Marketing bezpośredni to zbiorowe określenie działań skierowanych bezpośrednio do odbiorcy, mających na celu nakłonienie go do nabycia towarów lub usług oferowanych przez reklamodawcę. Przykładem takich działań może być wysyłanie drogą elektroniczną lub tradycyjną pocztą komunikatów o promocjach, wyświetlanie reklam behawioralnych konkretnej osobie na podstawie jej profilu. Marketing bezpośredni związany jest z przetwarzaniem danych osobowych, a w szczególności danych kontaktowych osób fizycznych.

Znaczna część administratorów ma problemy z prawidłowym spełnieniem wymogów wynikających z RODO[1] w związku z prowadzeniem działań marketingowych wobec podmiotów danych. Świadczą o tym wysokie kary nakładane przez organy krajowe w poszczególnych państwach członkowskich UE za naruszenia przepisów rozporządzenia przez administratorów w trakcie prowadzonych przez nich kampanii marketingowych[2].

Wytyczne Datenschutzkonferenz

18 lutego 2022 r. Konferencja Niezależnych Organów Ochrony Danych Federacji i Krajów Związkowych (zgromadzenie wszystkich organów nadzorczych z zakresu ochrony danych osobowych w Niemczech, dalej: „Datenschutzkonferenz” lub „DSK”) opublikowała aktualizację swoich wytycznych z 2018 r. ws. marketingu bezpośredniego i przepisów o ochronie danych osobowych. Dokument ten zawiera wiele istotnych wskazówek dla administratorów danych, którzy prowadzą działania marketingowe na podstawie przetwarzania danych osobowych:

  • Reklamodawcy muszą być w stanie udowodnić, że adres e-mail wykorzystywany do celów reklamowych jest aktualnym adresem istniejącego klienta.
  • Ustalając okres przechowywania danych po ustaniu relacji biznesowej z podmiotem danych, należy wziąć pod uwagę upływ czasu od ostatniego aktywnego kontaktu i charakter relacji biznesowej. Ponowne wykorzystywanie danych osobowych w celu wysyłania osobie fizycznej treści marketingowych po długiej przerwie reklamowej może być uzasadnione m.in. w przypadku długoletniej bazy klientów.
  • W przypadku gdy to podmiot danych wysyła pierwszą wiadomość elektroniczną, przeznaczona dla niego klauzula informacyjna powinna być umieszczona pod linkiem przesłanym w automatycznym potwierdzeniu otrzymania wiadomości. Taki link ma pozwolić podmiotowi danych na łatwe uzyskanie dostępu do informacji z art. 13 RODO.
  • W sytuacji tworzenia profilu osoby fizycznej w celach marketingowych co do zasady nadrzędne będą prawa i wolności podmiotu danych w stosunku do prawnie uzasadnionego interesu administratora, co wyklucza przesłankę prawnie uzasadnionego interesu jako podstawy prawnej takiego przetwarzania danych.
  • Gdy rozpoczęto już konkretne działania marketingowe w postaci analogowej (np. wysyłka newslettera pocztą tradycyjną), a dane kontaktowe podmiotu danych są już przetwarzane technicznie, realizacja przez administratora otrzymanego w międzyczasie sprzeciwu z art. 21 może okazać się właściwie niemożliwa. W takich przypadkach reklamodawcy powinni w indywidualnej odpowiedzi na zgłoszony sprzeciw poinformować podmiot danych, że jego wniosek został uwzględniony, ale przez krótki, dokładnie wskazany okres może otrzymywać on jeszcze wiadomości reklamowe.
  • Podmiot danych może odwołać udzieloną zgodę w dowolnej formie. Administrator danych musi jednak być w stanie określić, czy osoba wycofująca zgodę jest tą samą osobą, która w pierwszej kolejności zgodziła się na przetwarzanie danych. Przykładowo w przypadku oświadczenia o odwołaniu zgody złożonego za pośrednictwem internetowego formularza kontaktowego może być wymagane potwierdzenie „wycofania zgody” przez osobę fizyczną, np. poprzez kliknięcie linku otrzymanego na adres e-mail znajdujący się w bazie administratora. W przypadku oświadczenia złożonego za pomocą wiadomości e-mail wysłanej z adresu poczty elektronicznej służącego podmiotowi danych do stałych kontaktów z administratorem taka dodatkowa weryfikacja tożsamości wycofującego zgodę nie jest wymagana.

Z całością wytycznych w języku niemieckim można zapoznać się tutaj.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[2] Na przykład administracyjna kara pieniężna w wysokości 8500 euro nałożona przez fiński organ nadzorczy w lutym 2021 r. na wydawcę magazynu, który kontaktował się za pomocą tzw. robocalss z podmiotami danych bez ich zgody, https://edpb.europa.eu/news/national-news/2021/finnish-sa-fine-company-carrying-out-direct-marketing-robocalls-without_en (dostęp: 8.03.2022). W 2020 r. belgijski organ nadzorczy ukarał administratora danych administracyjną karą pieniężną w wysokości 10 000 euro w związku z wysłaniem wiadomości marketingowej do niezamierzonego adresata, https://edpb.europa.eu/news/national-news/2020/belgian-dpa-fines-controller-sending-direct-marketing-message-wrong-person_sk (dostęp 8.03.2022).