W obecnych czasach, zwłaszcza po-pandemicznych, coraz więcej przedsiębiorców działa aktywnie online bądź dopiero zastanawia się nad przeniesieniem lub zwiększeniem swojej aktywności w sieci. Niewątpliwie Internet daje nieograniczone możliwości dotarcia do potencjalnego klienta i sprzedaży swoich towarów czy usług 24 godziny na dobę. Jednak, aby być zauważonym online i przebić się przez gąszcz konkurencji warto zainwestować czas i środki na działania marketingowe online. Przedsiębiorcy głównie wybierają takie kanały jak: Google bądź media społecznościowe jak Facebook, Instagram czy YouTube, które dają możliwość skutecznego dotarcia do potencjalnych klientów ze swojego targetu.
I tutaj pojawia się pytanie czy istnieją jakieś obowiązki prawne, które przedsiębiorca chcący prowadzić działalność online, szczególnie tą marketingową musi wypełnić. Odpowiedź pewnie nie będzie zaskoczeniem otóż tak są, a ich niedopełnienie może być dotkliwe w skutkach, zwłaszcza w postaci pieniężnej kary administracyjnej mogącej sięgać nawet do 10 lub 20 mln euro bądź do 2 lub 4% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego.
Na pierwszy plan wysuwają się obowiązki wynikające z ogólnego rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”), o których za pewne każdy już słyszał mniej lub bardziej szczegółowo, gdyż weszło w życie 25 maja 2018 roku.
W tym artykule przybliżę temat aktywności marketingowej online i wynikających z tego obowiązków RODO. Z innymi obowiązkami przedsiębiorców wynikającymi z ich działalności online można zapoznać się w artykule TUTAJ.
Przedsiębiorca prowadzący kampanie marketingowe swoich produktów czy usług w sieci powinien po pierwsze pamiętać o tym, że:
- staje się administratorem danych osobowych potencjalnych klientów zbieranych podczas kampanii marketingowej, gdyż jest podmiotem przetwarzającym dane osobowe na poczet własnego celu.
Szczególnie natomiast powinien pamiętać o związanych z tym obowiązkach dotyczących danych osobowych i wynikających z RODO takich jak:
- zagwarantowanie praw osobom, których dane dotyczą czy
- obowiązek informacyjny.
W tym miejscu warto zatrzymać się na obowiązku informacyjnym, który według RODO jest obowiązkiem bezwzględnym. RODO wymaga zawarcia szeregu informacji w prawidłowo skonstruowanej klauzuli informacyjnej, jest to m.in. wskazanie:
- kto jest administratorem danych osobowych;
- celu przetwarzania danych osobowych,
- czy podane dane osobowe nie będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania;
- podstawy prawnej przetwarzania danych osobowych.
Co do wskazania podstawy prawnej przetwarzania danych osobowych to przepisy RODO wskazują szereg podstaw, które mogą mieć zastosowanie w różnych przypadkach przetwarzania danych osobowych. Podstawę przetwarzania może stanowić m.in.
- udzielona przez podmiot danych osobowych, czyli potencjalnego klienta, dobrowolna i świadoma zgoda na przetwarzanie danych osobowych w celach marketingowych, czy
- uzasadniony interes administratora danych, stanowiący podstawę przetwarzania danych osobowych w celach marketingowych, do którego realizacji niezbędne jest przetwarzanie danych osobowych; jednakże w tym przypadku należy dokonać oceny czy nadrzędny charakter mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą i które wymagają ochrony danych osobowych względem interesów administratora danych osobowych. Jeżeli w wyniku analizy konkretnego przypadku zachodzi uzasadniony interes administratora, to pobieranie zgody już nie jest konieczne.
Z uwagi na obowiązek ciążący na administratorze wykazania w razie kontroli podstaw przetwarzania zalecane jest, aby wyrażenie zgody na przetwarzanie danych w celach marketingowych zostało dokonane poprzez zaznaczenie tzw. check box’ów z prawidłowo zredagowaną klauzulą zgody. Nie należy stosować automatycznych zaznaczeń przy udzielaniu zgody.
Ponadto, należy przekazać podmiotowi danych osobowych informacje o jego uprawnieniach, są to m.in. prawo do:
- do żądania od administratora dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- wniesienia skargi do organu nadzorczego.
Pamiętać trzeba też, że aby prawidłowo zrealizować obowiązki wynikające z RODO każdy przypadek powinien zostać indywidualnie przeanalizowany, gdyż może się okazać, że w przypadku konkretnego przedsiębiorcy istnieje obowiązek wskazania, w szczególności:
- danych kontaktowych inspektora ochrony danych;
- danych kontaktowych przedstawiciela w UE albo
- informacji o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
Może również okazać się, że powinna zostać zawarta umowa powierzenia przetwarzania danych osobowych, jeżeli przedsiębiorca korzysta z usług podmiotu trzeciego na przykład przy prowadzeniu kampanii marketingowej online albo konta w mediach społecznościowych.
W przypadku wątpliwości czy spełniasz w swojej działalności wymogi RODO, potrzebujesz audytu strony internetowej lub dopiero zastanawiasz się nad rozpoczęciem działalności w sieci zapraszam do kontaktu. W zakładce Usługi – RODO znajdziesz więcej informacji na temat zakresu usług Kancelarii w ramach ochrony danych osobowych.
