraża nas na poważne sankcje, a przede wszystkim na karę w wysokości do 3 % naszego rocznego przychodu.
Profilowanie zgodnie z reformą unijną ochrony danych osobowych pod kątem systemów do automatyzacji marketingu, które wykorzystują profilowanie konieczne będzie uzyskiwanie osobnej zgody od użytkowników na takie działania. Warto już teraz się na to przygotować, by uniknąć problemów z płynnością działań w chwili gdy nowe przepisy zaczną obowiązywać, czyli 25 maja 2018 roku.
Witold Chomiczewski1

Autor artykułu – Witold Chomiczewski, radca prawny, wspólnik w Kancelarii Lubasz i Wspólnicy. Specjalizuje się w prawie IT i nowych technologii. Doradza przedsiębiorcom jak prowadzić firmę w sieci i zarządzać startupami. Zajmuje się odpowiedzialnością w Internecie. Przygotowuje regulaminy sklepów, portali internetowych i konkursów oraz umowy dotyczące prawa autorskiego, baz danych i udostępniania numerów premium. Ma bogate doświadczenie w obsłudze prawnej przedsiębiorców związanych z E-Commerce. Doradza m.in. spółkom zajmującym się marketingiem internetowym. Przygotowuje umowy z zakresu SEO/SEM, reklamy RTB, prawa autorskiego w Internecie. Redaktor naczelny portalu www.portalprawait.com

LW-logo

www.lubasziwspolnicy.pl
specjalizacje
http://www.lubasziwspolnicy.pl/specjalizacja/lw-e-commerce/ 
http://www.lubasziwspolnicy.pl/specjalizacja/lw-data-protection/

[1] W tekście celowo pomijane są kwestie związane z rejestracją zbioru danych w GIODO, gdyż jest to element systemów ochrony danych osobowych najlepiej znany przedsiębiorcom, dlatego lepiej więcej miejsca poświęcić tym mniej znanym wymogom dotyczącym ochrony danych osobowych.

Comments

comments

78
Komentarze
  • Rozumiemy ochronę danych osobowych, ale to wszystko idzie w jakimś dziwnym kierunku niestety… jako klient nie wyobrażam sobie, żeby każdy sklep / strona na każdym kroku mnie o coś pytały – w końcu to Internet – otwarta przestrzeń i jeśli pewne informacje są rozgłaszane to są publiczne i można je wykorzystać (w obrębie danej strony) – chodzi takie informacje jak IP, kiedy byłem na stronie itp. dane anonimowe. Jak zwykle problem pojawił się, bo firmy zaczęły „dzielić” się tymi ciasteczkami między sobą, są systemy zbierające globalnie historię działań danej osoby – i tu jest problem, a nie w automatyzacji procesu w obrębie jednej strony…

Sonda

Czy sztuczna inteligencja może zastąpić pracę PR-owca??

Loading ... Loading ...