Networking i harvesting a RODO – gdzie kończy się legalny lead?

Networking jest jednym z podstawowych narzędzi sprzedaży i rozwoju biznesu. Konferencje, targi, LinkedIn, spotkania branżowe – wszędzie tam wymieniamy się kontaktami, dodajemy się do sieci, wracamy do biura z garścią nowych leadów. Problem zaczyna się wtedy, gdy te działania automatycznie „wpadają” do CRM, kampanii marketingowych lub masowych follow-upów.

Fakt, że kontakt został nawiązany, nie oznacza jeszcze, że dane osobowe mogą być wykorzystywane dowolnie. RODO nie blokuje networkingu, ale bardzo wyraźnie wyznacza jego granice. Poniżej pokazujemy, gdzie te granice przebiegają w praktyce.

Zobacz podsumowanie w mniej, niż 3 minuty

Dane z publicznie dostępnych rejestrów – kiedy wolno je zbierać i wykorzystywać

W praktyce sprzedaży i marketingu często pojawia się pytanie: skoro dane są w publicznym rejestrze (np. KRS, CEIDG, strona internetowa firmy), to czy można je swobodnie wykorzystywać do celów biznesowych?

Ważne: publiczna dostępność danych nie oznacza automatycznej zgody na ich dowolne przetwarzanie. RODO nadal ma zastosowanie – zmienia się jedynie punkt wyjścia do analizy.

Co do zasady, dane z publicznych rejestrów mogą być legalnie pozyskiwane i przetwarzane, jeżeli:

• cel przetwarzania jest zgodny z funkcją danego rejestru (np. kontakt biznesowy, weryfikacja kontrahenta),
• administrator może oprzeć się na prawnie uzasadnionym interesie (art. 6 ust. 1 lit. f RODO),
• osoba, której dane dotyczą, może racjonalnie spodziewać się takiego kontaktu.

Orzecznictwo (np. wyrok NSA z 19.09.2023 r. III OSK 2538/21) potwierdza, że sam fakt pozyskania danych z rejestru publicznego nie zwalnia z obowiązku informacyjnego, ale może wpływać na moment i sposób jego realizacji.

Zwróć uwagę: Czym innym jest jednorazowy kontakt biznesowy z osobą pełniącą funkcję publicznie ujawnioną, a czym innym masowe budowanie baz marketingowych na podstawie rejestrów.

Networking offline – wizytówka to nie zgoda „na wszystko”

Klasyczny scenariusz: konferencja, rozmowa przy kawie, wymiana wizytówek. Z perspektywy biznesowej to naturalny początek relacji. Z perspektywy RODO – to dopiero punkt wyjścia, a nie carte blanche na dalsze działania.

Zwróć uwagę: przekazanie wizytówki nie jest równoznaczne ze zgodą na przetwarzanie danych w celach marketingowych ani na dodanie kontaktu do CRM. Wizytówka oznacza co najwyżej gotowość do kontaktu w zakresie, który logicznie wynika z rozmowy.

Co jest zazwyczaj dopuszczalne:

• wysłanie wiadomości typu follow-up po spotkaniu,
• przesłanie obiecanego materiału lub oferty,
• doprecyzowanie wątku, który pojawił się w rozmowie.

Co zaczyna być problematyczne:

• automatyczne dodanie kontaktu do bazy mailingowej,
• wciągnięcie danych do długofalowej kampanii marketingowej,
• udostępnienie wizytówki innym działom lub spółkom z grupy.

Pamiętaj: im dalej od kontekstu spotkania, tym słabsza podstawa prawna uzasadnionego interesu (art. 6 ust. 1 lit. f RODO). W praktyce pierwszy, indywidualny kontakt jest do obrony. Hurtowe działania – już nie bez dodatkowych kroków (np. spełnienia obowiązku informacyjnego lub uzyskania zgody).

LinkedIn i dane publiczne – publiczne nie znaczy „do dowolnego użycia”

LinkedIn to dziś jedno z głównych źródeł leadów B2B. I właśnie dlatego jest jednym z najczęstszych obszarów błędów RODO w sprzedaży i marketingu.

Ważne: sam fakt, że dane są publicznie dostępne, nie znosi obowiązków wynikających z RODO. Profil na LinkedInie nie jest zgodą na dowolne przetwarzanie danych w celach biznesowych.

W praktyce można oprzeć się na prawnie uzasadnionym interesie, ale tylko pod pewnymi warunkami:

• kontakt ma charakter 1-do-1, a nie masowy,
• cel kontaktu jest zawodowy i jasno komunikowany,
• osoba może racjonalnie spodziewać się takiego kontaktu,
• istnieje realna możliwość sprzeciwu.

Zwróć uwagę: momentem granicznym jest skala i automatyzacja. Ręczne zaproszenie do sieci i spersonalizowana wiadomość to jedno. Eksport profili do CRM, automatyczne sekwencje wiadomości lub cold mailing – to zupełnie inna kategoria ryzyka.

Harvesting i scraping danych – dlaczego to niemal zawsze zły pomysł

Harvesting i data scraping to zbieranie danych z internetu – ręcznie lub automatycznie – bez realnej relacji z osobą, której dane dotyczą. Listy leadów „z LinkedIna”, boty zbierające adresy e-mail, wtyczki eksportujące profile – to rozwiązania, które kuszą obietnicą szybkiego efektu.

Ważne: w większości takich scenariuszy bardzo trudno (a często wręcz niemożliwe) jest wykazanie legalnej podstawy przetwarzania danych. Osoba, której dane są zbierane, nie spodziewa się kontaktu, nie zna administratora i nie ma realnej możliwości skorzystania ze swoich praw.

Dodatkowo często naruszane są regulaminy platform, obowiązek informacyjny bywa niewykonalny w praktyce, znacząco rośnie ryzyko skarg i kontroli.

Pamiętaj: to nie jest „sprytna sprzedaż”, tylko kumulacja ryzyk prawnych i wizerunkowych.

Gdzie jest granica? Szybki test dla sprzedaży i marketingu

Jeżeli masz wątpliwości, zatrzymaj się na chwilę i odpowiedz sobie na cztery pytania:

• Czy ta osoba może rozsądnie spodziewać się kontaktu?
• Czy cel kontaktu wynika z kontekstu spotkania lub profilu?
• Czy kontakt jest indywidualny, a nie masowy?
• Czy dajesz prostą i realną możliwość sprzeciwu?

Jeżeli na którekolwiek pytanie odpowiadasz „nie” – to sygnał ostrzegawczy.

Jak ustawić networking zgodnie z RODO – praktyczne rekomendacje

Chcesz prowadzić sprzedaż i networking bez ciągłego zastanawiania się „czy to legalne”? Kluczowe są jasne zasady wewnętrzne.

Pamiętaj o:

• określeniu, kiedy kontakt trafia do CRM, a kiedy nie,
• rozróżnieniu follow-upu od marketingu masowego,
• ustaleniu, kto i w jaki sposób realizuje obowiązek informacyjny,
• przeszkoleniu zespołów sprzedaży i marketingu z podstaw RODO w praktyce.

RODO nie zabija sprzedaży. Ale źle ustawione procesy sprzedażowe bardzo łatwo zabijają zgodność z RODO. Jeżeli chcesz uporządkować networking, prospecting i działania marketingowe w swojej firmie – pomagamy wyznaczyć te granice zanim zrobi to organ nadzorczy albo niezadowolony odbiorca.

Obowiązek informacyjny – art. 13 czy 14 RODO i kiedy go spełnić

Jednym z najczęstszych błędów w sprzedaży i marketingu nie jest sam kontakt, lecz brak lub opóźnienie obowiązku informacyjnego.

Kluczowe rozróżnienie:

Art. 13 RODO – gdy dane pozyskujesz bezpośrednio od osoby, np.:

• rozmowa na konferencji,
• wizytówka,
• formularz kontaktowy,
• wiadomość na LinkedIn.

Art. 14 RODO – gdy dane pozyskujesz pośrednio, np.:

• z LinkedIna bez interakcji,
• z rejestrów publicznych,
• z researchu prowadzonego przez sprzedaż lub marketing.

Ważne: Przy art. 14 RODO obowiązek informacyjny należy spełnić najpóźniej przy pierwszym kontakcie z osobą, a nie „kiedyś później”. W praktyce oznacza to, że informacja o przetwarzaniu danych powinna pojawić się:

• w pierwszym mailu,
• w pierwszej wiadomości na LinkedIn,
• albo w pierwszej rozmowie telefonicznej.

Pamiętaj: Brak obowiązku informacyjnego to jeden z najprostszych zarzutów, jakie może postawić organ nadzorczy i jeden z najłatwiejszych do uniknięcia. Dlatego zapoznaj się z artykułem na naszym Blogu, który dotyczy właśnie 7 błędów przy dopełnianiu obowiązku informacyjnego – Poradnik.

Kiedy można kontaktować się bez zgody, a kiedy zgoda jest konieczna

To rozróżnienie jest kluczowe dla marketingu – i często źle rozumiane.

Możesz kontaktować się bez zgody, jeżeli:

• działasz w oparciu o prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO),
• kontakt jest indywidualny, a nie masowy,
• cel kontaktu wynika z kontekstu (spotkanie, profil zawodowy, funkcja),
• zapewniasz możliwość sprzeciwu,
• spełniasz obowiązek informacyjny.

Dotyczy to w szczególności:

• follow-upów po spotkaniach,
• kontaktów B2B 1-do-1,
• zapytań ofertowych,
• pierwszego kontaktu sprzedażowego o charakterze relacyjnym.

Zgoda będzie potrzebna, gdy:

• chcesz prowadzić marketing masowy,
• planujesz regularną komunikację marketingową,
• wykorzystujesz dane do newsletterów, kampanii, automatycznych sekwencji,
• nie ma wyraźnego kontekstu relacyjnego.

Zwróć uwagę: RODO i przepisy o komunikacji elektronicznej często działają równolegle – nawet jeśli RODO pozwala na kontakt, inne regulacje mogą wymagać zgody.

Checklistа RODO dla działów sprzedaży i business development

Zanim skontaktujesz się z nowym leadem, sprawdź:

• Skąd masz dane?

Czy kontakt pochodzi z rozmowy, wizytówki, LinkedIna, czy z listy wygenerowanej automatycznie?

• Czy osoba może racjonalnie spodziewać się kontaktu?

Jeśli nie było rozmowy, interakcji lub wyraźnego kontekstu – ryzyko znacząco rośnie.

• Jaki jest cel kontaktu?

Follow-up po spotkaniu lub rozmowie to co innego niż próba sprzedaży „z zimnej bazy”.

• Czy kontakt jest indywidualny czy masowy?

Automatyzacja i skala bardzo szybko przesuwają działania w obszar wysokiego ryzyka RODO.

• Czy informujesz o przetwarzaniu danych?

Przy pierwszym kontakcie zadbaj o jasną informację, kim jesteś i w jakim celu się kontaktujesz.

• Czy dajesz prostą możliwość sprzeciwu?

Odbiorca powinien móc łatwo powiedzieć „nie” – bez formularzy i barier.

• Czy wiesz, kiedy kontakt trafia do CRM?

Upewnij się, że masz wewnętrzne zasady, które jasno określają ten moment.

Ważne: jeśli na którymkolwiek etapie pojawiają się wątpliwości, lepiej zatrzymać proces i sprawdzić podstawę prawną, niż „iść na skróty” i ryzykować skargę lub kontrolę.

Autor: Jacek Bogusławski