iSecure logo
  • pl
  • en
    • Blog

    Czy zgodnie z RODO można wysyłać kartki świąteczne do klientów lub potencjalnych klientów?

    Agnieszka Rapcewicz
    Kategorie

    Zbliżają się Święta Bożego Narodzenia, a firmy rozpoczynają wysyłkę kartek świątecznych do aktualnych, byłych lub potencjalnych klientów. Niekiedy do kartek dołączają oferty dotyczące świadczonych usług lub sprzedawanych produktów (zwłaszcza teraz, w czasie pandemii, chcąc pozyskać nowych klientów). Otrzymujemy w związku z tym pytania, czy takie działania są zgodne z RODO. W niniejszym wpisie wyjaśniamy, co można, a czego nie można i jak zapewnić zgodność z przepisami o ochronie danych osobowych.

     

    1.  Cel wysyłania kartek świątecznych

    Zacznijmy od podstaw. Po co firma wysyła kartki świąteczne do swoich klientów? Zazwyczaj po to, aby podtrzymywać dobre relacje z aktualnym klientem lub z byłym klientem, dążąc do tego, aby powrócił i ponownie skorzystał z usług lub zakupił jakiś towar. Są to w mojej ocenie cele marketingowe, gdyż docelowo zmierzają do utrzymania klienta (doprowadzenia do tego, aby nadal korzystał z usług lub dokonywał zakupów u danego przedsiębiorcy), albo do powrotu klienta.

    Zdarza się również, że firmy planują wysyłkę kartek świątecznych do osób/podmiotów, z którymi do tej pory nie łączyły ich żadne relacje. Celem jest wówczas pozyskanie nowych klientów, czyli tu również wchodzimy w obszar działań marketingowych. Do rozważenia przez każdą firmę pozostaje kwestia, czy faktycznie takie działania mają sens biznesowy. Z uwagi jednak na to, że dostajemy pytania co do takich działań, odnosimy się w niniejszym wpisie także do nich. 

     

    2. Forma papierowa czy mailowa?

    W zależności od formy wysyłki kartek świątecznych (plus ewentualnie ofert), należy spełnić nieco odmienne wymagania prawne.

    Jeśli przedsiębiorca chce wysyłać tego typu korespondencję mailowo, musi pamiętać, że takie kartki świąteczne, niezależnie czy z połączone z konkretną ofertą, czy nie, będą uznawane za wysyłkę informacji handlowych drogą elektroniczną. Potrzebna jest na to zgoda. Jeśli nie ma uprzedniej zgody danej osoby na przesyłanie jej takiego rodzaju informacji, nie należy wysyłać kartek. Dotyczy to zarówno naszych aktualnych lub byłych klientów, jak i – co oczywiste – osób, z którymi do tej pory nie mieliśmy żadnych relacji.

    W przypadku wysyłki kartek świątecznych i ofert tradycyjną drogą pocztową, jest nieco łatwiej. Marketing bezpośredni prowadzony tym kanałem komunikacji może być oparty na prawnie uzasadnionym interesie administratora, czyli art. 6 ust. 1 lit. f RODO. Przedsiębiorcy muszą jednak pamiętać o dokonaniu analizy, czy biorąc pod uwagę rozsądne oczekiwania odbiorcy korespondencji, oparte na jego powiązaniach z administratorem, jego prawa i wolności nie stoją wyżej niż interesy przedsiębiorcy. Jeśli przedsiębiorca dojdzie do wniosku, że osoba fizyczna może realnie spodziewać się otrzymania kartki świątecznej, nawet połączonej z konkretną ofertą i nie ingeruje to nadmiernie w jej prawa i wolności, można wysłać kartkę z powołaniem się na prawnie uzasadniony interes administratora.

     

    3. Obowiązek informacyjny

    Jeżeli przedsiębiorca przetwarza dane osobowe konkretnej osoby fizycznej (nieważne, czy konsumenta, czy osoby fizycznej prowadzącej działalność gospodarczą lub pracownika jakiejś firmy), np. w celu marketingu bezpośredniego i wysyłki kartek świątecznych, musi spełnić wobec takich osób obowiązek informacyjny.

     

    Czy to oznacza, że do każdej kartki świątecznej trzeba dołączyć taką informację? To zależy:

    1. Jeśli wysyłasz kartkę do swojego aktualnego lub byłego klienta bądź pracownika takiego klienta (zarówno mailowo – jeśli masz zgodę na przesyłanie informacji handlowych drogą elektroniczną, jak i pocztą tradycyjną), któremu przy nawiązywaniu współpracy przekazywałeś obowiązek informacyjny, wskazując, że będziesz przetwarzać dane osobowe m.in. na podstawie prawnie uzasadnionego interesu w celu marketingu bezpośredniego, nie musisz dołączać klauzuli informacyjnej przy wysyłce kartki. Taka osoba może realnie spodziewać się, że otrzyma korespondencję w związku ze współpracą między stronami, a ponadto otrzymała już wcześniej wszelkie informacje od administratora.
    2. Jeśli nie spełniłeś wcześniej obowiązku informacyjnego wobec swojego klienta, sprawa jest bardziej skomplikowana. Informacja o celach przetwarzania danych powinna zostać przekazana podczas pozyskiwania danych. Dodatkowo, jeśli nie informowałeś o konkretnym celu przetwarzania w postaci marketingu bezpośredniego na podstawie prawnie uzasadnionego interesu, to przed wysyłką kartek czy samych ofert powinieneś dopełnić tego obowiązku (pamiętaj też, że dana osoba może się sprzeciwić takiemu przetwarzaniu i wówczas musisz bezwzględnie uwzględnić taki sprzeciw).
    3. Jeśli chcesz wysyłać kartki świąteczne do osób, z którymi nie miałeś dotąd w ogóle kontaktu i chcesz, aby stali się Twoimi klientami, musisz również spełnić obowiązek informacyjny. Przedsiębiorcy zazwyczaj pozyskują dane potencjalnych klientów ze źródeł trzecich, w tym publicznie dostępnych – różnego rodzaju komercyjnych baz danych czy CEIDG. Należy pamiętać, że w takim przypadku obowiązek informacyjny powinien zawierać wskazanie źródła pozyskania danych i kategorie przetwarzanych danych (oraz oczywiście pozostałe informacje wskazane w art. 14 RODO). Obowiązek należy wówczas spełnić maksymalnie w ciągu miesiąca od pozyskania danych, a w razie kontaktu z daną osobą – przy tym pierwszym kontakcie. Oznacza to, że w praktyce do kartki świątecznej przedsiębiorca powinien dołączyć obowiązek informacyjny. W tym przypadku jednak szczególnie ważne jest dokonanie oceny, czy faktycznie przedsiębiorca ma prawnie uzasadniony interes, a odbiorca może spodziewać się takiego przetwarzania danych osobowych. Może to być dyskusyjne. Inną kwestią jest sens biznesowy takich działań – to przedsiębiorca musi ocenić samodzielnie.

     

    4. Wysyłanie kartek świątecznych do spółek

    Wymogów, o których mowa powyżej nie musisz spełniać, jeśli wysyłasz kartkę świąteczną nie do konkretnej osoby, lecz na adres spółki. Nie mamy wówczas do czynienia z przetwarzaniem danych osobowych, RODO nie ma więc zastosowania

     

    5. Podsumowanie

    • Wysyłasz kartkę do spółki (na ogólny adres firmowy), nie do konkretnej osoby fizycznej – RODO nie ma zastosowania.
    • Wysyłasz kartkę mailowo do osoby fizycznej – aktualnego lub byłego klienta, konkretnego pracownika klienta, potencjalnego klienta – możesz dokonywać wysyłki, jeśli masz uprzednią zgodę na przesyłanie informacji handlowych drogą elektroniczną oraz podczas pozyskiwania danych bezpośrednio od danej osoby/przy pierwszym kontakcie, maksymalnie w ciągu miesiąca od pozyskania danych z innego źródła, spełniłeś obowiązek informacyjny wobec tej osoby.
    • Wysyłasz kartkę pocztą tradycyjną do aktualnego lub byłego klienta – jest to dozwolone jeśli przy nawiązywaniu relacji spełniłeś obowiązek informacyjny i wskazałeś w nim, że będziesz przetwarzać dane osobowe w celu marketingu bezpośredniego na podstawie prawnie uzasadnionego interesu, polegającego m. In. na podtrzymywaniu relacji biznesowych – w tym przypadku do kartki świątecznej nie musisz dołączać klauzuli informacyjnej.
    • Wysyłasz kartkę pocztą tradycyjną do aktualnego lub byłego klienta, wobec którego nie spełniłeś wcześniej obowiązku informacyjnego albo do osoby, z którą wcześniej nie miałeś relacji – musisz dokładnie przeanalizować, czy faktycznie zachodzi prawnie uzasadniony interes; przed rozpoczęciem wysyłki do aktualnych byłych klientów powinni oni dostać informację, że będziesz przetwarzać ich dane w taki sposób; w przypadku potencjalnych klientów, obowiązek informacyjny powinien być spełniony maksymalnie w ciągu miesiąca od pozyskania danych, a w przypadku kontaktu – przy pierwszym kontakcie – w tym ostatnim przypadku jednak prawnie uzasadniony interes może zostać zakwestionowany.
    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Agnieszka Rapcewicz

    Franczyza i RODO

    Umowa franczyzy zdecydowanie nie kojarzy się w pierwszej kolejności z tematem ochrony danych osobowych. Franczyza jest rozumiana jako system sprzedaży towarów lub technologii czy świadczenia usług, wiążący się z bliską współpracą niezależnych prawnie podmiotów (franczyzodawcy i franczyzobiorcy). Jest to jeden ze sposobów na rozpoczęcie własnego biznesu, gdy nie za bardzo mamy na niego pomysł. Możemy […]

    Czytaj więcej
    Profilowanie klientów – nowe plany zarobkowe Alior Banku
    Damian Bielecki

    Powierzenie po duńsku, czyli jak przy pomocy klocków w art. 28 ust. 3 stworzyć umowę powierzenia?

    Od czasu wejścia w życie RODO minęło już ponad dwa lata. 25 maja 2018 roku umowa powierzenia była niemalże całkowicie nieznana biznesowi, a idea zawierania umowy w przypadkach przetwarzania danych osobowych w imieniu zlecającego dopiero nabierała na znaczeniu – mimo, że samo umowne powierzanie danych osobowych było obowiązkiem jeszcze przed obowiązywaniem stosowania RODO (na podstawie ustawy […]

    Czytaj więcej
    Karolina Żebrowska

    Ustawa o kasach zapomogowo pożyczkowych – czy zgoda jest właściwą podstawą prawną przetwarzania danych osobowych?

    W październiku 2021 roku w życie weszła ustawa o kasach zapomogowo pożyczkowych, zastępując tym samym wcześniejsze regulacje odnoszące się do tego zagadnienia, wskazane w ustawie o związkach zawodowych. Z pozoru wydawać by się mogło, iż nowy tekst ustawy okaże się pomocny z perspektywy zagadnień ochrony danych osobowych, gdyż jasno wskazuje podstawy prawne przetwarzania danych osobowych […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki