wstępna konsultacja

Oferując produkty lub rozwiązania w sprzedaży b2b lub chcący mieć możliwość podjęcia kooperacji z firmami, z którymi dotychczas nie współpracowaliśmy, możemy spotkać się z sytuacją, iż nasza próba nawiązania kontaktu będzie dotyczyć osób, które nigdy nie wyrażały nam na to zgody, a przynajmniej nie uczyniły tego wprost. Aby zrobić to zgodnie z prawem, będziemy musieli wziąć pod uwagę trzy podstawowe akty prawne:

1

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 dotyczące ochrony danych osobowych.

2

Prawo telekomunikacyjne, a konkretnie art. 172:

  1. Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. 2.
  2. Przepis ust. nie narusza zakazów i ograniczeń dotyczących przesyłania niezamówionej informacji handlowej wynikających z odębnych ustaw.
  3. Używanie środków, o których mowa w ust. 1, dla celów marketingu bezpośredniego nie może odbywać się na koszt konsumenta. 3. Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy, o której mowa w art. 9 ust. 3 pkt 1.

 

3

Ustawę o świadczeniu usług drogą elektorniczną (dalej będzie określena jako UŚDE) - a w zasadzie artykuł 10 tejże:

  1. Zakazane jest przesyłanie niezmówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji.
  2. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
  3. Działanie, o którym mowa w ust. 1, stnowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy, o której mowa w art. 9 ust. 3 pkt 1.

 

Z dotychczasowej praktyki kancelarii, związanej z obsługą firm realizujących aktywne działania marketingowe w modelu marketingu bezpośredniego wynika, że najczęstszym źródłem danych do nawiązywania nowych kontaktów są:

Wizytówki.
Dane kontaktowe pozyskiwane przy okazji spotkań, targów, konferencji i podobnych zdarzeń.
Informacje z ulotek, samochodów służbowych, reklam, bilbordów itp.
Dane umieszczane przez firmy na ich stronach internetowych
Dane zakupione od wyspecjalizowanych firm.
Informacje dostępne w rejestrach - np. CEIDG, KRS - ale też oficjalnych rejestrach branżowych np. spisach radców prawnych, adwokatów, architektów czy inżynierów.
Dane z różnego rodzaju generatorów dodających do danych powszechnie dostępnych dodatkowe informacje, generując w ten sposób prawdopodobny adres kontaktowy.
Dane naszych znajomych lub firm, wskazanych przez znajomych (czyli popularne ,,polecenia"
Informacje pozyskane z różnego rodzaju wyszukiwarek i narzędzi analitycznych dostępnych w sieci.
Dane wyniesione od poprzedniego pracodawcy lub dane przyniesione przez nowego pracownika.

Przyjęta kolejność nie jest przypadkowa. Powyższe źródła danych do kontaktu uszeregowane zostały według bezpieczeństwa prawnego w zakresie ich wykorzystania w celach marketingu bezpośredniego. Zasadniczo za bezpieczne od strony prawnej można uznać napisanie maila czy wykonanie telefonu do osoby, której dane pozyskaliśmy bezpośrednio od niej - czy to otrzymując wizytówkę, czy to podczas innego rodzaju kontaktu o charakterze biznesowym - jak choćby w trakcie konferencji, targów, szkoleń czy innego rodzaju wydarzeń. Dane zostały nam przekazane bowiem dobrowolnie i w związku z prowadzoną aktywnością biznesową - czyli można przyjąć, że mamy zgodę na ich przetwarzanie jak również nie budzi wątpliwości cel, w jakim je otrzymaliśmy, którym była potencjalna możliwość nawiązania kontaktów biznesowych.

Wynika to z definicji zbioru danych zawartej w art. 4 RODO, w której pojawia się określenie „uporządkowany zestaw danych osobowych”. Najczęściej sam zbiór wizytówek czy luźno zanotowanych danych kontaktowych przetwarzanych w postaci papierowej nie ma charakteru „zestawu uporządkowanego”. W tej sytuacji nie będzie również występowała konieczność stosowania „marketingu dwuetapowego”. Ponieważ de facto mamy zgodę na kontakt w celu nawiązania relacji biznesowych można od razu kontaktować się z pełną informacją na temat naszej oferty. Za bezpieczny uważam również kontakt na adresy, METODY POZYSKIWANIA DANYCH DO KAMPANII MARKETINGOWYCH I MOŻLIWOŚCI ICH WYKORZYSTYWANIA Wizytówki.

W przypadku danych ,,wizytówkowych" aspektem prawnym, który warto mieć na uwadze jest konieczność przekazania klazuli informacyjnej wymaganej przez art. 13 RODO, ale tylko w przypadku, gdy tworzymy zbiór danych obejmujący nasze ,,wizytówkowe" kontakty biznesowe, w stosunku do którego będziemy administratorem - np. poprzez przepisanie tych danych do programu CRM czy pliku Excel.

Dane kontaktowe pozyskane przy okazji spotkań, targów, konferencji i podobnych zdarzeń. Informacje z ulotek, samochodów służbowych, reklam, billboardów itp. Dane umieszczane przez firmy na ich stronach internetowych. Dane zakupione od wyspecjalizowanych firm. Informacje dostępne w rejestrach – np. CEIDG, KRS – ale też oficjalnych rejestrach branżowych – np. spisach radców prawnych, adwokatów, architektów czy inżynierów. Dane z różnego rodzaju generatorów dodających do danych powszechnie dostępnych dodatkowe informacje, generując w ten sposób prawdopodobny adres kontaktowy. Dane naszych znajomych lub firm, wskazanych przez znajomych (czyli popularne „polecenia”). Informacje pozyskane z różnego rodzaju wyszukiwarek i narzędzi analitycznych dostępnych w sieci. Dane wyniesione od poprzedniego pracodawcy lub dane przyniesione przez nowego pracownika. W wypadku danych „wizytówkowych” aspektem prawnym, który warto mieć na uwadze jest konieczność przekazania klauzuli informacyjnej wymaganej przez art. 13 RODO, ale tylko w przypadku, gdy tworzymy zbiór danych obejmujący nasze „wizytówkowe” kontakty biznesowe, w stosunku do którego będziemy administratorem - np. poprzez przepisanie tych danych do programu CRM czy pliku Excel. Dane, które firmy same upubliczniają w celach kontaktowych np. poprzez udostępnienie ich na swoich witrynach www, czy w reklamie - na billboardach, ogłoszeniach prasowych czy choćby autach służbowych. Można bezpiecznie przyjąć, iż firma, która podaje publicznie określony mail czy numer telefonu, wyraża jednocześnie zgodę na kontakt z użyciem tego numeru przez każdą zainteresowaną kontaktem osobę.

W tym jednak przypadku pojawia się już pierwsza wątpliwość - czy też ryzyko związane z ustaleniem, czy kontakt z użyciem tego typu danych nie wykroczy poza cel, w jakim zostały udostępnione. Szczególnie należy zwracać uwagę na dane kontaktowe, które zostały udostępnione przy informacji „jeżeli jesteś zainteresowany naszą ofertą…” lub podobnej. Jeżeli chodzi o korzystanie z informacji kupionych od firm trzecich, to kluczowe znaczenie ma to, czy korzystamy z usług zaufanego i renomowanego partnera.

Może to bowiem oznaczać, iż celem udostęp- nienia danych było umożliwienie kontaktu po- tencjalnym klientom, nie zaś dostawcom lub kontrahentom. Ponieważ w dużej części dane udostępnione w sieci lub kampaniach ATL/BTL mają charakter ogólno-firmowy, ustalenie, czy stanowią one ogólne zaproszenie do kontaktu czy kierowane są jedynie do potencjalnych klientów ma znaczenie w odniesieniu do przepisów UŚDE oraz prawa telekomunikacyjnego. Jeżeli sytuacja nie jest jednoznaczna – dla bezpieczeństwa lepiej zastosować „marketing dwuetapowy”.

Zakup danych nie zwalnia z odpowiedzialności związanej z brakiem zgody lub przekroczeniem jej zakresu. W nieco lepszej sytuacji jesteśmy, gdy wykorzystujemy dane, działając jako podmiot przetwarzający niż jako administrator. Niemniej przepisy, szczególnie RODO (art. 82 i 83), dopuszczają możliwość wyciągnięcia konsekwencji za ich naruszenie także względem podmiotu przetwarzającego. Oczywiście zawsze pozostaje możliwość żądania odszkodowania od nierzetelnego dostawcy danych (czyli tzw. regres) ale w przypadku otrzymania wysokiej kary administracyjnej i utraty dobrego imienia firmy może być to niewielkie pocieszenie. Niemniej korzystając z usług pewnego i sprawdzonego dostawcy danych osobowych dywersyfikujemy i minimalizujemy to ryzyko, dostajemy wsparcie jego struktur backupowych oraz otrzymujemy zbiór danych gotowy do wykorzystania w naszych kampaniach.

Zwracam również uwagę na usługę marketingu efektywnościowego, gdzie kampanię cold-mailingową lub cold-callingową prowadzi zewnętrzny podmiot, przekazując zlecającemu gotowe kontakty do klientów, którzy wyrazili zainteresowanie ofertą klienta. W takiej sytuacji zlecający nie ponosi żadnego ryzyka związanego z prowadzoną kampanią, bowiem jest ona w całości realizowana przez firmę zewnętrzną. Są to dane, które zostały tam zamieszczone w związku z realizacją obowiązków prawnych, nie zaś w celach marketingowych. Daną fakultatywną w tego rodzaju rejestrach jest adres e-mail i numer telefonu. Tak więc kontakt (koniecznie „dwuetapowy”) na taki adres można jeszcze uzasadnić tezą, iż zamieszczenie go miało właśnie taki cel zaś przetwarzanie danych uzasadnione jest naszym interesem prawnym, którym jest rozwój firmy i możliwość prowadzenia działalności gospodarczej. Jednak wykorzystanie danych z publicznych rejestrów powiązane z różnymi formami „uzupełniania” tych danych, a w szczególności przy użyciu generatorów adresów, uważam za wysoce ryzykowne. Od strony ograniczeń wynikających z UŚDE i prawa telekomunikacyjnego, minimalizujemy ryzyka, jeżeli zdecydujemy się na kontakt dwuetapowy. Ale może pojawić się pytanie, skąd mamy dane takiej osoby i na jakiej podstawie je przetwarzamy - jeżeli dane kontaktowe będą miały charakter danych osobowych.

Nie ulega bowiem wątpliwości, że w wyniku użycia generatora np. https://dmsales.com/wtyczka-leadin/ tworzy nam zbiór danych osobowych, który przetwarzamy. To, że dane te dostępne są publicznie - tak jak w przypadku danych osobowych członków organów i nazwy firmy, nie upoważnia nas bowiem do ich swobodnego przetwarzania. Nie można powołać się na zgodę - bo takowej nie posiadamy - nikt nie przekazał nam tych danych do użycia. Może to bowiem oznaczać, iż celem udostępnienia danych było umożliwienie kontaktu potencjalnym klientom, nie zaś dostawcom lub kontrahentom. Ponieważ w dużej części dane udostępnione w sieci lub kampaniach ATL/BTL mają charakter ogólno-firmowy, ustalenie, czy stanowią one ogólne zaproszenie do kontaktu czy kierowane są jedynie do potencjalnych klientów ma znaczenie w odniesieniu do przepisów UŚDE oraz prawa telekomunikacyjnego. Jeżeli sytuacja nie jest jednoznaczna – dla bezpieczeństwa lepiej zastosować „marketing dwuetapowy”. Znacznie bardziej ryzykowne jest kontaktowanie się z podmiotami na podstawie informacji pozyskanych z publicznie dostępnych rejestrów. Przepisy Rozporządzenia wymagają bowiem wyważenia, czy ochrona prywatności osoby, której dane przetwarzamy nie przeważa nad naszym interesem. Tymczasem, gdyby przedstawiciel firmy chciał upublicznić swój e-mail, mógłby to swobodnie zrealizować. Jeżeli tego nie zrobił należy uznać, że nie życzy sobie zupełnej swobody w wykorzystaniu takich danych. Jest to wniosek oczywisty, gdyby przyjąć w tym wypadku bardziej liberalną wykładnię, oznaczałoby to w praktyce, że wobec osób wskazanych w publicznych rejestrach RODO w zasadzie nie obowiązuje. Idąc dalej, dziesiątki czy nawet setki ofert otrzymywanych na skrzynki służbowe mogłoby skutecznie zdezorganizować pracę takich osób.

Tak więc generowanie adresów konkretnych osób fizycznych na bazie rejestrów w celu wysyłki danych w ramach cold-marketingu, uważam jednak za działanie naruszające przepisy o ochronie danych osobowych. Jeżeli zdecydujemy się podjąć ryzyko i wykorzystywać tak uzyskane adresy, motywując przetwarzanie swoim prawnie uzasadnionym interesem, przypomnieć należy o obowiązku poinformowania takiej osoby o uzyskaniu jej danych osobowych na podstawie art. 14 RODO - najpóźniej w ciągu miesiąca od wygenerowania adresu e-mail. Z pewną ostrożnością należy podchodzić również do danych z tzw. „poleceń”. Jeżeli osoba, która daje nam potencjalny kontakt biznesowy (np. numer telefonu prezesa spółki) czyni to za jego wiedzą i zgodą - nie powinno to stanowić problemu.

Oczywiście ryzyko może pojawić się w przypadku, gdy okaże się że takiej zgody jednak nie było, zaś zgodnie z zasadą rozliczalności wynikającą z art. 5 ust. 2 RODO - to naszym obowiązkiem jest udowodnić legalność przetwarzania danych, co może być w tym wypadku dość trudne. Bardzo ryzykowne jest również powołanie się na „uzasadniony prawnie interes administratora” - czyli art. 6 ust. 1 lit f RODO do różnego rodzaju wykazów i rejestrów dostępnych w sieci. To że są one dostępne nie oznacza jeszcze, że są pozyskane zgodnie z prawem. A to, że korzystamy z danych pozyskanych nielegalnie przez kogo innego nie powoduje, że nie będziemy ponosili z tego tytułu odpowiedzialności. Jednak pewne znaczenie ma tu dochowanie przez nas „należytej staranności” i nasza dobra wola.

Czym innym jest bowiem zakupienie pakietu danych osobowych w dark-necie i wykorzystanie go do kontaktu marketingowego, a czym innym skorzystanie z rejestru utworzonego przez legalnie działającą i zarejestrowaną spółkę, która zapewnia o legalności udostępnianych baz danych. W wypadku wykorzystania tak generowanych baz sugerowałbym korzystanie z „kontaktu dwuetapowego”. Bezpieczeństwo zwiększać będzie także rezygnacja z przepisania takich rejestrów do naszych własnych zbiorów. Dopóki korzystamy ze zbioru firmy, która wygenerowała dane (np. Google), działamy jako procesor, co nie wymaga realizacji obowiązku informacyjnego oraz nie wymaga posiadania informacji o źródle danych. Wystarczy poinformować, że przetwarzamy dane udostępniane przez innego administratora na podstawie umowy powierzenia (np. wspomniane Google). Jeżeli jednak wygenerujemy raport i przepiszemy go do naszych zbiorów danych np. do własnego CRM, staniemy się administratorem tych danych ze wszystkimi tego konsekwencjami wynikającymi z RODO. W tej sytuacji jest zaś mało prawdopodobne, abyśmy byli w stanie sprostać wszystkim obowiązkom ciążącym na ADO (czyli administratorze danych osobowych, którym się staliśmy).

Całkowicie odradzam wykorzystywanie danych, które „wynieśliśmy” od naszego poprzedniego pracodawcy, z innej firmy lub otrzymaliśmy od nowego pracownika, który choćby nawet w dobrej wierze - chciał nam przekazać takie kontakty jako swoisty bonus związany z jego zatrudnieniem. Jest to sytuacja, w której ewidentnie naruszymy przepisy o ochronie danych osobowych. Nie znajdzie się żadne akceptowalne uzasadnienie dla przetwarzania tak pozyskanych danych. Dodatkowo jest to jest właśnie działanie, przy którym ryzykujemy naruszenie szeregu innych przepisów i narażamy się na jeszcze bardziej dotkliwe konsekwencje prawne. Dlatego wykorzystanie przy cold-marketingu danych z tego rodzaju źródeł zdecydowanie odradzam.

W mojej opinii wszystkie działania podejmowane bezpośrednio przez firmy i adresowane do osób lub podmiotów, które nie wyraziły na to jednoznacznej zgody, obarczone będą większym lub mniejszym ryzykiem prawnym. Jedynym w pełni bezpiecznym rozwiązaniem jest w tym wypadku przeniesienie tych działań na zewnątrz, czyli zaangażowanie do cold-mailingu lub cold-phoningu wyspecjalizowanej firmy, takiej jak np. platforma dmsales.com, która weźmie to ryzyko na siebie i dostarczy gotowe leady osób, które wyraziły chęć kontaktu (czyli dane „hot”). Wtedy bowiem ograniczamy nasze ryzyko jedynie do ewentualnych problemów wizerunkowych czy niezadowolenia osób, które nie życzyły sobie tego rodzaju kontaktu. Niemniej nie ponosimy żadnych ryzyk prawnych.

Biorąc pod uwagę potencjalnie wysokie kary i wynikającą z RODO odpowiedzialność cywilnoprawną, a nie są to ryzyka błahe, toteż serdecznie zapraszam dyrektorów handlowych i marketerów b2b to konsultacji i doradztwa. Już krótka rozmowa pozwoli się Tobie rozeznać ze skalą ewentualnego problemu.

Link Skopiowany!

Powiązne publikacje

zobacz wszystkie publikacje
umowa
wstępna konsultacja
checkmark-circle