Jeśli klient już raz przyzwolił na przetwarzanie danych w celach marketingowych, to brak odniesienia się do tej kwestii przy kolejnym zakupie nie cofa pierwotnej decyzji – uważa UODO. Eksperci przyznają, że takie elastyczne podejście urzędu uratuje wiele baz danych.
Jeśli klient już raz przyzwolił na przetwarzanie danych w celach marketingowych, to brak odniesienia się do tej kwestii przy kolejnym zakupie nie cofa pierwotnej decyzji – uważa UODO. Eksperci przyznają, że takie elastyczne podejście urzędu uratuje wiele baz danych.
Wyobraźmy sobie taką sytuację: klient sklepu internetowego kupuje produkt i w trakcie finalizowania zakupu przy pytaniu, czy wyraża zgodę na przetwarzanie danych osobowych w celach marketingowych, zaznacza tzw. checkbox (czyli malutkie okienko w formularzu z możliwością zaznaczenia decyzji pozytywnej). Kilka dni później zadowolony z produktu i oferty e-sklepu odwiedza go ponownie. I znów dokonuje zakupu, jednak tym razem pozostawia ten sam checkbox pusty. Powstaje pytanie: czy uznał, że wystarczyło jednorazowo wyrazić zgodę? A może rozmyślił się i jest przekonany, że brak wyrażenia ponownej zgody anuluje poprzednią akceptację kontaktu w celach marketingowych? Wszak zgodnie z unijnym rozporządzeniem o ochronie danych osobowych wycofanie zgody powinno być co najmniej tak samo łatwe jak jej udzielenie (art. 7 ust. 3 RODO). W opisanej sytuacji również administratorzy mogą więc dojść do wniosku, że klient nie chce być już nękany ofertami reklamowymi. Bo skoro ponownie nie powiedział „tak”, to czy zatem przypadkiem nie zasugerował, że mówi „nie”? Ta sama wątpliwość może pojawić się również w przypadku, gdy klient dokonuje zakupu produktu lub usługi w siedzibie firmy i za każdym razem otrzymuje wzór umowy z pytaniem o zgodę na telemarketing.

Znikające rekordy

– Temat wydaje się trywialny, lecz budzi olbrzymie emocje wśród tych, którzy budowali bazy danych. Przyjęcie reguły, że brak zaznaczenia checkboxa równa się odwołaniu zgody, doprowadziło do tego, że istotna część baz marketingowych praktycznie wyparowała – opowiada radca prawny Tomasz Osiej z portalu gdpr.pl. Ekspert przyznaje, że takie ostrożne podejście do kwestii wyrażania i odwoływania zgody stosowały dotychczas przede wszystkim firmy działające międzynarodowo (z uwzględnieniem nieco bardziej wymagających pod kątem ochrony konsumentów rynków we Francji czy w Szwajcarii). Wiele z nich, pomimo dotychczasowego braku wskazówek organów nadzorczych w tym zakresie, wolało dmuchać na zimne i nie narażać się na frustrację oraz skargi klientów. I za swoistą „nadpoprawność” płaciły wysoką cenę.
Okazuje się jednak, że polski Urząd Ochrony Danych Osobowych ma elastyczne podejście w tej kwestii. W odpowiedzi na nasze pytania potwierdził stanowisko opublikowane niedawno na portalu GDRP.pl, w którym stwierdził, że RODO określa jedynie zasady udzielania zgód na przetwarzanie danych. Nic nie mówi zaś o oświadczeniu dotyczącym ich nieudzielenia. Jeżeli zatem podstawą przetwarzania danych osobowych jest zgoda osoby, której dane dotyczą, to nie ma konieczności jej udzielania za każdym razem. „Wobec tego pozostawienie pustego pola nie jest równoznaczne z odwołaniem zgody” – odpowiedział nam jednoznacznie organ nadzorczy.

Zakaz nękania

UODO rozwiał wątpliwości przedsiębiorców jeszcze w jednym zakresie. Mianowicie administratorzy niejednokrotnie zastanawiają się, w jaki sposób prawidłowo odbierać zgody. Czy klientowi powinno się wyświetlać jedynie jeden checkbox, którego zaznaczenie oznaczało wyrażenie zgody? A może dwa okienka: „wyrażam zgodę” oraz „nie wyrażam zgody”? Organ nadzorczy stwierdził, że korzystniejszą praktyką jest umieszczanie na stronie tylko jednego checkboxa. Gdyby bowiem użytkownik zaznaczył okienko „nie wyrażam zgody”, wówczas – paradoksalnie – mogłoby dochodzić do przetwarzania danych takiej osoby wraz z jej oświadczeniem o odmowie – co nie przynosiłoby żadnych korzyści ani administratorowi, ani klientowi.
– Elastyczne stanowisko w powyższych kwestiach to bardzo dobra wiadomość dla administratorów – ocenia mec. Tomasz Osiej. W beczce miodu jest jednak łyżka dziegciu. Urząd twierdzi jednocześnie, że praktyka wielokrotnego pytania klienta o wyrażenie zgody może być problematyczna. W stanowisku UODO czytamy, że pytanie o zgodę za każdym razem np. w formie formularza internetowego może wprowadzać osoby w błąd. Dlatego dobrym rozwiązaniem byłoby skonstruowanie formularza w taki sposób, by nie pojawiał się (lub nie był wręczany przy osobistym kontakcie) osobom, które wcześniej udzieliły zgody. W przeciwnym razie administrator może naruszać zasadę prywatności w fazie projektowania (z ang. privacy by design).
Mecenas Tomasz Osiej wyjaśnia, że UODO wyraźnie sugeruje, aby niektórzy administratorzy zmienili proces pozyskiwania zgód i zrezygnowali z praktyki powtarzania pytań przy każdym zakupie, bowiem finalnie może to być to dla nich ryzykowne. Ten kłopot można rozwiązać, stosując w serwisie zakupowym konta dla zalogowanych użytkowników. Wówczas skrypty na stronie internetowej sprawdzałyby w bazie, czy dany klient wyraził już zgodę na telemarketing, i nie odpytywałyby ponownie tej samej osoby.