Rozporządzenie RODO, które zacznie być stosowane 25 maja br., wprowadza wiele istotnych zmian w zakresie przetwarzania danych osobowych w celach marketingowych, reklamowych oraz PR-owych. Aby zapewnić, że działania te będą po 25 maja 2018 r. zgodne z obowiązującymi przepisami o ochronie danych osobowych, nie trzeba całkowicie zmieniać dotychczasowego sposobu przetwarzania danych. Konieczne okaże się jednak przeanalizowanie czynności, których dokonuje w ich ramach administrator, oraz dostosowanie się do nowych lub rozbudowanych obowiązków wynikających z przepisów RODO.
25 maja 2018 r. zacznie być stosowane RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1). Weszło ono w życie już w maju 2016 r., ale unijny legislator dał przedsiębiorcom dwa lata na dostosowanie się do wymagań. W serii artykułów poradniczych przybliżamy najważniejsze zmiany i nowe obowiązki w zakresie ochrony danych osobowych wynikające z RODO.
Pierwszym skojarzeniem z przetwarzaniem danych osobowych w celach marketingowych, reklamowych lub PR-owych są często obszerne bazy danych klientów czy też listy subskrypcyjne newsletterów. Jednak należy pamiętać, że danymi osobowymi przetwarzanymi dla celów marketingowych mogą być chociażby imię i nazwisko widniejące na wizytówce czy też adres e-mail przechowywany w skrzynce firmowej, o ile zostaną wykorzystane w celach marketingowych. Każde przetwarzanie tych danych osobowych (czyli informacji o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej) rozumiane jako operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, pociąga za sobą konieczność przestrzegania obowiązujących w tym zakresie przepisów prawa.
ZGODNIE Z PRAWEM, CZYLI JAK
Podstawową zasadą przetwarzania danych osobowych jest zapewnienie przetwarzania ich zgodnie z prawem. W praktyce oznacza to, że administrator (czyli podmiot decydujący o celach i zasadach przetwarzania danych osobowych) powinien móc wykazać w razie kontroli organu nadzorczego, iż każda dokonywana przez niego czynność przetwarzania jest oparta na jednej z podstaw prawnych przetwarzania, wymienionych w art. 6 ust. 1 RODO. W przypadku przetwarzania danych osobowych na potrzeby działań marketingowych, reklamowych oraz PR-owych, taką podstawę może stanowić przede wszystkim:
● prawnie uzasadniony interes administratora,
● zgoda osoby, której dane dotyczą.
SZERSZE ROZUMIENIE UZASADNIONEGO INTERESU
Należy zauważyć, że przetwarzanie danych w szeroko rozumianych celach marketingowych opierało się dotychczas na analogicznych podstawach. W przepisach RODO wprowadzone zostały niewielkie zmiany, które jednak mogą wywołać duże skutki w obszarze marketingu. Chodzi tu przede wszystkim o szersze rozumienie pojęcia prawnie uzasadnionego interesu, który dotychczas był ujmowany jako „marketing bezpośredni towarów lub usług własnych”. W motywie 47 preambuły do RODO jako przykład działania na podstawie prawnie uzasadnionego interesu został wskazany marketing bezpośredni – bez ograniczenia go do własnych towarów lub usług. Oznacza to, że w przypadku prowadzenia działań marketingowych na tej podstawie nie będzie konieczne pozyskiwanie zgody.
PRAWO DO SPRZECIWU
W takim przypadku jednak każda osoba, której dane osobowe są przetwarzane na podstawie takiej przesłanki, będzie mogła wnieść w dowolnym momencie bezpłatnie sprzeciw wobec takiego przetwarzania. Dla administratora będzie to równoznaczne z koniecznością zaprzestania przetwarzania i usunięcia danych. Administrator jest zobowiązany poinformować osobę, której dane przetwarza, o przysługiwaniu jej takiego prawa. Zgodnie z motywem 70 preambuły do RODO prawo to powinno zostać przedstawione jasno i oddzielnie od wszelkich innych informacji.
Powołanie się na przesłankę uzasadnionego interesu wymaga wykazania, że interes ten istnieje przez cały czas przetwarzania danych oraz że nie przeważa nad nim interes osoby, której dane dotyczą. Dlatego też łatwiejsze jest powoływanie się na tę przesłankę w przypadku prowadzenia komunikacji marketingowej wobec osób, które są już klientem administratora lub z którymi administrator ma inną relację, niż wobec osób, z którymi administrator nie miał nigdy wcześniej kontaktu.
CO ZE STARYMI ZGODAMI
W praktyce przeważająca większość czynności przetwarzania danych na potrzeby komunikacji marketingowej odbywa się na podstawie uprzednio wyrażonej zgody osoby, której dane dotyczą. Oparcie się na przesłance zgody zebranej przed rozpoczęciem stosowania RODO będzie możliwe także po 25 maja 2018 r., o ile zgody takie spełniają wymagania zawarte w przepisach RODO (zgody powinny być konkretne, jednoznaczne, świadome i dobrowolne).
Jeśli tak nie jest lub administrator nie będzie mógł wykazać uzyskania uprzednio takiej zgody, będzie to równoznaczne z koniecznością sporządzenia nowych klauzul zawierających zapytanie o zgodę na przetwarzanie danych osobowych, a następnie pozyskaniem właściwych zgód.
WARUNKI, JAKIE MUSI SPEŁNIAĆ ZAPYTANIE
Zapytanie o zgodę na przetwarzanie danych osobowych powinno:
● być odpowiednio odseparowane od innych treści,
● odnosić się do konkretnego celu, w jakim dane osobowe mają być przetwarzane,
● umożliwiać wyrażenie zgody w sposób dobrowolny i świadomy,
● umożliwiać wyrażenie zgody wyłącznie w sposób jednoznaczny, w drodze czynności o charakterze potwierdzającym,
● być przedstawione w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem,
● zawierać odpowiedni zakres informacji na temat sposobu przetwarzania danych przez administratora.
WYMÓG KONKRETNOŚCI
Jeszcze do niedawna w branży e-commerce powszechna była praktyka polegająca na formułowaniu klauzul zgody na przetwarzanie danych osobowych w taki sposób, że była ona udzielana łącznie dla celów realizacji usługi (np. płatności elektronicznej) oraz dla celów marketingowych. Na gruncie RODO taka praktyka jest niedopuszczalna, gdyż rozporządzenie wymaga, aby osoba, której dane osobowe dotyczą, wyraziła zgodę na ich przetwarzanie w konkretnym, wyraźnie wskazanym celu. Jeżeli zatem przetwarzanie ma służyć różnym celom, potrzebna jest odrębna zgoda na wszystkie te cele.
W tym miejscu należy zasygnalizować, że zgodnie ze stanowiskiem Grupy Roboczej Art. 29 (organu doradczego Komisji Europejskiej ds. ochrony danych osobowych, dalej: Grupa Robocza) wyrażonym w opinii 03/2013 w sprawie ograniczenia celu przetwarzania, określenie „cele marketingowe” ma charakter generalny, niejednoznaczny. Jak wskazała Grupa, w przypadku nieudzielenia dodatkowych informacji takie sformułowanie celu przetwarzania może się okazać niewystarczająco konkretne. Dlatego też dobrą praktykę stanowi jego wskazanie w sposób bardziej precyzyjny, np. „wysyłka newslettera”, „otrzymywanie bonów rabatowych drogą e-mailową” itp.
ODSEPAROWANIE OD INNYCH
Należy wspomnieć ponadto, że przy prowadzeniu komunikacji marketingowej czy też reklamowej drogą elektroniczną, zgoda na przetwarzanie danych osobowych nie będzie przeważnie jedyną zgodą, do uzyskania której zobligowany będzie administrator na podstawie obowiązujących przepisów prawa. W przepisach ustawy o świadczeniu usług drogą elektroniczną zawarty został wymóg uzyskania zgody na przesyłanie informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Natomiast na podstawie przepisów ustawy – Prawo telekomunikacyjne możliwość używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego została uzależniona od uprzedniego uzyskania właściwej zgody abonenta bądź użytkownika końcowego. W przypadku, w którym aktywność marketingowa lub reklamowa wymagałaby wystąpienia z zapytaniem o wspomniane zgody, należy pamiętać, że zapytanie o zgodę na przetwarzanie danych osobowych – nawet jeżeli znajduje się w tym samym dokumencie – musi zostać odpowiednio odseparowane.
Lista czynności kontrolnych
Co powinien zrobić przedsiębiorca w stosunku do przetwarzanych danych osobowych jeszcze przed 25 maja 2018 r.:
● ustalić podstawę prawną przetwarzania;
● sporządzić klauzule informacyjne i zrealizować obowiązek informacyjny;
● jeśli dane osobowe przetwarzane są na podstawie zgody – uzyskać zgody osób, których dane dotyczą, spełniających wymogi określone w RODO oraz poinformować ich o przysługującym im prawie do wycofania zgody;
● w zakresie osób, których dane przetwarzane są na podstawie prawnie uzasadnionego interesu – poinformować ich o przysługującym im prawie do sprzeciwu wobec przetwarzania;
● przeanalizować kwestie szczególne, takie jak profilowanie czy prowadzenie działań marketingowych wobec dzieci z wykorzystaniem ich danych;
● zawrzeć odpowie umowy powierzenia przetwarzania danych, jeśli kwestie marketingowe, reklamowe czy też PR-owe zlecane są zewnętrznej agencji. ⒸⓅ
FORMA, CZYLI NIE ZAWSZE NA PIŚMIE
Co do zasady zgoda może zostać wyrażona w dowolnej formie – w szczególności w postaci pisemnego (w tym elektronicznego) lub ustnego oświadczenia. Należy zauważyć jednak, że przepisy RODO zobowiązują administratora do wykazania, iż osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. W przypadku kontroli organu nadzorczego udowodnienie przez administratora, że otrzymał on zgodę wyrażoną ustnie, może się okazać problematyczne. Na gruncie RODO nie można jednak w sposób odgórny wykluczyć takiej sytuacji.
W motywie 32 preambuły do RODO wyjaśnione zostało, że wyrażenie zgody może polegać na:
● zaznaczeniu okienka wyboru podczas przeglądania strony internetowej,
● wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego (chodzi tu o pliki cookies), lub też
● innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.
Klasyczna klauzula zgody sporządzana na piśmie oraz podpisywana następnie przez osobę, której dane dotyczą, jest zatem tylko jednym z możliwych sposobów uzyskania zgody na przetwarzanie danych osobowych. Możliwe są inne, mniej konwencjonalne sposoby. Grupa Robocza w opublikowanych wytycznych dotyczących wyrażenia zgody na przetwarzanie danych osobowych wskazuje m.in. na dopuszczalność wyrażenia takiej zgody przez przesunięcie ekranu smartfona we wskazanym kierunku bądź pomachanie do zainstalowanej w nim kamery.
WYMÓG JEDNOZNACZNOŚCI
Za każdym razem, niezależnie od formy, czynność wyrażenia zgody musi być jednak jednoznaczna oraz mieć charakter potwierdzający (nie można bowiem domniemywać jej wyrażenia). Dlatego też oznaką jej wyrażenia nie może być milczenie, domyślnie zaznaczone okienko lub innego rodzaju niepodjęcie działania przez osobę, której dane dotyczą.
W odniesieniu do zgód wyrażanych w odpowiedzi na elektroniczne zapytanie, rozporządzenie wskazuje ponadto, że zapytanie takie musi być jasne, zwięzłe i nie zakłócać niepotrzebnie korzystania z usługi, której dotyczy.
KLIENT MUSI MIEĆ ŚWIADOMOŚĆ, CO PODPISUJE
Kolejnym wymogiem nałożonym przepisami RODO na administratora występującego z zapytaniem o zgodę na przetwarzanie danych osobowych jest sformułowanie tego zapytania w formie zrozumiałej i łatwo dostępnej, a ponadto jasnym i prostym językiem. Obowiązek ten służy zapewnieniu realizacji wyrażonej w rozporządzeniu zasady transparentności przetwarzania danych osobowych, zgodnie z którą dane powinny być przetwarzane w sposób przejrzysty dla osoby, której dotyczą. Sformułowanie zapytania w sposób czytelny dla odbiorcy umożliwia mu ponadto wyrażenie zgody w sposób świadomy, co stanowi jeden z warunków jej ważności. Forma zapytania oraz użyty w nim język powinien być dopasowany do profilu odbiorcy informacji. W szczególności można w tym zakresie dokonać rozróżnienia pomiędzy konsumentem a przedsiębiorcą. Celowe wydaje się również dostosowanie formy oraz treści zapytania do rodzaju świadczonych przez siebie usług – dla przykładu banki zazwyczaj komunikują się ze swoimi klientami w sposób odmienny od producentów gier komputerowych.
Główne wymogi, jakie powinna spełniać zgoda zgodnie z art. 6 RODO, to:
DOBROWOLNOŚĆ – zgoda musi oznaczać możliwość realnego, swobodnego wyboru, nie może być wymuszona; brak wyrażenia zgody nie może również powodować negatywnych konsekwencji dla osoby, której dane dotyczą; motyw 43 RODO zwraca szczególną uwagę w tym kontekście na sytuację, w której istnieje wyraźny brak równowagi pomiędzy administratorem a osobą, której dane dotyczą, np. w relacji pracodawca – pracownik;
KONKRETNOŚĆ – zgoda musi określać precyzyjnie cel przetwarzania danych oraz wskazywać zakres danych; niedopuszczalne jest zbieranie zgód blankietowych, ogólnych; należy również wyraźnie oddzielić informacje związane z uzyskaniem zgody od informacji dotyczących innych kwestii;
ŚWIADOMOŚĆ – przed uzyskaniem zgody należy zapewnić niezbędne informacje osobom, których dane dotyczą, aby umożliwić im podejmowanie świadomych decyzji i zrozumienie, na co wyrażają zgodę; prosząc o zgodę, administratorzy powinni się upewnić, że używają jasnego i prostego języka;
JEDNOZNACZNOŚĆ – ważna zgoda wymaga jednoznacznego okazania w formie oświadczenia lub wyraźnego działania potwierdzającego, co oznacza, że osoba, której dane dotyczą, musi podjąć celowe działanie w celu wyrażenia zgody na określone przetwarzanie.
Źródło: Art. 6 RODO, GIODO
O CZYM POWINNA INFORMOWAĆ KLAUZULA ZGODY
Niezależnie od przyjętych założeń w zakresie formy zapytania o zgodę na przetwarzanie danych osobowych oraz użytego w nim języka, powinno ono zawierać istotne informacje na temat planowanego przetwarzania. Z uwagi na brak uregulowania tej kwestii w RODO, wytyczne w tym zakresie zapewnia Grupa Robocza. Zgodnie z jej rekomendacjami, klauzula zgody powinna informować przynajmniej:
● o osobie administratora,
● o celu przetwarzania,
● o kategoriach danych, które mają być przetwarzane,
● o prawie do wycofania zgody na przetwarzanie,
● o wykorzystywaniu danych do zautomatyzowanego podejmowania decyzji, w tym profilowania (jeżeli zachodzi taka okoliczność),
● o możliwych ryzykach związanych z przekazywaniem danych do państw trzecich, w razie gdyby państwa te nie zapewniały odpowiedniego poziomu ochrony oraz właściwych zabezpieczeń (jeżeli zachodzi taka okoliczność).
Zawarcie wskazanych powyżej informacji w zapytaniu o zgodę na przetwarzanie danych osobowych ma na celu zapewnienie, że wyrażenie zgody odbędzie się w sposób świadomy, a zgoda nie będzie miała charakteru iluzorycznego.
NIE ZAWSZE WARTO PRZECHOWYWAĆ ZBĘDNE DANE
Jak widać, zgoda na przetwarzanie danych osobowych musi spełniać wiele wymogów, aby mogła być wiążąca na gruncie przepisów RODO. Należy jednak pamiętać, że jej niewątpliwą zaletą jest możliwość przetwarzania danych na jej podstawie tak długo, aż nie zostanie ona wycofana przez osobę, której danej dotyczą. Trzeba jednak każdorazowo rozważyć, czy uwzględniając koszty długotrwałego przechowywania danych oraz – niemożliwe do całkowitego wyeliminowania – ryzyko ich wycieku, realne marketingowe korzyści uzasadniają przechowywanie danych tak długo, aż osoba, której one dotyczą, nie wycofa zgody na ich przetwarzanie.
WYCOFANIE ZGODY MOŻLIWE W KAŻDYM MOMENCIE
W zakresie prawa do wycofania zgody, analogicznie jak w przypadku sprzeciwu wobec przetwarzania danych na podstawie prawnie uzasadnionego interesu administratora, w momencie wycofania zgody administrator jest zobowiązany do zaprzestania przetwarzania oraz do usunięcia danych.
Zanim zgoda zostanie wyrażona, administrator powinien poinformować osobę, której dane dotyczą, o przysługującym jej prawie do wycofania zgody oraz o tym, że wycofanie zgody nie wpływa na ważność przetwarzania dokonanego przed takim wycofaniem.
Z przepisów RODO wynika ponadto, że wycofanie zgody musi być równie łatwe jak jej wyrażenie. W sytuacji, w której wyrażenie zgody odbywałoby się przez zaznaczenie okienka wyboru podczas przeglądania strony internetowej, a jej wycofanie wymagałoby np. wysłania odpowiedniego formularza pocztą tradycyjną, prawo do swobodnego wycofania zgody miałoby charakter fikcyjny. Procedura wycofania zgody byłaby bowiem znacznie bardziej skomplikowana niż procedura jej wyrażenia. To mogłoby spowodować, że osoby pragnące wycofać zgodę na przetwarzanie ich danych osobowych ostatecznie by tego nie dokonały, zniechęcone formalnościami, lub dokonałyby tego w późniejszym terminie, niż planowały.
REALIZACJA OBOWIĄZKU INFORMACYJNEGO NA NOWYCH ZASADACH
Ogólnym wymogiem, jaki musi zostać spełniony przez administratorów danych na gruncie rozporządzenia, jest konieczność zrealizowania obowiązku informacyjnego.
Obowiązek informacyjny musi być co do zasady realizowany za każdym razem, gdy zbieramy dane od osoby, której one dotyczą, bądź gdy wchodzimy w ich posiadanie w inny sposób. W praktyce sprowadza się to do przekazania informacji wskazanych w art. 13 i 14 rozporządzenia, w zakresie celów i podstawy prawnej przetwarzania, odbiorców danych, okresu przechowywania danych czy też uprawnień przysługujących osobie, której dane dotyczą, w tym o prawie złożenia skargi do organu nadzorczego. Wymóg ten musi zostać zrealizowany w stosunku do każdej osoby, której dane osobowe przetwarzamy, niezależnie od celu przetwarzania.
W odniesieniu do przetwarzania danych w celach marketingowych, reklamowych oraz PR-owych, należy zwrócić uwagę jeszcze na kilka szczególnych kwestii wynikających ze specyfiki tego rodzaju działalności.
PODWYŻSZONY POZIOM OCHRONY NIELETNICH
W przepisach RODO wskazana została konieczność szczególnej ochrony danych osobowych dzieci, w tym w razie ich wykorzystywania do celów marketingowych, tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich. Podwyższony poziom ochrony w tym zakresie jest uzasadniony, gdyż „mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych”. W tym zakresie należy jedynie krótko wspomnieć o problematycznej kwestii udzielania zgody na przetwarzanie danych osobowych przez dziecko w przypadku usług społeczeństwa informacyjnego. Zgodnie z przepisami RODO będzie ona ważna, jeśli dziecko ukończyło 16 lat (granica ta może być, przez wprowadzenie stosownej regulacji, obniżona przez państwa członkowskie nawet do 13. roku życia). W przypadku dziecka, które nie ukończyło wymaganego wieku, zgoda taka musi zostać wyrażona lub zaaprobowana przez osobę sprawującą nad nim władzę rodzicielską lub opiekę. Administrator danych w takich przypadkach jest zobowiązany do podjęcia rozsądnych starań w celu weryfikacji, czy faktycznie osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem taką zgodę wyraziła bądź zaaprobowała. Niewątpliwie taki sposób uregulowania tej kwestii wprowadza niemałe ryzyko prawne dla administratorów danych chcących prowadzić działania marketingowe wobec dzieci bądź z wykorzystaniem ich danych.
UMOWY Z PRZETWARZAJĄCYMI KONIECZNE
Należy zasygnalizować również, że w przypadku, w którym administrator nie wykonuje działań marketingowych, reklamowych czy też PR-owych osobiście, lecz zleca je agencji zewnętrznej, niezbędne okaże się zawarcie stosownej umowy powierzenia przetwarzania danych osobowych bądź dokonanie zmian w stosowanej umowie, tak aby zawierała ona elementy wymagane treścią art. 28 RODO (pisaliśmy o tym w artykule „Trzeba na nowo sprawdzić podmioty przetwarzające dane na zlecenie” – Firma i Prawo z 27 marca 2018 r.; DGP nr 61).
W takiej konfiguracji w dalszym ciągu administratorem danych osób, wobec których prowadzone są działania marketingowe, reklamowe czy też PR-owe, będzie podmiot zlecający akcję marketingową, zaś agencja czy inny podmiot obsługujący tę akcję będzie pełnił funkcję podmiotu przetwarzającego w rozumieniu rozporządzenia.
WAŻNE
Forma zapytania o zgodę na przetwarzanie danych osobowych oraz użyty w nim język powinny być dopasowane do profilu odbiorcy informacji. W szczególności należy odróżniać konsumenta od przedsiębiorcy.