Wróć do artykułów

Prawo w marketingu – jak zgodnie z przepisami prowadzić marketing w branży e-commerce?

Autor

Kancelaria Pałucki & Szkutnik
10.01.2025

W branży e-commerce, w której marketing odgrywa kluczową rolę, znajomość przepisów jest niemal równie ważna, jak skuteczność pozyskiwania nowych klientów. Odbiorcy działań marketingowych są coraz bardziej świadomi swoich spraw i zwracają szczególną uwagę na wykorzystywanie ich danych osobowych. Wizerunek sklepu internetowego jako wiarygodnej i dbającej o bezpieczeństwo firmy ma na rynku swoją wartość. Poza tym tak prowadzony marketing nie celuje jedynie wprost w powiększanie sprzedaży, ale stanowi właśnie budowanie lojalności i rozpoznawalności swojej marki.

                Branża e-commerce przez ostatnie lata musiała najpierw „znaleźć wspólny język” z RODO, następnie konieczne było wdrożenie odpowiednich przepisów wprowadzanych wraz z dyrektywą Omnibus i idącymi z nią dyrektywami towarową i cyfrową. Wreszcie 10 listopada 2024 r. w Polsce zaczęło obowiązywać, z opóźnieniem w stosunku do UE, Prawo komunikacji elektronicznej, które według wielu ekspertów miało wiele zmienić, między innymi w działaniach marketingowych sklepów internetowych. Jak zatem faktycznie wygląda prawna sytuacja? Na ile można pozwolić sobie w procesie zdobywania nowych klientów? Co jest dozwolone, a co bezwzględnie zakazane? Czy naprawdę nastąpił przełom w przepisach dotyczących ochrony odbiorców działań marketingowych?

Prowadzenie marketingu sklepu internetowego tak, aby nie naruszyć prawa

Wydaje się, że przedsiębiorcy, którzy działają w branży e-commerce, są dość otoczeni różnymi przepisami ograniczającymi prawnie ich działania marketingowe. Obawy firm, jakie towarzyszyły wprowadzaniu RODO, wiązały się z restrykcjami, które miały utrudniać ich rozwój i zdobywanie nowych klientów. Podobnie dzieje się ponad pięć i pół roku później, kiedy w Polsce wchodzi w życie Prawo komunikacji elektronicznej. Surowość tych przepisów, według których do jakichkolwiek kontaktów marketingowych niezbędna jest uprzednia zgoda odbiorcy, jest komentowana niemal jako stojąca ponad RODO.

W czasach obecnych marketing bezpośredni, newslettery, programy lojalnościowe czy targetowane kampanie reklamowe stały się integralną częścią marketingu w branży e-commerce. Trudno oczekiwać, żeby musiała ona zupełnie zrezygnować z niektórych praktyk, choć niewątpliwie nowe przepisy zmuszają do ponownego przemyślenia niektórych strategii marketingowych. Technologia z pewnością będzie jednak podążać jak zwykle za potrzebami, ułatwiając dalszy rozwój przy jednoczesnym działaniu zgodnym z prawem. Z drugiej strony, choć prawo do prywatności podlega bezspornie ochronie cywilistycznej dóbr osobistych, to praktyka życiowa i działalność sądów sprawiają, że przedsiębiorcy niejednokrotnie pewne ryzyka akceptują w kontaktach marketingowych z klientami. Wydaje się, że w praktyce rynek z pewnością znajdzie swoją drogę do funkcjonowania.

Ochrona danych osobowych – RODO a marketing e-commerce

Przedsiębiorca, który zamierza przetwarzać dane osób, których dane dotyczą, w działaniach marketingowych, powinien po pierwsze kierować się głównymi zasadami wynikającymi z RODO. Zgodnie z zasadą przejrzystości, której funkcjonowanie można znaleźć w art. 12-22, należy:

·         udzielać wszystkich niezbędnych informacji osobom, których dane dotyczą na temat przetwarzania ich danych – w sposób łatwo dostępny, zwięzły, jasny, jednoznaczny i zrozumiały;

·         komunikacja z osobami, których dane dotyczą, powinna być jasna i przejrzysta;

·         udzielać stosownych informacji przed rozpoczęciem operacji przetwarzania danych, a także w trakcie i po jej zakończeniu;

Wszelkie dane mają być przetwarzane w sposób rzetelny i zgodny z prawem. Zasada celowości mówi natomiast, że wszystkie dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie mogą być przetwarzane dalej w sposób niezgodny z tymi celami (art. 5 ust. 1 lit. b). Ta zasada wiąże się oczywiście z obowiązkiem informacyjnym każdego administratora. Nie można zatem np. zbierać danych w celu przesyłania newslettera, a następnie wykorzystać ich w celu ich profilowania. Cele przetwarzania muszą być określone w sposób jasny i precyzyjny. Ten sam przykład można przywołać w kontekście zasady minimalizacji danych, które powinny być przetwarzane w sposób adekwatny, stosowny oraz ograniczony do tego, co niezbędne.

Przetwarzane dane muszą być przechowywane zgodnie z zasadą ograniczenia przechowywania, czyli nie dłużej niż jest to konieczne dla osiągnięcia celu. Poza tym administrator musi zapewnić osobom, których dane dotyczą, ich prawo do dostępu do danych, sprostowania, usunięcia oraz sprzeciwu wobec przetwarzania danych. To znaczy np. rezygnacja powinna być równie prosta i szybka jak wyrażenie zgody.

Dane osobowe muszą być przetwarzane według jednej z podstaw przetwarzania danych, które oferuje RODO, co w kontekście marketingu internetowego wiążę się przede wszystkim z uzyskaną zgodą lub uzasadnionym interesem administratora. Co do przetwarzania na podstawie zgody, to wiemy, że nie może ona budzić wątpliwości. A mianowicie zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Natomiast zgoda na podstawie uzasadnionego interesu administratora służy za podstawę przetwarzania danych głównie aktualnych klientów. Przedsiębiorcy wykorzystują jednak często tę możliwość do pozyskiwania nowych klientów. W takim wypadku administratorzy muszą wykonać tzw. test uzasadnionego interesu prawnego.

Czym jest test uzasadnionego interesu prawnego?

Przedsiębiorcy, którzy chcą przetwarzać dane np. klientów potencjalnych, na podstawie art. 6 ust. 1 lit. f, czyli uzasadnionego interesu administratora, muszą przeprowadzić test uzasadnionego interesu prawnego, to znaczy:

·         test celowości – ustalenie, jaki ma być cel przetwarzania danych i czy jest on zgodny z prawem;

·         test niezbędności – ustalenie czy przetwarzanie danych jest niezbędne do osiągnięcia wskazanego celu;

·         test równowagi – ustalenie czy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności, gdy osoba, której dane dotyczą, jest dzieckiem, nie mają nadrzędnego charakteru wobec interesów administratora danych;

·         oceniony został wpływ na prawa lub wolności osoby fizycznej – ustalenie czy przetwarzanie rodzi ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.  

W teście równowagi, który wydaje się kluczowy, należy uwzględnić naturę przetwarzanych danych i uzasadnione oczekiwania. Przypomnijmy, że możliwość przetwarzania danych w oparciu o uzasadniony interes prawny jest uzależniona od istnienia istotnego i odpowiedniego rodzaju powiązania między odbiorcą komunikatu marketingowego, a jego nadawcą. Upraszczając na przykładzie – czym innym byłoby oferowanie szkoleń informatycznych dla konkretnie sprecyzowanej grupy programistów (firmy zatrudniającej takich pracowników), a czym innym ogólna oferta sprzedaży sprzętu kuchennego prezentowana przeciętnemu użytkownikowi. Wykazanie istnienia powiązania w ostatnim wskazanym przypadku może być co najmniej trudne, a czasem niemożliwe.

Uczciwość przedsiębiorcy a nieuczciwa konkurencja – fałszywe obniżki i kupowanie opinii

Przepisy implementujące do polskiego porządku prawnego regulacje wynikające z Dyrektywy Omnibus obowiązujące od stycznia 2023 r. nałożyły na przedsiębiorców nowe obowiązki, dotyczące w dużej mierze branży e-commerce. Pierwszym z nich jest obowiązek prawidłowego informowania o cenach w celu przeciwdziałania nieuczciwym praktykom rynkowym:

·         wszystkie produkty lub usługi objęte promocją, które są oferowane w sprzedaży w czasie krótszym niż 30 dni, mają posiadać obok obniżonej ceny, również tę najniższą, jaka obowiązywała w okresie rozpoczęcia oferowania towaru lub usługi aż do dni wprowadzenia obniżki.

Zasada ta ma uniemożliwić stosowanie nieuczciwych promocji – w tym sztucznego podwyższania ceny tuż przed rozpoczęciem obniżki, a przez to wprowadzania w błąd konsumentów.   

Drugim ważnym aspektem, którym zajęła się dyrektywa Omnibus, są opinie o sklepie. Nieuczciwe praktyki sprowadzały się do kupowania opinii w internecie w celu zwiększenia wiarygodności firmy i budowania w ten sposób swojej marki, przy jednoczesnym wprowadzaniu konsumentów w błąd. Dlatego też sprzedawca jest zobowiązany do poinformowania, czy publikowane na jego portalu opinie są przez niego weryfikowane, czy też nie. W przypadku odpowiedzi pozytywnej, sprzedawca powinien dołożyć należytej staranności, aby publikacja opinii osób, które faktycznie nabyły dany produkt. 

Prawo w marketingu 2.0 – Prawo komunikacji elektronicznej a marketing bezpośredni

Od 10 listopada 2024 r. w Polsce obowiązuje Prawo komunikacji elektronicznej, które zastąpiło Prawo telekomunikacyjne, a także częściowo ustawę o świadczeniu usług drogą elektroniczną. Nowe prawo stanowi wdrożenie tzw. dyrektywy EKŁE, czyli Europejskiego kodeksu łączności elektronicznej. Głównym jej celem, który wiążę się z branżą e-commerce, jest poprawienie bezpieczeństwa oraz sytuacji konsumentów.

Wszelkie korzystanie z automatycznych systemów wywołujących, czyli oprogramowania, które automatycznie generuje i wybiera numery telefonów jest zabronione i użycie uch będzie traktowane jako czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy o zwalczaniu nieuczciwej konkurencji (z dnia 16 kwietnia 1993 r.). Skupiając się na sferze działań marketingowych największej zmianie, o jakiej się mówi, stanowi przede wszystkim konieczność zebrania zgody od konsumenta jeszcze przed podjęciem działań dotyczących marketingu bezpośredniego. W praktyce ma to nie tyle ograniczyć, co wręcz uniemożliwić tzw. cold mailing czy cold calling, na co przedsiębiorcy znajdowali furtkę w przepisach RODO. 

Te „skłócenie” dwóch przepisów prawnych niekoniecznie jednak spowoduje aż taką rewolucję w sferze marketingu e-commerce, o jakiej w dyskusjach eksperckich się mówi. Tak jak obecnie branża internetowe działa w tej sferze często na zasadzie niepisanych, a powszechnie przyjętych praktyk, tak być może stanie się również w kontekście PKE. Nie tylko przecież przedsiębiorcom marketing przynosi korzyści. Konsumenci także przyzwyczajeni są już przecież do otrzymywania ofert przypisanych konkretnie do ich potrzeb i oczekiwań. Skuteczność ostrzejszych przepisów będzie mimo wszystko głównie od działań organu odpowiedzialnego za realizację przepisów PKE.

Pobieranie zgody od konsumenta w poszanowaniu polskiego prawa

Prawo komunikacji elektronicznej skupia także na samym procesie pobierania zgody od konsumenta do działań marketingu bezpośredniego (model opt-in). Położony zostaje nacisk na właściwości udzielanej zgody, o których wcześniej już pisałem, a przede wszystkim jej świadome, jednoznaczne i dobrowolne udzielenie. Tutaj oprócz działań marketingowych, typu: newsletter, powiadomienia sms, kluby lojalnościowe czy inne kampanie, które wymagają zgody konsumenta na otrzymywanie informacji handlowych, podkreślony zostaje sposób pobierania zgody na przetwarzanie danych za pomocą np. plików cookies. Wszystkie zapytania o zgody powinno się umieszczać na jednej belce, tak aby konsument nie musiał przedzierać się przez kolejne podstrony. Wyrażenie zgody na wykorzystanie danych nie może być domyślnie zaznaczone, aby nie wpływać na decyzję konsumenta. Taka zgoda nie może być też warunkiem do skorzystania ze strony internetowej. 

Ponadto na każdy kanał komunikacji z konsumentem powinna być osobna zgoda, tak aby nie „zaszywać” pod zgodą na otrzymywanie newslettera, zezwolenia na inne działania marketingowe. Wyrażona zgoda musi być jednoznaczna i dobrowolna. Jednym ze sposobów jest wykorzystanie tzw. checkboxów, należy jedynie pamiętać, żeby nie zaznaczać domyślnie opcji wyrażenia zgody i akceptacji warunków.        

                Konsument powinien być również jasno informowany, jakie jego dane będą przetwarzane, prze kogo oraz jak długo. Musi mieć on również, jak to już wspominałem przy okazji RODO, równie prostą drogę do cofnięcia zgody lub rezygnacji, co podczas jej udzielania. 

Jakie są powszechnie przyjęte praktyki marketingowe – krucha granica między tym, co niedozwolone a zasadami prawa?

Na chwilę obecną wciąż dość powszechnie stosowany jest przez przedsiębiorców uzasadniony interes prawny jako podstawa przetwarzania danych w marketingu bezpośrednim. W teorii od 10 listopada praktyka cold mailingu lub cold callingu jest zabroniona przez PKE, w praktyce jednak trudno weryfikować, jak egzekwowane będą te przepisy. Potencjalna skala możliwości administracyjnego czy sądowego karania za ich łamanie, wydaje się przemawiać za tym, że przedsiębiorcy wciąż będą świadomie podejmować te ryzyko.

Wśród nieformalnych standardów stosowanych przez firmy działające w bezpośrednim marketingu można wymienić kilka przykładów, m.in.:

·         kontaktowanie się tylko z osobami, które mogłyby odnieść korzyść z nawiązania współpracy/sprzedaży (przywoływany przykład informatyków vs oferta sprzętu kuchennego dla przysłowiowego Nowaka);

·         kontakt nie częstszy niż 2-3 razy, a przy braku zainteresowanie, zakończenie prób;

·         odstępy co najmniej kilku dni między próbami kontaktu;

·         kontaktowanie się w dni robocze, najlepiej w godzinach pracy;

·         wysyłanie maili z ofertą na adresy mailowe nieosobowe, jak np. sekretariat@;

·         prowadzenie rozmów lub korespondencji mailowej w sposób nienachalny, a w razie wyrażenia sprzeciwu wobec przetwarzania danych osobowych, przerwanie kontaktu – dalszego przetwarzania danych do celów marketingowych.

Ochrona konsumenta – jak dbać o obowiązek informacyjny podczas działań marketingowych e-commerce?

Na temat obowiązku informacyjnego pisałem już w kilku miejscach, jednak warto tę kwestię uporządkować, gdyż jest to podstawowy obowiązek każdego administratora sklepu internetowego, który prowadzi działania marketingowe. Zadbanie o rzetelne informowanie konsumentów o przetwarzaniu ich danych osobowych w zgodności z RODO stanowi nie tylko wypełnienie kluczowych przepisów, ale również element strategii budowania relacji opartej na zaufaniu z klientami oraz samej marki sklepu.

                Najważniejsze będzie tu kierowania się zasadami w samym tekście RODO: przejrzystością, rzetelnością, prostotą przekazu i przede wszystkim jego jasnością. Tak powinna zostać napisana polityka prywatności – dokument, w którym zawarte powinny zostać wszystkie kwestie związane z przetwarzaniem danych osobowych. Link do polityki prywatności musi być widoczny i łatwo dostępny. Informacje najlepiej przedstawić w sposób klarowny i zwięzły, aby konsument otwierając plik nie stykał się z kilkustronicową ścianą tekstu.

                Wspominane już informowanie o używanych plikach cookies również powinno cechować się zwięzłością. Zgodnie z PKE dane na temat wykorzystywania popularnych „ciasteczek” powinny zostać wyświetlone na jednym banerze, gdzie również należy umieścić pytanie o zgodę na ich używanie. Trzeba w sposób klarowny wyjaśnić funkcjonalność poszczególnych plików cookies (np. analitycznych, marketingowych), a następnie umożliwić jak najprostszą formułę akceptowania lub jego braku. Oczywiście nie można zapominać o trzymaniu ręki na pulsie i stosownym aktualizowaniu wszelkich informacji czy zgód, aby były one adekwatne do aktualnych przepisów.

                W temacie obowiązku informacyjnego należy poza tym pamiętać o pełnym przedstawieniu wszelkich praw przysługujących osobom, których dane dotyczą – na czele z prawem cofnięcia zgody na przetwarzanie danych. W wypadku używania zautomatyzowanej formy marketingu opartej na profilowaniu konieczne jest, aby zebrać stosowne zgody i w sposób jasny poinformować konsumenta o podleganiu przez niego tej formie marketingu (zgodnie z art. 21 oraz 22 RODO). Musi mieć on możliwość podjęcia świadomej decyzji w tej kwestii.