
Jak ma się Rodo do danych osobowych z publicznych rejestrów? Czy można wykorzystywać te informacje w marketingu? O czym należy wiedzieć przed przesłaniem oferty na adresy e-mail z CEIDG? Czy można swobodnie dzwonić do firm i reklamować im swoje usługi lub produkty?
Te i podobne pytania są typowe dla początkujących przedsiębiorców, którzy starają się o pierwszych klientów i chcą działać legalnie. Jeśli i Ty masz tego typu wątpliwości, to poniżej spróbuję je rozwiać. Odniosę się nie tylko do Rodo, ale również do innych regulacji. Mam nadzieję, że znajdziesz tu przydatne wskazówki.
Rejestry i bazy danych, które znajdziemy Internecie
Źródłem wielu cennych informacji biznesowych (w tym na temat osób fizycznych) są rejestry publiczne. Przykładowo: Krajowy Rejestr Sądowy lub Centralna Ewidencja i Informacja o Działalności Gospodarczej. Z racji, że są jawne i powszechnie dostępne, każdy może sprawdzić pod jakim adresem pan X prowadzi działalność gospodarczą oraz kto jest prezesem zarządu spółki Y. Czasem znajdziemy w nich też adresy e-mail i numery telefonów.
Tego typu informacje gwarantują pewność i jawność obrotu prawnego. Służą miedzy innymi temu, aby każdy mógł sprawdzić wiarygodność swojego kontrahenta. Poznać adres jego siedziby oraz dane rejestrowe (np. wpisując do treści umowy lub pisząc pozew). Powstają one na podstawie obowiązującego prawa, dlatego też nikt pyta młodego przedsiębiorcy, czy życzy sobie, aby jego NIP był udostępniony do publicznej wiadomości.
Powielanie danych z rejestrów i tworzenie własnych baz
Prawo umożliwia ponowne wykorzystanie informacji udostępnionych w systemach teleinformatycznych. Takie przyzwolenie znajdziemy w ustawie z dnia z dnia 25 lutego 2016 r. o ponownym wykorzystywaniu informacji sektora publicznego. Przepisy te zezwalają osobom fizycznym, osobom prawnym i jednostkom organizacyjnym nieposiadającym osobowości prawnej wykorzystywać informacje sektora publicznego w celach komercyjnych lub niekomercyjnych innych niż pierwotny publiczny cel.
Dlatego legalnie funkcjonują mniej lub bardziej popularne serwisy, w których znajdziemy replikę informacji z CEIDG czy KRS. W przypadku tego typu działalności istotny będzie cel dalszego przetwarzania informacji udostępnionych publicznych i podstawa prawna przetwarzania. Przekłada się to bezpośrednio na obowiązki (lub ich brak). Te z kolei łączą się z przepisami o ochronie danych osobowych.
Ponowne wykorzystywanie informacji z systemów publicznych jest zagadnieniem wielowątkowym. Łączy się też z pewnymi ograniczeniami, ale to temat na odrębny artykuł. Dlatego wróćmy do działań marketingowych i pozyskiwania potencjalnych klientów przy pomocy CEIDG czy KRS.
Na początek ustalmy, które publiczne informacje mogą być danymi osobowymi.
Dane osobowe z rejestrów i ich ochrona
Dane osobowe to informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Czyli jest to zbiór danych, które pozwalają bezpośrednio lub pośrednio ustalić tożsamość konkretnego człowieka.
Na podstawie wpisów znajdujących się w rejestrach publicznych możemy bez problemu „namierzyć” konkretną osobę. Umożliwiają nam to znajdujące się w ewidencjach informacje. Np.: imiona i nazwiska przedsiębiorcy (ewentualnie członka zarządu spółki), miejsce prowadzenia działalności gospodarczej (pokrywające się często z adresem zamieszkania), NIP, REGON, PESEL, adres e-mail czy numer telefonu.
Dane osobowe podlegają ochronie prawnej. A ten, kto je przetwarza (np. wykorzystuje w marketingu) musi spełnić wymagania z RODO oraz z innych przepisów szczególnych. Oczywiście nie dotyczy to czynności o charakterze czysto osobistym lub domowym.
Inne dane, które znajdziemy w rejestrach
Publicznie dostępne są również inne dane, które nie dotyczą osób fizycznych. Do nich Rodo nie będzie miało zastosowania. Są to w szczególności informacje dotyczące:
- osób prawnych (np. spółek kapitałowych, spółdzielni, stowarzyszeń);
- tzw. ułomnych osób prawnych – czyli podmiotów, które nie są osobami prawnymi ale na mocy prawa mogą zawierać umowy, zaciągać zobowiązania itp. (np. spółki osobowe: spółka jawna, spółka komandytowa, spółka partnerska).
Kluczowe jest wiec ustalenie, które informacje będą danymi osobowymi, a które nimi nie będą.
Nie wystarczy sam podział na przedsiębiorców i konsumentów. Tak samo przyjęcie zasady, że w ramach relacji B2B Rodo nie obowiązuje. Dlaczego? Bo za biznesem może stać osoba fizyczna. A zestawienie informacji na temat spółki może zawierać dane osób fizycznych (np. dane członków zarządu).
Przykłady:
Twoim potencjalnym klientem jest spółka „Prawownia J. Białobrzewska spółka jawna” bądź „Białobrzewska sp. z o.o.”- w takich zestawieniach i przy tego typu formach prawnych moje nazwisko nie jest daną osobową.
Twoim potencjalnym klientem jest osoba fizyczna prowadząca działalność gospodarczą „Prawownia Joanna Białobrzewska” – masz do czynienia z moimi danymi osobowymi i aby je przetwarzać – musisz działać zgodnie z Rodo.
Natomiast dane spółki „Białobrzewska sp. z o.o.” : kontakt@bialobrzewska.pl, tel. 111222333 , to informacje dotyczące osoby prawnej, a nie fizycznej. Ale już imiona i nazwiska czy PESEL członków zarządu tej spółki będą informacjami o osobach fizycznych – czyli chronionymi na gruncie RODO.
W regulacjach dotyczących ochrony danych osobowych nie znajdziemy przepisu, który traktowałby osoby fizyczne prowadzące działalność gospodarczą na równi z osobami prawnymi czy tzw. ułomnymi osobami prawnymi. To samo dotyczy wspólników spółki cywilnej. W obrocie prawnym funkcjonują oni jako osoby fizyczne prowadzące działalność gospodarczą.
Jeśli w katalogu informacji, które chcemy przetwarzać znajdują się dane osobowe – nie można zapominać o Rodo. A co z tym idzie o:
- konieczności wskazania podstawy prawnej przetwarzania (o czym pisałam już tutaj),
- obowiązku informacyjnym,
- zapewnieniu adekwatnych środków bezpieczeństwa,
- zagwarantowaniu realizacji praw osób fizycznych.
Marketing a publicznie dostępne dane osobowe
To, że dane osobowe mogą być upublicznione nie oznacza domyślnej zgody na ich wykorzystywanie w każdym możliwym celu! Przetwarzanie informacji dotyczących osób fizycznych wymaga wykazania przesłanki legalności. I tak w przypadku działań o charakterze marketingowym może to być:
- zgoda osoby, której dane dotyczą – jednoznaczna, dobrowolna i świadoma,
- tzw. prawnie uzasadniony interes administratora.
Duże problemy interpretacyjne sprawia druga z ww. przesłanek. Czyli prawnie uzasadniony interes administratora. Chodzi w niej o pewną relację, która nawiązuje się pomiędzy administratorem danych, a osobą, której dane dotyczą. A w zasadzie to o rozsądne oczekiwania tej osoby w odniesieniu do istniejących powiązań z administratorem.
W motywie 47 Rodo znajdziemy następujące wyjaśnienie:
Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania. (…) Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.
Ciężko będzie wykazać przesłankę prawnie uzasadnionego interesu, jeśli stron nigdy nie łączyła żadna więź. W przypadku osób, które nie są Twoimi klientami, najprawdopodobniej musisz dysponować zgodą. Każda jednak relacja wymaga indywidualnej interpretacji.
Marketing bezpośredni
Regulacje dotyczące ochrony danych osobowych nie są jedynymi, które odnoszą się do legalności marketingu. Istotne znaczenie z punktu widzenia kontaktu z potencjalnym klientem będą miały również przepisy ustawy o świadczeniu usług drogą elektroniczną czy ustawy prawo telekomunikacyjne. Pierwsza z ustaw reguluje kwestie dotyczące przesyłania e-maili handlowych. Druga dotyczy nawiązywania rozmów telefonicznych oraz wysyłania wiadomości SMS, MMS itp.
Szerzej o marketingu bezpośrednim pisałam tutaj.
Podsumowanie
Jeśli dotrwałeś do końca artykułu, to zdajesz sobie sprawę, że odpowiedź na ww. pytania brzmi:”to zależy”. I jest jak najbardziej na miejscu. Zwłaszcza w kontekście Rodo i przepisów dotyczących marketingu bezpośredniego. Dobranie właściwego rozwiązania wymaga skrupulatnej analizy. Trzeba krok po kroku prześledzić jakie dane chcemy wykorzystać (i czy są to dane osobowe). Ponadto, w jakim celu będą wykorzystywane oraz na jakiej podstawie przetwarzane.
Wpisy w publicznych rejestrach nie zostały stworzone aby wspierać działania marketingowe. A fakt, że przedsiębiorca publikuje na swojej stronie www lub w mediach społecznościowych dane kontaktowe (imię, nazwisko, nr telefonu, adres e-mail itp.) nie oznacza automatycznie, że nie ma nic przeciwko temu, aby otrzymywać tym kanałem reklamy. Chyba, że mówi to wprost. Na przykład publikując taką informację: W sprawach ofert współpracy proszę o kontakt pod adresem xxxxx@xxxxxx.pl.
Reasumując…. Zanim zaczniesz nękać swojego potencjalnego klienta niechcianymi wiadomościami i telefonami – zastanów się czy nie naruszasz jego prawa do prywatności. I czy rzeczywiście tego typu marketing buduje wiarygodny wizerunek Twojej marki.
Źródła
Ponowne wykorzystywanie informacji sektora publicznego
Świadczenie usług drogą elektroniczną
Czy ten wpis był dla Ciebie wartościowy? Jeśli tak, udostępnij go innym.
Jeśli potrzebujesz indywidualnej konsultacji i wsparcia prawnego, chcesz sprawdzić czy prowadzisz marketing swojej marki zgodnie z prawem– napisz do nas!