Jedną z popularnych strategii marketingowych jest mejling, czyli wysyłka wiadomości na adresy poczty elektronicznej obecnych lub potencjalnych klientów firmy. Najczęściej z informacją handlową. Żeby móc dotrzeć ta drogą do grupy docelowej, konieczne jest posiadanie bazy adresów mejlowych. Można ją zbudować samodzielnie, uzyskując właściwe informacje bezpośrednio od klientów, np. gdy zostawiają kontakt do siebie, dodając się do listy subskrybentów. Niektóre firmy idą jednak na skróty – kupują gotowe bazy adresów od innych przedsiębiorców. Koncentrując się na cenie i jakości danych, lekceważą spoczywające na nich obowiązki wynikające z RODO (Ogólnego rozporządzenia o ochronie danych). O czym powinni pamiętać?
Poznaj program kongresu "Prawo konkurencji", 27-28 listopada 2024, Warszawa >>
Obowiązki firm
– Przedsiębiorcy w pierwszej kolejności muszą zweryfikować, czy sprzedający ma prawo dysponować taką bazą. Są tworzone na podstawie zgód klientów, których konstrukcja powinna wprost przewidywać możliwość przekazania danych innemu podmiotowi. W praktyce zdarza się to jednak bardzo rzadko. Poza tym, przed podjęciem jakichkolwiek działań względem podmiotów danych, należy też zweryfikować, jakie działania te osoby zaaprobowały. Może się bowiem okazać, że zgody marketingowe dotyczyły konkretnej firmy lub były zbyt ogólne i nie będzie można wykorzystać bazy do celów, jakie przedsiębiorca założył. Niezależnie od samych zgód kupując sprawdzoną już bazę, należy spełnić obowiązek informacyjny względem podmiotów danych – informuje Karol Kozieł, radca prawny z Kancelarii Prawa IP.
Oznacza to, że nabywca musi powiadomić właścicieli danych o tym, że je posiada i będzie przetwarzał w konkretnym celu i na określonej podstawie prawnej. Firma powinna również poinformować ich również o danych kontaktowych do administratora oraz Inspektora Ochrony Danych, jeśli taki został ustanowiony.
Zza biurka do aresztu
Przedsiębiorcy powinni zdawać sobie sprawę, że kupując bazę klientów, którzy nie wyrazili zgody na przetwarzanie ich danych, narażają się na konsekwencje prawne. Co grozi firmie?
– Przedsiębiorca, kupując wadliwą bazę danych klientów i korzystając z niej, naraża się na zarzut naruszenia obowiązków wynikających z RODO, np. przetwarzanie danych osobowych bez podstawy prawnej. W konsekwencji UODO, czyli Urząd Ochrony Danych Osobowych, może na niego nałożyć administracyjną karę pieniężną w wysokości do 20 mln EUR lub 4 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Dodatkowo, zgodnie z art. 101 ust. 1 ustawy o ochronie danych osobowych, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia albo pozbawienia wolności do lat dwóch – podsumowuje Karol Kozieł.
Ponadto wysyłka mejli do potencjalnych klientów może zostać uznana za niezamówioną informację handlową, a co za tym idzie – na firmę może zostać nałożona grzywna na podstawie art. 24 ust. 1 ustawy o świadczeniu usług drogą elektroniczną.