Jak reklamować się w Wielkiej Brytanii zgodnie z prawem?
Czyli co musisz wiedzieć o marketingu bezpośrednim w UK.
Przepisy prawa, które regulują zasady marketingu bezpośrednio w UK to:
- The Data Protection Act 2018 (DPA) – opiera się na ośmiu zasadach dobrego przetwarzania informacji. Dają one ludziom określone prawa w odniesieniu do ich danych osobowych i nakładają określone obowiązki na organizacje, które są odpowiedzialne za ich przetwarzanie.
- Electronic Privacy and Communications Law (EC Directive 2003) (PECR) określają zasady dotyczące wysyłania materiałów marketingowych i reklam drogą elektroniczną, na przykład telefonicznie, faksem, pocztą elektroniczną, wiadomością tekstową i obrazkową lub wideo. PECR obejmuje również inne zasady dotyczące plików cookie, ksizążek telefonicznych, danych o ruchu, danych dotyczących lokalizacji i naruszeń bezpieczeństwa.
PECR są szersze niż DPA w tym sensie, że mają zastosowanie nawet wtedy, gdy organizacja nie przetwarza żadnych danych osobowych – co oznacza, że mają zastosowanie nawet wtedy, gdy organizacja nie zna nazwiska osoby, z którą się kontaktuje.
Marketing bezpośredni
Marketing bezpośredni obejmuje promocję celów i ideałów, a także sprzedaż produktów i usług. Oznacza to, że przepisy będą obejmować nie tylko organizacje komercyjne, ale także organizacje typu non-profit (np. Organizacje charytatywne, partie polityczne itp.).
Kluczowym elementem definicji jest to, że materiał musi być skierowany do konkretnych osób. Masowy marketing zbiorczy – na przykład ulotki dostarczane do każdego domu w okolicy, wkładki do czasopism lub reklamy pokazywane każdej osobie przeglądającej witrynę internetową – nie będzie zatem objęty tą definicją marketingu bezpośredniego.
Zasady marketingu bezpośredniego nie będą miały zastosowania, jeśli organizacja kontaktuje się z klientami w celu przeprowadzenia prawdziwych badań rynkowych.
Jednak organizacje prowadzące badania rynkowe będą nadal musiały przestrzegać innych przepisów Ochrony Danych Osobowych, a w szczególności zapewnić rzetelne, bezpieczne i wyłącznie do celów badawczych przetwarzanie wszelkich danych, które można zidentyfikować indywidualnie.
Organizacje nie mogą prosić firm badawczych, które zatrudniają o: promowanie swoich produktów lub przekazanie im zebranych danych do przyszłych celów sprzedażowych lub marketingowych – chyba że osoby, z którymi nawiązano kontakt, wyrażą na to zgodę, a cała komunikacja jest zgodna z PECR (np. połączenia są sprawdzane w rejestrze TPS).
Marketing zamówiony i niezamówiony
(Solicited and unsolicited)
Nie ma ograniczeń co do wysyłania marketingu zamawianego, czyli materiałów marketingowych, o które dana osoba wyraźnie poprosiła.
Zasady PECR mają zastosowanie tylko do „niezamówionych” wiadomości marketingowych, a organ ochrony danych nie będzie uniemożliwiać organizacji dostarczania informacji, o które ktoś prosił.
Zgoda
Zgoda ma zasadnicze znaczenie dla przepisów dotyczących marketingu bezpośredniego. Organizacje będą zazwyczaj potrzebować zgody osoby fizycznej, zanim będą mogły wysyłać teksty marketingowe, e-maile lub faksy, wykonywać połączenia na numer zarejestrowany w TPS lub wykonywać jakiekolwiek automatyczne połączenia marketingowe w ramach PECR.
Aby zgoda była ważna, musi być udzielona świadomie i dobrowolnie, być jasna i konkretna.
Organizacje powinny prowadzić przejrzyste rejestry tego, na co dana osoba wyraziła zgodę oraz kiedy i w jaki sposób ta zgoda została uzyskana, aby móc wykazać zgodność w przypadku skargi.
Domniemana zgoda nie wystarczy, jeśli takie oświadczenie jest przedstawione tylko jako część polityki prywatności lub informacji, które są trudne do znalezienia, trudne do zrozumienia, obszerne lub rzadko czytane. Klient nie będzie wiedział, na co się zgadza, co oznacza, że nie jest o tym poinformowany i nie ma ważnej zgody.
Do ważności zgody potrzeba, aby zaistniała jakaś forma komunikacji lub pozytywnego działania, za pomocą której jednostka jasno i świadomie wyraża zgodę.
Może to obejmować kliknięcie ikony, wysłanie wiadomości e-mail, zasubskrybowanie usługi lub ustne potwierdzenie.
Kluczową kwestią jest to, że jednostka musi w pełni zrozumieć, że jej działanie będzie traktowane jako zgoda i musi dokładnie zrozumieć, na co się zgadza. Musi być jasne i wyraźne oświadczenie wyjaśniające, że działanie oznacza zgodę na otrzymywanie wiadomości marketingowych od tej organizacji.
Pamiętaj, że organizacje nie mogą wysyłać e-maili ani SMS-ów do osób z prośbą o zgodę na przyszłe wiadomości marketingowe.
Zgoda pośrednia (udzielona osobie trzeciej)
Termin „zgoda pośrednia” obejmuje sytuacje, w których osoba mówi jednej organizacji, że zgadza się na otrzymywanie informacji marketingowych od innych organizacji. Nazywa się to czasem „zgodą pośrednią” lub „zgodą strony trzeciej”.
Zgoda pośrednia może być ważna, jeśli organizacja, która bazując na niej została konkretnie w tekście zgody wskazana.
Jeśli jednak zgoda była bardziej ogólna (np. na marketing „od wybranych stron trzecich”), nie będzie to stanowić ważnej zgody na rozmowy marketingowe, SMS-y lub e-maile.
Nie ma określonego terminu, po którym zgoda automatycznie wygasa. Jednak zgoda nie pozostanie ważna na zawsze. To, jak długo zgoda zachowa ważność, będzie zależało od kontekstu .
Oczywiście zgodę można wyraźnie wycofać w dowolnym momencie.
!Pamiętaj!
Aby zawsze prowadzić
"REJESTR ZGÓD" - "RECORD OF CONSENT"
jeśli prowadzisz Newsletter, a w nim przekazujesz treści marketingowe.
Telefony marketingowe
Organizacje mogą wykonywać niezamówione połączenia marketingowe na żywo, ale nie mogą dzwonić na żaden numer zarejestrowany w TPS, chyba że abonent (tj. osoba, która otrzymuje rachunek telefoniczny) wyraźnie poinformował ich, że nie sprzeciwia się ich rozmowom.
W praktyce oznacza to, że aby spełnić wymogi PECR, organizacje powinny przeglądać listę numerów, pod które zamierzają zadzwonić, w rejestrze TPS.
PECR nie powstrzymuje organizacji przed wykonywaniem połączeń marketingowych na numery niezarejestrowane w TPS. Jeśli jednak organizacja zna nazwisko osoby, do której dzwoni, to zgodnie z zasadami ochrony danych osobowych, może wykonać do niej połączenie w celach marketingowych tylko jeśli wcześniej uzyskała jej zgodę na to.
Organizacje nie mogą nawiązać połączenia marketingowego z numerem, który pierwotnie zebrały w zupełnie innym celu, bez uprzedniego uzyskania zgody na zmianę sposobu użytkowania zgody.
Połączenia automatyczne
Zasady dotyczące połączeń automatycznych, czyli połączeń wykonywanych przez system automatycznego wybierania, które odtwarzają nagraną wiadomość, są surowsze.
Organizacje mogą wykonywać automatyczne telefony marketingowe tylko do osób, które wyraziły zgodę na otrzymywanie od nich automatycznych połączeń telefonicznych.
Zgoda na odbieranie rozmów na żywo nie jest wystarczająca.
Wszystkie automatyczne połączenia muszą zawierać tożsamość dzwoniącego oraz adres kontaktowy lub bezpłatny numer telefonu. Organizacje muszą umożliwić wyświetlenie swojego numeru (lub alternatywnego numeru kontaktowego) osobie odbierającej połączenie.
Pamiętaj, że nie ma potrzeby sprawdzania TPS podczas wykonywania połączeń automatycznych. Nie ma znaczenia, czy numer jest zarejestrowany w TPS. Nawet jeśli numer nie znajduje się na liście TPS, to połączenie nie może być wykonane bez zgody osoby.
Połączenia między firmami
Te same zasady dotyczą połączeń marketingowych kierowanych do firm.
Przedsiębiorcy indywidualni i spółki osobowe mogą rejestrować swoje numery w TPS w taki sam sposób, jak konsumenci indywidualni, podczas gdy firmy i inne podmioty korporacyjne rejestrują się w korporacyjnej usłudze preferencji telefonicznych (CTPS).
Tak więc organizacja wykonująca połączenia marketingowe między przedsiębiorstwami będzie musiała sprawdzić zarówno rejestry TPS, jak i CTPS.
Teksty marketingowe i e-maile – do osób fizycznych
Organizacje mogą generalnie wysyłać teksty marketingowe lub e-maile do osób fizycznych (w tym właścicieli jednoosobowych działalności – self employed i spółek partnerskich) tylko wtedy, gdy ta osoba wyraziła wyraźną zgodę na ich otrzymywanie.
Zgoda pośrednia (tj. Zgoda pierwotnie udzielona stronie trzeciej) prawdopodobnie nie będzie wystarczająca.
Ta sama zasada dotyczy wszelkich materiałów marketingowych wysyłanych i przechowywanych w formie elektronicznej, w tym wiadomości e-mail, tekstów, zdjęć, filmów, poczty głosowej, automatycznej sekretarki i niektórych wiadomości w sieciach społecznościowych.
Organizacje muszą podać – w takiej wiadomości – ważny adres kontaktowy dla osób fizycznych, aby mogły zrezygnować lub anulować subskrypcję.
Dobrą praktyką jest umożliwienie poszczególnym osobom bezpośredniej odpowiedzi na wiadomość i rezygnacji w ten sposób, podanie w wiadomościach e-mail jasnego i funkcjonalnego łącza do rezygnacji z subskrypcji lub przynajmniej podanie bezpłatnego numeru telefonu.
Teksty marketingowe i e-maile – do firm
Zgoda nie jest wymagana – jedynym wymogiem jest to, że nadawca musi się zidentyfikować i podać dane kontaktowe.
Abonenci korporacyjni nie obejmują firm jednoosobowych ani spółek partnerskich, które zamiast tego cieszą się taką samą ochroną jak osoby prywatne.
Ponadto wielu pracowników ma osobiste firmowe adresy e-mail (np. Imię.nazwisko@org.co.uk), a poszczególni pracownicy będą mieli prawo zgodnie z sekcją 11 DPA do powstrzymania wszelkich działań marketingowych wysyłanych na tego typu adres e-mail.
Poczta marketingowa – tradycyjne listy
PECR nie obejmuje marketingu pocztowego, ale organizacje wysyłające pocztę marketingową do wskazanych osób muszą przestrzegać Prawa Ochrony Danych Osobowych.
Nie można wysyłać wiadomości marketingowych, jeśli adres został pierwotnie zebrany w zupełnie innym celu. Organizacjom nie wolno też wysyłać wiadomości marketingowych do osób, które wyraziły sprzeciw lub zrezygnowały. Organizacje muszą niezwłocznie zastosować się do wszelkich pisemnych zastrzeżeń zgodnie z sekcją 11 DPA.
Osoby fizyczne mogą zarejestrować swój adres w usłudze Mail Preference Service (MPS), która działa na podobnej zasadzie jak TPS.
DPA nie wymaga od organizacji, aby sprawdzały odbiorcę listu pod kątem MPS, ale jest to wymóg prawny wynikający z przepisów dotyczących ochrony konsumentów przed nieuczciwym handlem z 2008 r. (Consumer Protection from Unfair Trading Regulations 2008) . Dlatego radzimy organizacjom, aby zawsze sprawdzały zgodność z MPS.
Jeżeli organizacja wysyła pocztę marketingową na każdy adres w okolicy i nie zna tożsamości osób, to nie przetwarza danych osobowych w celach marketingu bezpośredniego, a zasady DPA nie będą miały zastosowania.
Przykładowe kary w UK
ICO wydała mandaty pieniężne w ramach PECR na szereg organizacji.
Na firmę zajmującą się majsterkowaniem domu (Home2sense Limited) nałożono grzywnę w wysokości £200 000 za wykonanie ponad pół miliona niezamawianych telefonów marketingowych.
Wykonywanie automatycznych telefonów marketingowych bez zgody:
- Zarządzanie energią w domu i stylem życia £ 200.000
- Direct Security Marketing Ltd – £ 70 000
Wykonywanie wielokrotnych rozmów marketingowych na żywo z numerami podanymi w TPS bez uprzedniej zgody i ignorowanie sprzeciwów ludzi co do tych połączeń:
- Telecom – Protection Service Ltd – £ 80 000
- Nuisance Call Blocker Ltd – £90 000
Wysyłanie e-maili marketingowych bez zgody:
- Telegraph Media Group Ltd – £ 30 000
Wysyłanie marketingowych wiadomości tekstowych bez zgody:
- Parklife Manchester Ltd – £ 70 000
Apteka internetowa Pharmacy 2U oferowała sprzedaż nazwisk i adresów swoich klientów za pośrednictwem firmy zajmującej się marketingiem online. Jednak Pharmacy 2U nie poinformowała swoich klientów, że zamierza sprzedać ich dane.
ICO stwierdziło, że firma złamała pierwszą zasadę ochrony danych osobowych dotyczącą rzetelnego i zgodnego z prawem przetwarzania danych osobowych i nałożył na firmę karę pieniężną w wysokości £ 130 000 .
Pracownica branży motoryzacyjnej została oskarżona o przekazanie danych osobowych usługobiorców firmie zajmującej się obsługą roszczeń powypadkowych bez upoważnienia. Sporządziła ona bezprawnie – listy danych o wypadkach drogowych, w tym częściowe nazwiska, numery telefonów komórkowych i numery rejestracyjne, mimo braku pozwolenia od swoich pracodawców.
Następnie – bezprawnie – przekazała uzyskane dane dyrektorowi firmy zajmującej się roszczeniami z wypadków.
Obie te osoby zostały skazane na osiem miesięcy pozbawienia wolności w zawieszeniu na dwa lata jak również otrzymały nakaz wykonania 100 godzin nieodpłatnej pracy i pokrycia kosztów po 1000 funtów.
Dodatkowo sąd postanowił, że pracownica musi zapłacić kwotę £ 25 000, a dyrektor firmy zajmującej się odszkodowaniami – kwotę £ 15 000.
Należy pamiętać, że zgodnie z sekcją 55 DPA sprzedawanie lub oferowanie sprzedaży listy marketingowej stanowi przestępstwo, jeśli jakiekolwiek dane klienta zostały świadomie lub lekkomyślnie uzyskane od innego administratora danych bez jego zgody.
