iSecure logo
Blog

Czy zgodnie z RODO można wysyłać kartki świąteczne do klientów lub potencjalnych klientów?

Zbliżają się Święta Bożego Narodzenia, a firmy rozpoczynają wysyłkę kartek świątecznych do aktualnych, byłych lub potencjalnych klientów. Niekiedy do kartek dołączają oferty dotyczące świadczonych usług lub sprzedawanych produktów (zwłaszcza teraz, w czasie pandemii, chcąc pozyskać nowych klientów). Otrzymujemy w związku z tym pytania, czy takie działania są zgodne z RODO. W niniejszym wpisie wyjaśniamy, co można, a czego nie można i jak zapewnić zgodność z przepisami o ochronie danych osobowych.

 

1.  Cel wysyłania kartek świątecznych

Zacznijmy od podstaw. Po co firma wysyła kartki świąteczne do swoich klientów? Zazwyczaj po to, aby podtrzymywać dobre relacje z aktualnym klientem lub z byłym klientem, dążąc do tego, aby powrócił i ponownie skorzystał z usług lub zakupił jakiś towar. Są to w mojej ocenie cele marketingowe, gdyż docelowo zmierzają do utrzymania klienta (doprowadzenia do tego, aby nadal korzystał z usług lub dokonywał zakupów u danego przedsiębiorcy), albo do powrotu klienta.

Zdarza się również, że firmy planują wysyłkę kartek świątecznych do osób/podmiotów, z którymi do tej pory nie łączyły ich żadne relacje. Celem jest wówczas pozyskanie nowych klientów, czyli tu również wchodzimy w obszar działań marketingowych. Do rozważenia przez każdą firmę pozostaje kwestia, czy faktycznie takie działania mają sens biznesowy. Z uwagi jednak na to, że dostajemy pytania co do takich działań, odnosimy się w niniejszym wpisie także do nich. 

 

2. Forma papierowa czy mailowa?

W zależności od formy wysyłki kartek świątecznych (plus ewentualnie ofert), należy spełnić nieco odmienne wymagania prawne.

Jeśli przedsiębiorca chce wysyłać tego typu korespondencję mailowo, musi pamiętać, że takie kartki świąteczne, niezależnie czy z połączone z konkretną ofertą, czy nie, będą uznawane za wysyłkę informacji handlowych drogą elektroniczną. Potrzebna jest na to zgoda. Jeśli nie ma uprzedniej zgody danej osoby na przesyłanie jej takiego rodzaju informacji, nie należy wysyłać kartek. Dotyczy to zarówno naszych aktualnych lub byłych klientów, jak i – co oczywiste – osób, z którymi do tej pory nie mieliśmy żadnych relacji.

W przypadku wysyłki kartek świątecznych i ofert tradycyjną drogą pocztową, jest nieco łatwiej. Marketing bezpośredni prowadzony tym kanałem komunikacji może być oparty na prawnie uzasadnionym interesie administratora, czyli art. 6 ust. 1 lit. f RODO. Przedsiębiorcy muszą jednak pamiętać o dokonaniu analizy, czy biorąc pod uwagę rozsądne oczekiwania odbiorcy korespondencji, oparte na jego powiązaniach z administratorem, jego prawa i wolności nie stoją wyżej niż interesy przedsiębiorcy. Jeśli przedsiębiorca dojdzie do wniosku, że osoba fizyczna może realnie spodziewać się otrzymania kartki świątecznej, nawet połączonej z konkretną ofertą i nie ingeruje to nadmiernie w jej prawa i wolności, można wysłać kartkę z powołaniem się na prawnie uzasadniony interes administratora.

 

3. Obowiązek informacyjny

Jeżeli przedsiębiorca przetwarza dane osobowe konkretnej osoby fizycznej (nieważne, czy konsumenta, czy osoby fizycznej prowadzącej działalność gospodarczą lub pracownika jakiejś firmy), np. w celu marketingu bezpośredniego i wysyłki kartek świątecznych, musi spełnić wobec takich osób obowiązek informacyjny.

 

Czy to oznacza, że do każdej kartki świątecznej trzeba dołączyć taką informację? To zależy:

  1. Jeśli wysyłasz kartkę do swojego aktualnego lub byłego klienta bądź pracownika takiego klienta (zarówno mailowo – jeśli masz zgodę na przesyłanie informacji handlowych drogą elektroniczną, jak i pocztą tradycyjną), któremu przy nawiązywaniu współpracy przekazywałeś obowiązek informacyjny, wskazując, że będziesz przetwarzać dane osobowe m.in. na podstawie prawnie uzasadnionego interesu w celu marketingu bezpośredniego, nie musisz dołączać klauzuli informacyjnej przy wysyłce kartki. Taka osoba może realnie spodziewać się, że otrzyma korespondencję w związku ze współpracą między stronami, a ponadto otrzymała już wcześniej wszelkie informacje od administratora.
  2. Jeśli nie spełniłeś wcześniej obowiązku informacyjnego wobec swojego klienta, sprawa jest bardziej skomplikowana. Informacja o celach przetwarzania danych powinna zostać przekazana podczas pozyskiwania danych. Dodatkowo, jeśli nie informowałeś o konkretnym celu przetwarzania w postaci marketingu bezpośredniego na podstawie prawnie uzasadnionego interesu, to przed wysyłką kartek czy samych ofert powinieneś dopełnić tego obowiązku (pamiętaj też, że dana osoba może się sprzeciwić takiemu przetwarzaniu i wówczas musisz bezwzględnie uwzględnić taki sprzeciw).
  3. Jeśli chcesz wysyłać kartki świąteczne do osób, z którymi nie miałeś dotąd w ogóle kontaktu i chcesz, aby stali się Twoimi klientami, musisz również spełnić obowiązek informacyjny. Przedsiębiorcy zazwyczaj pozyskują dane potencjalnych klientów ze źródeł trzecich, w tym publicznie dostępnych – różnego rodzaju komercyjnych baz danych czy CEIDG. Należy pamiętać, że w takim przypadku obowiązek informacyjny powinien zawierać wskazanie źródła pozyskania danych i kategorie przetwarzanych danych (oraz oczywiście pozostałe informacje wskazane w art. 14 RODO). Obowiązek należy wówczas spełnić maksymalnie w ciągu miesiąca od pozyskania danych, a w razie kontaktu z daną osobą – przy tym pierwszym kontakcie. Oznacza to, że w praktyce do kartki świątecznej przedsiębiorca powinien dołączyć obowiązek informacyjny. W tym przypadku jednak szczególnie ważne jest dokonanie oceny, czy faktycznie przedsiębiorca ma prawnie uzasadniony interes, a odbiorca może spodziewać się takiego przetwarzania danych osobowych. Może to być dyskusyjne. Inną kwestią jest sens biznesowy takich działań – to przedsiębiorca musi ocenić samodzielnie.

 

4. Wysyłanie kartek świątecznych do spółek

Wymogów, o których mowa powyżej nie musisz spełniać, jeśli wysyłasz kartkę świąteczną nie do konkretnej osoby, lecz na adres spółki. Nie mamy wówczas do czynienia z przetwarzaniem danych osobowych, RODO nie ma więc zastosowania

 

5. Podsumowanie

  • Wysyłasz kartkę do spółki (na ogólny adres firmowy), nie do konkretnej osoby fizycznej – RODO nie ma zastosowania.
  • Wysyłasz kartkę mailowo do osoby fizycznej – aktualnego lub byłego klienta, konkretnego pracownika klienta, potencjalnego klienta – możesz dokonywać wysyłki, jeśli masz uprzednią zgodę na przesyłanie informacji handlowych drogą elektroniczną oraz podczas pozyskiwania danych bezpośrednio od danej osoby/przy pierwszym kontakcie, maksymalnie w ciągu miesiąca od pozyskania danych z innego źródła, spełniłeś obowiązek informacyjny wobec tej osoby.
  • Wysyłasz kartkę pocztą tradycyjną do aktualnego lub byłego klienta – jest to dozwolone jeśli przy nawiązywaniu relacji spełniłeś obowiązek informacyjny i wskazałeś w nim, że będziesz przetwarzać dane osobowe w celu marketingu bezpośredniego na podstawie prawnie uzasadnionego interesu, polegającego m. In. na podtrzymywaniu relacji biznesowych – w tym przypadku do kartki świątecznej nie musisz dołączać klauzuli informacyjnej.
  • Wysyłasz kartkę pocztą tradycyjną do aktualnego lub byłego klienta, wobec którego nie spełniłeś wcześniej obowiązku informacyjnego albo do osoby, z którą wcześniej nie miałeś relacji – musisz dokładnie przeanalizować, czy faktycznie zachodzi prawnie uzasadniony interes; przed rozpoczęciem wysyłki do aktualnych byłych klientów powinni oni dostać informację, że będziesz przetwarzać ich dane w taki sposób; w przypadku potencjalnych klientów, obowiązek informacyjny powinien być spełniony maksymalnie w ciągu miesiąca od pozyskania danych, a w przypadku kontaktu – przy pierwszym kontakcie – w tym ostatnim przypadku jednak prawnie uzasadniony interes może zostać zakwestionowany.
Pobierz wpis w wersji pdf

Podobne wpisy:

Lex Kamilek a nowe obowiązki z zakresu ochrony danych osobowych w hotelach

Za dwa tygodnie (15 sierpnia) minie termin dostosowania się do wymogów tzw. ustawy Kamilka. Tymczasem wielu właścicieli obiektów noclegowych nie wie, jak ma wdrożyć nowe przepisy, co będzie podlegać kontroli i jak sprawdzać pokrewieństwo gości z małoletnimi. Gospodarze nie wiedzą, jak pytać, a rodzice nie chcą odpowiadać.

Jak zabezpieczyć dane osobowe graczy na forum internetowym?

Wiele firm z branży gamedev jest w stałym kontakcie ze społecznością graczy. Często taka relacja zaczyna się na długo przed wydaniem gry, czasami może to być etap beta – testów albo tzw. early access (tu świetnym przykładem może być chyba największy hit 2023 r. czyli Baldur’s Gate 3) podczas którego gracze mają możliwość przetestować dany […]

Ważny wyrok TSUE – Naruszenie RODO nie daje automatycznie prawa do odszkodowania

Prawo do odszkodowania w wyniku naruszenia przepisów Rozporządzenia zostało sformułowane w art. 82 RODO. Artykuł składa się z sześciu ustępów, które wskazują na generalne zasady dochodzenia odszkodowania i odpowiedzialności pomiędzy administratorem a podmiotem przetwarzającym. Kluczowe przy dzisiejszym wpisie będzie art. 82 ust. 1 RODO, który stanowi: „Każda osoba, która poniosła szkodę majątkową lub niemajątkową w […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki