Minął ponad rok od rozpoczęcia stosowania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), znanego powszechnie jako RODO.
Pomimo wielu pojawiających się interpretacji przepisów obowiązujących w zakresie ochrony danych osobowych, nadal obecne są wątpliwości szczególnie związane z:
- marketingiem bezpośrednim,
- przesyłaniem informacji handlowych,
- używaniem telekomunikacyjnych urządzeń końcowych użytkowników.
Niewątpliwie wyjaśnienie kwestii związanych z istniejącymi w zakresie powyższych zagadnień obiekcji, jest kluczowe dla legalnego przetwarzania przez administratora danych w świetle art. 6 ust. 1 lit. a RODO, tj. na podstawie zgody osoby, której dane dotyczą, na przetwarzanie jej danych osobowych w jednym lub większej liczbie określonych celów.
Marketing bezpośredni – potrzebna zgoda?
Marketing bezpośredni nie posiada swojej definicji legalnej, co wymusza zdefiniowanie w oparciu o praktykę. Zgodnie z elektronicznym Słownikiem języka polskiego PWN, marketing oznacza „działanie mające na celu wynajdowanie, badanie, pobudzanie i zaspokajanie potrzeb klientów ”.
Wg internetowej Encyklopedii Zarządzania marketing bezpośredni polega na:
- bezpośrednich komunikatach kierowanych do starannie wybranych, pojedynczych klientów, często w indywidualnym kontakcie,
- w celu uzyskania bezpośredniej reakcji (odpowiedzi).
Stosowane od dnia 25 maja 2018 r. przepisy RODO zakładają, iż przetwarzanie danych osobowych do celów marketingu bezpośredniego można uznać za działanie wykonywane w prawnie uzasadnionym interesie osób trzecich (art. 6 ust. 1 lit. f w zw. z Motywem 47 RODO). Każdorazowo należy więc ocenić, czy mamy do czynienia z marketingiem bezpośrednim. Jeśli tak, to nie będzie konieczne uzyskanie zgody na przetwarzanie danych osobowych w tym właśnie celu.
Informacja handlowa a marketing bezpośredni
Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2019 r. poz. 123) (dalej: „u.ś.u.d.e.”) w art. 2 pkt 2) informuje, iż informację handlową stanowi każda informacja przeznaczona bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, której prawo do wykonywania zawodu jest uzależnione od spełnienia wymagań określonych w odrębnych ustawach, z wyłączeniem informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej z określoną osobą oraz informacji o towarach i usługach niesłużącej osiągnięciu efektu handlowego pożądanego przez podmiot, który zleca jej rozpowszechnianie, w szczególności bez wynagrodzenia lub innych korzyści od producentów, sprzedawców i świadczących usługi. Podobną definicję odnaleźć można w art. 2 Dyrektywy 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym) (2000/31/WE) (Dz. U. UE L z dnia 17 lipca 2000 r.).
Ponadto informacja handlowa powinna być wyraźnie wyodrębniana i oznaczana w sposób niebudzący wątpliwości, że jest to informacja handlowa oraz zawierać:
- oznaczenie podmiotu, na którego zlecenie jest ona rozpowszechniana, oraz jego adresy elektroniczne;
- wyraźny opis form działalności promocyjnej, w szczególności obniżek cen, nieodpłatnych świadczeń pieniężnych lub rzeczowych i innych korzyści związanych z promowanym towarem,
- usługą lub wizerunkiem, a także jednoznaczne określenie warunków niezbędnych do skorzystania z tych korzyści, o ile są one składnikiem oferty; wszelkie informacje, które mogą mieć wpływ na określenie zakresu odpowiedzialności stron, w szczególności ostrzeżenia i zastrzeżenia.
Szczególnie istotne jest, aby administrator miał na uwadze, iż przesyłanie niezamówionej informacji handlowej, skierowanej do oznaczonego odbiorcy, będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej, jest zakazane, o czym świadczy art. 10 u.ś.u.d.e.
Jednak wyrażenie zgody przez odbiorcę na otrzymywanie takiej informacji, w szczególności udostępnienie przez niego w tym celu identyfikującego go adresu elektronicznego spowoduje, iż informacja handlowa będzie traktowana jako zamówiona, a więc niepodlegająca pod wspomniany wyżej zakaz.
Marketingu bezpośredniego oraz informacji handlowej nie należy rozumieć jako zjawisk tożsamych, gdyż już same przepisy odróżniają te pojęcia, inne też będą podstawy przetwarzania danych osobowych udostępnionych w konkretnym celu przez osoby, których dane dotyczą. Przesłanką legalizującą przetwarzanie danych w celu marketingu bezpośredniego może być bowiem jego niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę, zaś jedyną możliwą podstawą przetwarzania danych osobowych w celu wysyłania niezamówionej informacji handlowej drogą elektroniczną jest uzyskanie zgody osoby, której dane dotyczą.
Zgody posiadamy, legalnie przetwarzamy - czy na pewno?
Wiemy już jakie są podstawy przetwarzania danych osobowych w celach marketingu bezpośredniego oraz kiedy potrzebujemy zgody na przesyłanie informacji handlowych, jednak czy jest to wystarczające do swobodnego rozsyłania przez administratora ofert czy reklam?
Otóż aby udzielić odpowiedzi na powyższe pytanie należy sięgnąć do ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. 2018 r. poz. 1954), a mianowicie jej art. 172 zgodnie z którym, zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
Pojęcie telekomunikacyjnych urządzeń końcowych zostało zdefiniowane w ustawie prawo telekomunikacyjne jako urządzenia telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci, w praktyce będzie to więc w szczególności: telefon, komputer czy faks.
W związku z tym samo przetwarzanie danych w celach marketingowych będzie legalne wyłącznie na podstawie art. 6 ust. 1 lit. f RODO, jeżeli jednak ze wskazanym przetwarzaniem związane będzie rozsyłanie do osób, których dane administrator posiada, wiadomości e-mail, sms, faksów czy nawiązywanie rozmów telefonicznych, konieczne będzie uzyskanie zgody na używanie w tym celu jej telekomunikacyjnych urządzeń końcowych.
Biorąc pod uwagę, iż pojęcie informacji handlowej nie jest tożsame z pojęciem marketingu bezpośredniego, zaś art. 172 prawa telekomunikacyjnego wymaga uzyskania zgody użytkownika końcowego na używanie jego urządzeń dla celów marketingu bezpośredniego uznać należy, iż nie ma konieczności uzyskania tej zgody w celu przesyłania informacji handlowych – tutaj wystarczy więc sama zgoda na ich przesyłanie.
Warunki uzyskania ważnej zgody
Najważniejsze wskazówki w celu zapewnienia zgodności uzyskanej zgody z RODO:
- zgoda powinna być każdorazowo wyrażona dobrowolnie, konkretnie, świadomie i stanowić jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych,
- „dobrowolność” należy rozumieć jako możliwość dokonania rzeczywistego wyboru przez osoby, których dane dotyczą oraz faktyczne sprawowanie przez nie kontroli. Zgoda nie będzie uważana za wyrażoną dobrowolnie jeżeli pojawi się jakikolwiek element przymusu oraz braku swobody, np. domyślnie zaznaczone okienka czy negatywne konsekwencje w przypadku niewyrażenia zgody,
- osoba, która udziela zgody, powinna mieć możliwość jej odwołania w każdym czasie bez dodatkowych kosztów oraz negatywnych konsekwencji, a także z taką samą łatwością, z jaką jej udzieliła,
- do administratora należy udowodnienie, że osoba, której dane dotyczą, wyraziła ważną zgodę, np. poprzez sporządzoną dokumentację lub przechowywane nagrania na infolinii,
- jeżeli cele przetwarzania danych zmienią się po uzyskaniu zgody lub jeżeli administrator planuje dodatkowy cel przetwarzania, jest on zobowiązany do uzyskania nowej i konkretnej zgody,
- zgoda nie ma „terminu ważności”, jednak Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, powołana na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. zaleca aby administratorzy co jakiś czas aktualizowali zgody,
- w przypadku usług społeczeństwa informacyjnego (tj. każdej usługi świadczonej za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług) oferowanych bezpośrednio dziecku, zgodne z prawem jest przetwarzanie danych osobowych dziecka, które ukończyło 16 lat. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody. W świetle Motywu (38) RODO taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich. Zgoda osoby sprawującej władzę rodzicielską lub opiekę nie powinna być konieczna w przypadku usług profilaktycznych lub doradczych oferowanych bezpośrednio dziecku.
Mając na uwadze powyższe, konieczne jest każdorazowe przeanalizowanie jakiej zgody potrzebujemy do przetwarzania danych osobowych czy przesyłania informacji handlowych oraz kiedy możemy mówić o marketingu bezpośrednim oraz legalnym używaniu urządzeń końcowych.
Paulina Rzepka, aplikant radcowski Kancelaria Zawiślak & Partners in Law