Większość ludzi lubi dostawać prezenty. Dzięki nim wiemy, że ktoś o nas myśli, pamięta i chce tym gestem sprawić nam radość. Trafiony prezent potrafi poprawić nam nastrój na dłuższy czas, dzięki czemu wzmacniają się relacje między ludźmi i poczucie więzi. Sprzedawcy i marketingowcy ze sklepów stacjonarnych oraz branży e-commerce doskonale wiedzą, jak na prezenty reaguje ludzka psychika, dlaczego tak lubimy coś dostawać, zwłaszcza w tym jednym, wyjątkowym dla nas dniu w roku. I bardzo często, (oby) z korzyścią dla nas, to wykorzystują. Jednak chcąc sprawić innym radość, nie możemy zapomnieć o obowiązkach prawnych. Zasadne będzie postawienie pytania: czy pozyskanie od klienta daty urodzenia, żeby później tego dnia wysłać kupon rabatowy, będzie zgodne z RODO?
Prawa i obowiązki wynikające z RODO
Przejdę od razu do konkretów: tak, sklep może nam wysłać rabat na urodziny. Oczywiście pod warunkiem odpowiedniego zaplanowania procesu, uwzględniając konieczność ochrony danych już w fazie projektowania. Chcąc spełnić wymogi RODO, zwłaszcza w zakresie skutecznej realizacji zasad przetwarzania danych, którą jest choćby minimalizacja danych (art. 5 ust. 1 lit. c), ilość i kategorie pozyskiwanych danych powinny być ściśle ograniczone, niezbędne do celów przetwarzania. Zatem planując wysłanie klientom kodu rabatowego wraz z życzeniami urodzinowymi, możemy przy rejestracji konta poprosić o podanie daty urodzenia. Natomiast dla kontrastu: prośba o podanie numeru PESEL (który przecież zawiera w sobie datę urodzenia), jeżeli celem jest jedynie wysłanie kuponu rabatowego na urodziny, będzie zdecydowanie nadmiarowa i naruszy przepisy RODO. Podobnie w przypadku roku urodzenia – jeżeli do skutecznej realizacji naszych planów marketingowych wystarczy znajomość dnia i miesiąca, najbezpieczniej będzie nie pozyskiwać pełnej daty urodzenia wraz z rokiem.
Kolejnymi niezwykle istotnymi zasadami przetwarzania, o których należy pamiętać, są: przejrzystość i ograniczenie celu. Klient powinien być poinformowany w zrozumiały sposób, dlaczego w formularzu rejestracyjnym znajduje się miejsce na wpisanie daty urodzenia, czyli jaki jest konkretny cel przetwarzania tej kategorii danych. Następnie my, jako administrator danych osobowych, jesteśmy ograniczeni wskazanym celem. Z pewnymi wyjątkami wynikającymi z RODO, dane nie mogą być przetwarzane w sposób niezgodny z pierwotnym celem. Klient powinien mieć również świadomość, iż podanie daty urodzenia jest dobrowolne. Mowa oczywiście o przetwarzaniu tych danych w celu marketingowym, a nie np. w celu weryfikacji wieku osoby kupującej alkohol.
Czy klient „musi” wyrazić zgodę?
Kontynuując opis zasad dotyczących przetwarzania danych, pamiętajmy, iż dane muszą być przetwarzane zgodnie z prawem. Art. 6 ust. 1 RODO, mówi o konieczności spełnienia przynajmniej jednego z warunków, by zagwarantować zgodność przetwarzania. Czy klient powinien wyrazić zgodę na przetwarzanie jego daty urodzenia? I tak, i nie.
W oparciu o przepisy RODO, jak wskazuje nam motyw 47, za działanie wykonywane w prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f) może być uznane przetwarzanie danych osobowych do celów marketingu bezpośredniego. Co za tym idzie, zgoda osoby nie jest właściwą podstawą prawną (pod warunkiem przeprowadzenia testu równowagi, czyli wykazania, iż nadrzędne nie są interesy lub podstawowe prawa i wolności osób).
Konieczność uzyskania uprzedniej zgody nie wynika zatem z RODO, a z innych przepisów. Obecnie z art. 10 Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, natomiast 10.11.2024 r. wejdzie w życie art. 398 Ustawy z dnia 12 lipca 2024 r. – Przepisy wprowadzające ustawę – Prawo komunikacji elektronicznej. Oba przepisy zgodnie stanowią, iż zakazane jest przesyłanie informacji handlowej bez uprzedniej zgody. Do uzyskania zgody stosuje się odpowiednio przepisy o ochronie danych osobowych. Zgoda powinna być dobrowolna, konkretna, świadoma i jednoznaczna.
Pamiętajmy o prawach osoby
Każdej z osób w opisywanej sytuacji, przysługuje prawo wniesienia w dowolnym momencie sprzeciwu wobec przetwarzania jej danych osobowych lub żądanie usunięcia danych. Jeśli nie istnieje inny cel przetwarzania daty urodzenia klienta (jak choćby wspomniana konieczność weryfikacji wieku w związku ze sprzedażą produktów, które objęte są zakazem sprzedaży wobec osób poniżej 18 roku życia), po wpłynięciu wniosku o realizację praw, nie wolno dalej przetwarzać tych danych osobowych (art. 17 oraz 21 RODO).
Podobnie w przypadku wycofania zgody na otrzymywanie informacji handlowej. Cofnięcie zgody powinno być równie łatwe, jak jej udzielenie. Następnie administrator danych powinien usunąć datę urodzenia ze swoich zasobów, by nie narazić się na zarzut przetwarzania danych, gdy dane nie są już niezbędne do celów, w których zostały zebrane lub są przetwarzane bez właściwej podstawy prawnej. Jeśli te same dane były przetwarzane w wielu celach, administrator danych nie może wykorzystywać danych w tej części przetwarzania, wobec której cofnięto zgodę.
Podsumowanie
Każdy sposób na zwiększenie zadowolenia klientów, a co za tym idzie podwyższenie poziomu ich lojalności, jest dobry. Zwłaszcza jeśli korzystają na tym obie strony. Win-win. Jeszcze lepiej, jeżeli zaplanowane działania marketingowe są zgodne nie tylko z oczekiwaniami biznesowymi, ale również przepisami prawa. Co prawda kuszące może być wysłanie kodu rabatowego wraz z życzeniami urodzinowymi nawet, gdy nie posiadamy zgód marketingowych – przecież nikt się nie obrazi jak dostanie prezent (czy aby na pewno?). Kalkulację ewentualnego ryzyka pozostawiam sumieniu osób odpowiedzialnych. Istnieją natomiast bezpieczne sposoby na realizację pomysłów marketingowych. RODO nie jest przeszkodą, tylko (i aż) jak sama nazwa wskazuje, dba o ochronę osób fizycznych w związku z przetwarzaniem ich danych osobowych.
