96 na 100 osób odbiera wiadomości SMS. 67% chce otrzymywać wiadomości o promocjach i rabatach na telefon*. 71% osób, które otrzymały reklamę na telefonie komórkowym, poszukuje dalszych informacji o reklamowanym produkcie, usłudze lub marce. Blisko 50% po otrzymanej informacji podejmuje decyzję zakupową**. SMS marketing warto włączać do prowadzonych kampanii, dbając, by prowadzone działania były zgodne z obowiązującymi przepisami, w tym z budzącym wiele wątpliwości RODO. O czym pamiętać?
Dobra baza to podstawa
Skuteczne prowadzenie komunikacji marketingowej przez SMS-y wymaga posiadania dobrej bazy wysyłkowej. Jednak sposób jej budowania ma także kluczowe znaczenie w nie tylko w kontekście powodzenia działań promocyjnych, ale również w kontekście dostosowania działania firmy do RODO.
Zobacz również
Jak wynika z badania „Komunikacja SMS w firmach” firmy wykorzystujące SMS-y w komunikacji marketingowej najczęściej używają własnych baz danych, zbudowanych z informacji pozyskanych np. podczas zapisów na newsletter, poprzez programy lojalnościowe czy podczas zakupów***. Takie działanie ma sens nie tylko dlatego, że wiadomości od znanych firm są dobrze tolerowane (a nikt nie lubi być spamowanym przez firmy kompletnie nieznane), ale również dlatego, że pozwala to łatwiej dopasować komunikację do zainteresowań klienta.
Na gruncie RODO wątpliwości wielu marketerów budzi zgodność z prawem posiadanych danych oraz możliwość dalszego z nich korzystania. Motyw 171 preambuły RODO mówi wprost: „Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia.”
Oznacza to więc, że jeśli zgoda udzielona przed wejściem w życie RODO obejmowała co najmniej wskazanie administratora danych, celu przetwarzania oraz zawierała informację o możliwości jej wycofania i zgodności z prawem przetwarzania mającego miejsce przed wycofaniem, może stanowić podstawę przetwarzania i pod rządami RODO.
Movember/Wąsopad: jak marki zachęcają do profilaktyki męskich nowotworów [PRZEGLĄD]
Z zapisów motywu wynikają dla firm zatem dwa możliwe scenariusze:
Słuchaj podcastu NowyMarketing
- Zgoda została zebrana zgodnie z przepisami ustawy o ochronie danych osobowych i spełnia oczekiwania stawiane przez RODO, w związku z czym nie ma potrzeby aktualizowania i pozyskiwania nowych zgód.
- Zgoda nie spełnia założeń RODO albo jej nie ma – taka sytuacja wymaga pozyskania zgód, a w sytuacji, gdy się ich nie dostanie – zaprzestania przetwarzania posiadanych danych. Przetwarzanie danych bez zgody osoby fizycznej, której dotyczą, wiąże się z jednej strony z ryzykiem sankcji administracyjnych, a drugiej zagrożone jest możliwością wytoczenia powództwa cywilnego przez tę osobę i utratą reputacji przez organizację.
Nowe obowiązki administratora
RODO jest o tyle problematyczne, że jego przepisy obejmują nie tylko nowe bazy, tworzone już po 24 maja 2018, ale również te powstałe wcześniej, budowane np. bazując na bezpośrednim kontakcie na targach, podczas zakupów w sklepie, w związku z udziałem w konkursach czy akcjach specjalnych w internecie. Aby móc skutecznie działać pod rządami Rozporządzenia oraz nie narazić się na przykre konsekwencje, należy wykonać szereg czynności weryfikujących zgodność z RODO posiadanych danych oraz aktualizujących bazy:
1. Sprawdzić, czy dane zawarte w bazie są aktualne i usunąć nieprawidłowe/nieaktualne rekordy.
2. Sprawdzić, czy znajdujące się w bazach dane są nam rzeczywiście potrzebne w takim zakresie, w jakim zostały zebrane (zasada minimalizacji).
3. Zweryfikować, czy nie zmieniły się cele, dla których je pozyskano i czy dane przetwarzane są zgodnie z nimi (zasada celowości).
4. Pozyskać zgody.
Osoba udzielająca zgody musi mieć wybór i swoją zgodę wyrazić świadomie. Wniosek ten wynika z analizy artykułu 172 Prawa Telekomunikacyjnego, które stanowi przepis szczególny w stosunku do RODO:
„Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.” Za złamanie tego zakazu grozi kara do 3% przychodu, czyli równie wysoka, jak te wynikające z RODO.
Praktycznym zagadnieniem, budzącym szereg wątpliwości jest kwestia, czy sam kontakt w celu uzyskania zgody jest dopuszczalny, czy nie? „(..) jeśli głównym celem kontaktu jest odebranie zgody, to należy uznać go za niedopuszczalny. Jeśli natomiast zgoda uzyskiwana jest „przy okazji”, to takie działanie będzie dopuszczalne.”****.
Oznacza to, również w myśl nowych regulacji, że aktualizacji bazy danych można dokonywać przy okazji innych działań komunikacyjnych, np. podczas kampanii informacyjnej czy badań ankietowych;
5. Projektować działania w oparciu o zasady „Privacy by design” i „Privacy by default”.
6. Prowadzić rejestr czynności przetwarzania (zgodnie z artykułem 30 ust. 5 RODO – nawet jeśli firma zatrudnia mniej niż 250 osób, to przetwarzanie danych osobowych nie ma charakteru sporadycznego oraz może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą).
W wielu firmach obowiązkiem będzie także powołanie IODO, czyli Inspektora Ochrony Danych Osobowych (masowe wysyłki SMS polegają na przetwarzaniu danych na dużą skalę).
W przypadku zaistnienia naruszenia praw osoby, której dane są przetwarzane, Administrator będzie musiał w ciągu 72 godzin od wykrycia zgłosić to do odpowiedniego organu nadzoru oraz – jeżeli wystąpi taka konieczność – także tej osobie.
Jak każde działanie promocyjne, również komunikacja SMS obarczona jest pewnym ryzykiem. Podczas wysyłki do dużej grupy odbiorców, np. na skutek błędu w numerze, komunikat trafić może do niewłaściwej osoby. Należy więc przygotować się również na taką okoliczność.
Zgoda zgodna z RODO
Podstawą skutecznego pozyskiwania i przetwarzania danych w celach marketingowych jest zgoda osoby, której dane dotyczą. W myśl RODO zgodę na przetwarzanie danych osobowych osoby, której dane dotyczą, należy rozumieć jako dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba ta, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na ich przetwarzanie.
Nie istnieje jedna, uniwersalna klauzula zgody. Każda z firm ma swoją specyfikę, przetwarza dane w różnych celach i w różny sposób. Kluczowe jest jednak takie jej sformułowanie, by intencje firmy, komunikaty dotyczące danych osobowych i składana oferta były jasne dla osoby, której dane chcemy pozyskać, a osoba ta miała realną możliwość świadomego określenia swojego stanowiska.
Zgoda musi odnosić się do konkretnego celu przetwarzania oraz wskazywać ramy czasowe przetwarzania. Osoba, której dane przetwarzamy, musi mieć zagwarantowane poszanowanie jej praw, w tym szczególnie prawa do wycofania zgody w dowolnym momencie, które to działanie musi być równie proste, jak jej wyrażenie.
W przypadku kierowania komunikacji do osób niepełnoletnich, do 16 roku życia, potrzebna jest zgoda opiekuna. Realizacja obowiązku informacyjnego wobec osób, których dane są przetwarzane, wiąże się z odpowiednim opracowaniem polityki prywatności, w której należy umieścić:
- dane kontaktowe Administratora, czyli firmy która decyduje o celach przetwarzania danych osobowych,
- określenie konkretnego celu przetwarzania,
- podstawy prawne przetwarzania danych,
- informacje o zamiarze przekazania danych innemu podmiotowi, jeżeli taki zamiar występuje,
- informacje o czasie przetwarzania danych,
- informacje o uprawnieniach przysługujących osobie, której dane dotyczą, tj. prawie dostępu do danych, ich edycji, żądania ograniczenia przetwarzania, możliwości wniesienia sprzeciwu wobec przetwarzania, przeniesienia danych do innego Administratora oraz żądania usunięcia danych, prawie do wniesienia skargi do PUODO.
W przypadku marketingu SMS, który już wcześniej obwarowany był szeregiem przepisów prawnych, RODO to nie rewolucja.
Jeżeli na gruncie starej ustawy o ochronie danych osobowych firma dopełniła formalności i dołożyła staranności przy zbieraniu zgód na tę formę komunikacji, nie ma powodu do obaw. Zgody pozostają ważne, a jedynym obowiązkiem ciążącym na firmie jest obowiązek informacyjny. Realizacja tych zobowiązań rodzi oczywiście ryzyko utraty pewnej części rekordów.
Niemniej jednak jeśli oferowane klientom korzyści, płynące z kontaktu z Twoją firmą będą atrakcyjne, zagrożenie masowymi żądaniami usunięcia danych z bazy staje się niewielkie. Klientom udostępnienie swoich danych musi się po prostu opłacać.
*Komunikacja SMS w Polsce 2016/ 2017. Raport z badania konsumenckiego. SerwerSMS.pl
**„Smartphone Insight”, Nielsen Company
***Komunikacja SMS w firmach. Raport z badania konsumenckiego. 2017. SMSAPI
****prakreacja.pl/tajemnica-ktora-skrywa-art-172-prawa-telekomunikacyjnego/