Gromadzenie informacji sposobem na własny biznes

W fachowym języku operacja pozyskiwania nowych kontaktów komercyjnych (np. konsumentów zainteresowanych nabyciem produktu lub usługi) nazywa się generowaniem leadów (ang. lead generation). Mogą być nimi zarówno osoby prywatne, jak i firmy zainteresowane współpracą na przykład w zakresie dostaw półproduktów.

Proces pozyskiwania polega na zbieraniu danych za pośrednictwem telemarketingu, ogłoszeń prasowych, poleceń aż po internetowe narzędzia typu SEO (pozycjonowanie stron internetowych), SEM (reklama w wyszukiwarkach) czy też poszukiwanie kontaktów za pośrednictwem platform i serwisów łączących zleceniodawców oraz konsumentów. W zależności od szczegółowego zapotrzebowania klienta odbywa się to w kanale B2B (ang. Business to Business), B2C (ang. Business to Consumer) albo najbardziej spersonalizowanym B2Y (ang. Business to You).

Coraz częściej generowanie leadów odbywa się także poprzez portale społecznościowe (przede wszystkim Facebook). Pozyskane w ten sposób kontakty są jednymi z najbardziej wartościowych: podczas obecności na platformie posługują się aktywnym adresem e-mail, a przez cały czas da się śledzić inne ich dane m.in. dzięki ciasteczkom (cookies) podpiętym do aplikacji click apps (pozwala na obserwowanie zachowań poza portalem). Analiza danych historycznych daje możliwość lepszej kategoryzacji, bieżący monitoring pozwala zaś na nawiązanie kontaktu w czasie rzeczywistym.

- Farma kontaktów przypomina hodowlę roślin - mówi Artur Gajda, specjalista ds. informatycznych. - Najpierw trzeba je zasadzić, czyli pozyskać adres e-mailowy, potem podlewać, czyli prowadzić komunikację, a następnie - sprzedać (gdy lead wyraża chęć kupna produktu lub usługi). Tego rodzaju działalność podlega jednak ścisłym uregulowaniom prawnym.

Obowiązki przedsiębiorcy

Podstawą prowadzenia takiej nierolniczej hodowli jest zbudowanie dużej i szczegółowej bazy danych. Zgodnie z prawem tego rodzaju zbiory dotyczące podmiotów gospodarczych nie wymagają rejestracji. Jeżeli jednak baza zawierać ma informacje dotyczące osób fizycznych, konieczne jest zweryfikowanie jej i akceptacja ze strony generalnego inspektora ochrony danych osobowych (GIODO).

Legalne procedury budowy baz danych określa ustawa z 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926). Wymaga ona, aby poinformować osobę, od której mają być pozyskane dane, o adresie siedziby i pełnej nazwie podmiotu zbierającego informacje. W przypadku gdy budową zbioru zajmuje się osoba fizyczna, powinna ona poinformować dysponenta danych osobowych przynajmniej o miejscu swojego zamieszkania oraz imieniu i nazwisku. Konieczne jest również powiadomienie o celu takiej operacji (w szczególności o odbiorcach lub grupach, które będą dysponować danymi osobowymi), a także przysługującym prawie dostępu do ich treści, możliwości poprawienia, usunięcia, dobrowolności przekazania. Jeśli budowa bazy danych nie odbywa się w celu komercyjnym, a wynika z innego obowiązku nałożonego przez prawo, zbierająca informacje firma (lub osoba fizyczna) powinna powiadomić dysponenta o podstawie takiej operacji.

- Podobne procedury obowiązują w przypadku uzyskiwania danych od innej osoby niż ich właściciel - precyzuje Artur Gajda.

Kto to taki

Warto przy tym pamiętać, jak sugerują specjaliści, że nie każda informacja dotycząca osoby fizycznej podlega ochronie. Zgodnie z prawem chodzi tylko o dane, które identyfikują konkretnego człowieka. Mogą to być więc jego imię i nazwisko, przypisane urzędowe numery, a także określenie jego cech indywidualnych (kolor oczu, charakterystyczne znamiona itp.). Bardziej ogólne informacje, takie jak na przykład numer domu, mieszkania czy wysokość wynagrodzenia, stają się danymi chronionymi dopiero w połączeniu z informacjami, które identyfikują konkretną osobę. Przykładem niewątpliwej danej osobowej jest numer PESEL. Jednak nie będzie już nią samo imię, bo nie pozwala na dokładną identyfikację. Podawany podczas zapisów w rozmaitych serwisach internetowych adres mejlowy może, choć nie musi, być daną osobową.

- Konstrukcje abstrakcyjne (takie jak na przykład leon299@onet.pl) nie spełniają wymagań, nie pozwalają bowiem na pełną identyfikację - zauważa Artur Pajkert z zajmującej się dostarczaniem rozwiązań internetowych firmy Ogicom, właściciela marki Blink.pl. - Z kolei adres zawierający imię i nazwisko, a czasem i firmę, która nie jest portalem internetowym czy innym dostawcą tego typu usług (np. jan.kowalski@poczta.polska.pl), już za taką informację uznany zostanie niemal na pewno.

Zbierając dane, trudno jednak weryfikować na bieżąco, w jakim formacie zapisywane są adresy (użytkownicy sami zgłaszają się w odpowiedzi na konkurs, subskrybcję newslettera czy inne działanie, którego celem jest budowa zbioru). - Przedsiębiorca w takiej sytuacji powinien założyć, że wszystkie adresy e-mailowe figurują jako dane osobowe - twierdzi Artur Pajkert. - Wtedy całą listę należy uznać za zbiór wymagający rejestracji.

Zgoda także na przyszłość

Zebrane w bazie kontakty powinny być oceniane pod względem jakości komercyjnej (ang. scoring), podzielone na grupy (konsument tzw. ciepły, zimny i gorący) i przygotowane do prowadzenia dalszej komunikacji marketingowej, której celem ma być podjęcie decyzji komercyjnej. Punktem wyjścia jest stworzona wcześniej przez klienta farmy charakterystyka idealnego odbiorcy. Każde przedsiębiorstwo powinno mieć własny, wykorzystywany najczęściej przez dział sprzedaży, system kwalifikacji (z ang. qualified leads).

Tego rodzaju działania, jak zauważają specjaliści, wyczerpują zawartą w ustawie definicję przetwarzania danych osobowych. Jest ono dopuszczalne, jak precyzuje ustawodawca, "tylko wtedy, gdy osoba, której takie działanie dotyczy, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej informacji" [więcej na ten temat: "Jak powinna wyglądać zgoda na przetwarzanie danych osobowych", DGP nr 196 (3334) z 9 października 2012 r.]. Przed przystąpieniem do tego rodzaju działań konieczne jest zatem uzyskanie zgody każdego dysponenta danych na przetwarzanie informacji o sobie. Najczęściej odbywa się to poprzez formularz zapisu na newsletter (regularną przesyłkę e-mailową) lub zgodę udziału w konkursie, podczas którego zbierane są dane.

- Raz uzyskana zgoda może przy tym obejmować również przetwarzanie informacji w przyszłości - precyzuje Pajkert. - Jednak pod warunkiem, że w tym czasie nie zostanie zmieniony cel pracy nad danymi. Innymi słowy, informacje będące zapisem na newsletter nie mogą posłużyć do marketingu.

Potrzebny wniosek do inspektora

Rejestracja bazy danych przeprowadzana jest poprzez wysłanie odpowiedniego wniosku do GIODO. W tym celu konieczne jest przygotowanie i prowadzenie dokumentacji zawierającej zgody subskrybentów. Jeśli przedsiębiorca sam nie czuwa nad przetwarzaniem danych, to powinien wyznaczyć do tego administratora bezpieczeństwa informacji. Jego zadaniem jest monitorowanie właściwego przechowywania danych, ochrona przed udostępnieniem ich na zewnątrz, wyniesieniem, przetwarzaniem wbrew ustawie oraz zmianą, utratą, uszkodzeniem, zniszczeniem itp. Powinien prowadzić szczegółową dokumentację opisującą sposób przetwarzania oraz podjęte w związku z tym środki bezpieczeństwa. Informacje takie nie mogą bowiem trafić w niepowołane ręce.

Jeżeli urzędnicy GIODO wykryją, że doszło do złamania ustawy (w bazie znajduje się na przykład duża liczba danych bez zgody ich właściciela), mają prawo zawiadomić organy ścigania o możliwości popełnienia przestępstwa, a te z kolei - skierować sprawę do sądu. Choć w wydawaniu wyroków w tej materii Temida na razie jest wstrzemięźliwa, to jednak za naruszenie zapisów ustawy grozi kara do roku pozbawienia wolności. Przedsiębiorca, który złamie ustawę, naraża się ponadto na sankcje administracyjne (mandaty) i cywilne (osoby pokrzywdzone mogą domagać się odszkodowania).

Inspektorzy GIODO mają prawo przeprowadzenia w pomieszczeniu, w którym zlokalizowany jest zbiór, kontroli (w godzinach od 6 rano do 22 wieczorem, po okazaniu imiennego upoważnienia i legitymacji służbowej), zażądać od właściciela pisemnych i ustnych wyjaśnień, wzywać i przesłuchiwać. Przysługuje im również wgląd do dokumentów i danych mających związek z przedmiotem kontroli. Do ich kompetencji należy sporządzanie kopii, przeprowadzenie oględzin urządzeń, nośników oraz systemów informatycznych, zlecanie sporządzenia specjalistycznych ekspertyz i opinii.

- Najczęściej jednak, jeśli do złamania ustawy dochodzi po raz pierwszy, a zbiór niezarejestrowanych informacji nie jest pokaźny, GIODO wzywa właściciela bazy do naprawienia błędów, uzupełnienia, uzyskania brakujących oświadczeń od dysponentów itp. - mówi Artur Pajkert z firmy Ogicom.

W przypadku niewykonania decyzji wydanej przez GIODO organ ten może nałożyć grzywnę, której wysokość określają przepisy ustawy z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (t.j. Dz.U. z 2012 r. poz. 1015). W przypadku osób fizycznych jej maksymalna wysokość może wynieść 10 000 zł, a gdy przedmiotem postępowania jest osoba prawna - 50 000 zł. - Nie warto łamać ustawy, bo prócz sankcji karnych i cywilnych powoduje to także straty wizerunkowe - twierdzi Pajkert. - Nowoczesna farma kontaktów nie może przypominać hodowli dzikich zwierząt.

Uwaga

Nie każda informacja dotycząca osoby fizycznej podlega ochronie. Zgodnie z prawem chodzi tylko o dane, które identyfikują konkretnego człowieka

Uwaga

Nie warto łamać ustawy, bo prócz sankcji karnych i cywilnych powoduje to także straty wizerunkowe

Przykładowa klauzula zapisu na newsletter

Wyrażam zgodę na przetwarzanie moich danych osobowych przez ............................ (nazwa firmy i adres siedziby) w celu otrzymywania drogą elektroniczną ............. (przedmiot komunikacji e-mailowej). Oświadczam, że wiem o prawie do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane te podaję dobrowolnie.

Protokół podpisany na każdej stronie

Dokument sporządzony w przypadku ewentualnej kontroli inspektorów GIODO powinien zawierać:

1) nazwę i adres kontrolowanego (w pełnym brzmieniu);

2) imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz upoważnienia inspektora;

3) imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;

4) datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli;

5) określenie przedmiotu i zakresu kontroli;

6) opis stwierdzonego w toku kontroli stanu oraz inne informacje mające znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;

7) wyszczególnienie ewentualnych załączników stanowiących część protokołu;

8) omówienie ewentualnych poprawek, skreśleń i uzupełnień;

9) podpisy inspektora i osoby reprezentującej podmiot kontrolowany (na każdej stronie protokołu);

10) wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany;

11) informację o wniesieniu lub braku zastrzeżeń i uwag do protokołu;

12) datę i miejsce podpisania protokołu przez inspektora oraz osobę lub organ reprezentujący podmiot kontrolowany.

Co ma zawierać zgłoszenie

Skierowane do generalnego inspektora ochrony danych osobowych (GIODO) zgłoszenie zbioru danych osobowych do rejestracji powinno zawierać:

1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;

2) oznaczenie administratora danych wraz z adresem jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej (jeżeli został nadany) oraz podstawę prawną upoważniającą do prowadzenia zbioru. W przypadku powierzenia przetwarzania danych innemu podmiotowi - jego oznaczenie, adres siedziby lub miejsca zamieszkania;

3) cel przetwarzania danych;

4) opis kategorii osób, których dane dotyczą wraz z zakresem przetwarzanych informacji;

5) sposób zbierania oraz udostępniania danych;

6) określenie odbiorców lub kategoriach odbiorców, którym informacje mogą być przekazywane;

7) opis środków technicznych i organizacyjnych zastosowanych w celu zabezpieczenia bazy;

8) informację o sposobie wypełnienia warunków technicznych i organizacyjnych;

9) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Maria Kamila Puch

dgp@infor.pl