5 zasad RODO, o których każdy przedsiębiorca powinien wiedzieć

Podczas konferencji dla przedsiębiorców „Przyspiesz swój biznes”, Jakub Wezgraj, radca prawny i właściciel kancelarii ODOekspert, opowiedział, jak pozyskiwać klientów i wartościowe kontakty biznesowe, pozostając w zgodzie ze wspomnianym wyżej RODO.

Tutaj zobaczysz całe wystąpienie Jakuba Wezgraja: 5 zasad RODO, o których każdy przedsiębiorca powinien wiedzieć, natomiast poniżej przeczytasz podsumowanie wystąpienia.

Za każdym kontaktem stoi konkretny człowiek – twój kontrahent, potencjalny klient, odbiorca twoich usług lub produktów. Kiedy tylko zaczynasz zbierać i wykorzystywać czyjeś dane osobowe w dowolnym celu – zaczynasz przetwarzać te dane osobowe, czyli stosować RODO w praktyce.

Od czego zacząć? Przede wszystkim najpierw zastanów się i ustal w jakim dokładnie celu chcesz pozyskać i wykorzystywać czyjeś dane. Mówiąc o potencjalnych kontaktach biznesowych w pierwszej kolejności dane osobowe najpewniej będziesz przetwarzać w celach marketingowych, następnie – w celach sprzedażowych.

RODO wymusza na przedsiębiorcach posiadanie jednej z określonych podstaw prawnych, by móc przetwarzać dane osobowe w konkretnym celu. Taką podstawą prawną może być np. zgoda na przetwarzanie danych udzielona przez daną osobę.

Wszystko zależy od kanału komunikacji:

• jeżeli chcesz z kimś kontaktować się z wykorzystaniem adresu e-mail i np. przesyłać mu okresowo jakieś oferty lub informacje o oferowanych promocjach –  potrzebujesz zgody tej osoby na przesyłanie jej informacji handlowych drogą elektroniczną,
• jeżeli chcesz przedstawiać swoje oferty podczas rozmów telefonicznych z wykorzystaniem numeru telefonu komórkowego konkretnej osoby – również musisz pozyskać zgodę od tej osoby na tego typu komunikację marketingową.

Aktualne przepisy prawa obowiązujące w Polsce wymagają, aby przedsiębiorca posiadał odrębne zgody na komunikację marketingową realizowaną drogą mailową oraz telefoniczną. Co ciekawe, te wymogi nie wynikają wprost z RODO, a właśnie z polskiego ustawodawstwa.

Jak sobie z tym poradzić?

1. Korzystaj z baz teleadresowych prowadzonych przez podmioty, które deklarują ich zbieranie w oparciu o zgody udzielone przez właścicieli numerów telefonów oraz adresy mailowe. Na szczęście na rynku takich podmiotów jest coraz więcej – bardzo często oferują one możliwość szybkiej weryfikacji, który podmiot figurujący w bazie danych wyraził zgodę na kontakty marketingowe określonym kanałem komunikacji.
2. Unikaj zbierania kontaktów z niepewnych źródeł – na przykład od dostawców czy też partnerów handlowych, którzy nie potrafią wykazać z jakiego źródła je pozyskali oraz czy osoby te mają świadomość, że będą adresatami działań marketingowych.
3. Rozwijaj kanały komunikacji oparte na własnych zasobach – to w dłuższej perspektywie czasu najlepsze rozwiązanie. Na przykład bardzo ważnym narzędziem może być prosty formularz kontaktowy na Twojej stronie internetowej – ale opatrzony odpowiednimi zgodami na komunikację marketingową. W ten sposób dajesz „szansę” swojemu potencjalnemu klientowi, że kierując do Ciebie zapytanie za pomocą formularza wyrazi zgodę na kontakty marketingowe również w przyszłości.

Sprzedaż to nie wszystko!

Do podstawowych celów, w jakich przedsiębiorstwo może przetwarzać dane osobowe klientów i potencjalnych klientów należą chociażby:

• marketingowy
• sprzedażowy (realizacja zawartych umów)
• rozpatrywanie reklamacji
• windykacja należności
• rozpatrywanie roszczeń, prowadzenie sporów
• prowadzenie bieżącej komunikacji z klientami (np. korespondencja w związku z zawartymi umowami, udzielani odpowiedzi na zapytania etc.)

Z punktu widzenia RODO są to odrębne cele przetwarzania danych, na które przedsiębiorca musi posiadać podstawę prawną. Na przykład przetwarzanie danych osobowych w celach sprzedażowych to tak naprawdę przetwarzanie danych w celu realizacji konkretnej umowy zawieranej z klientem, a przetwarzanie danych dłużnika w celach windykacyjnych to realizacja tzw. prawnie uzasadnionego interesu przedsiębiorcy – ponieważ jako wierzyciel jego prawem jest odzyskanie należności, a tego nie da się wykonać bez przetwarzania danych dłużnika.

Musimy jednak pamiętać, że w zależności od tego w jakich celach i na jakich podstawach prawnych planujemy przetwarzać czyjeś dane osobowe, będziemy musieli o tym poinformować tą osobę. W zależności od sposobu przetwarzania danych, osoby te będą mogły również skorzystać z różnych uprawnień przewidzianych w RODO, a przedsiębiorca będzie musiał na nie odpowiedzieć.

RODO to przede wszystkim akt prawny chroniący interesy konkretnych osób, których dane przetwarza przedsiębiorstwo. RODO zobowiązuje więc między innymi, aby przedsiębiorcy w sposób jasny informowali swoich potencjalnych oraz aktualnych klientów o tym w jaki sposób oraz w jakich celach zamierzają przetwarzać ich dane osobowe.

Poniżej prezentujemy zakres informacji jakie trzeba przekazać każdej osobie fizycznej, której dane przetwarza przedsiębiorstwo. Dużo tych informacji, prawda? To jest właśnie element transparentności, który wymagany jest od przedsiębiorców.

Samo przekazywanie klauzul informacyjnych osobom, których dane chce przetwarzać przedsiębiorstwo w praktyce jednak nie wystarcza. RODO daje bowiem szeroki pakiet uprawnień każdej osobie i tylko od niej zależy czy i kiedy z nich zdecyduje się skorzystać.

Na powyższym obrazku przedstawiamy kluczowe uprawnienia, z jakich może skorzystać każda osoba fizyczna z racji przetwarzania jej danych.

Dana osoba swoje żądania będzie kierować bezpośrednio wobec przedsiębiorcy, który przetwarza jej dane osobowe. To czy konkretne żądanie okaże się zasadne, zależy przede wszystkim od celu i podstawy prawnej przetwarzania danych.

Dla przykładu – jeżeli konkretna osoba napisze maila z żądaniem usunięcia jej danych osobowych, nie oznacza to wcale, że przedsiębiorca będzie musiał je usunąć w każdym przypadku. Jeżeli dane będzie przetwarzał na podstawie udzielonej zgody, wówczas bardzo możliwe, że trzeba będzie je usunąć (np. gdy dotyczy to danych przetwarzanych w celach marketingowych), ale gdy okaże się że z tą konkretną osobą przedsiębiorcę wiążę umowa, która cały czas jest realizowana, usunięcie danych w tym zakresie nie będzie możliwe co najmniej do czasu zakończenia obowiązywania umowy, a w rzeczywistości może nawet dłużej, ponieważ przepisy o rachunkowości zobowiązują przedsiębiorców do przechowywania umów handlowych jeszcze przez kilka lat po ich realizacji. Wszystko więc będzie zależało od tego w jakim celu i na jakiej podstawie prawnej przetwarzamy czyjeś dane osobowe.

Niezależnie od tego czy konkretne żądanie okaże się zasadne, przedsiębiorca musi formalnie na nie odpowiedzieć. RODO wymaga by tego typu odpowiedź została udzielona nie później niż w terminie miesiąca od wpłynięcia żądania, a w szczególnie skomplikowanych przypadkach lub gdy tego typu żądań wpłynęło do przedsiębiorcy bardzo dużo – udzielenie odpowiedzi może być wydłużone maksymalnie o kolejne dwa miesiące.

W jaki sposób najlepiej odpowiadać na żądania? Najlepiej tą samą drogą, którą wpłynęło do przedsiębiorcy żądanie, np. jeżeli drogą mailową – również odpowiedź powinna być udzielona drogą mailową, chyba że osoba kierująca żądanie wyraźnie zaznaczy że oczekuje udzielenia odpowiedzi w inny sposób – np. poprzez wysłanie pisma pocztą tradycyjną. Wyjątek stanowią przypadki, gdy żądania są kierowane ustnie – podczas rozmowy bezpośredniej lub w ramach rozmowy telefonicznej. W takim wypadku warto odnotować treść żądania wraz z datą jego wpłynięcia i uzgodnić z rozmówcą w jakiej formie możemy mu przekazać odpowiedź. Z punktu widzenia przedsiębiorcy ważne jest, aby móc udokumentować, że odpowiedź na zgłoszone żądanie faktycznie została udzielona, dlatego warto udzielać odpowiedzi w formie pisemnej – mailowej lub pocztą tradycyjną.