Dzięki temu będą lepiej kontrolowane. Firma, która sygnuje je swoją nazwą, łatwiej uniknie ryzyka, że będą się nią posługiwać nieuprawnione osoby. Można też zastosować dodatkowe zabezpieczenia techniczne.
Instrumentami, które często są wykorzystywane przez firmy w kampaniach marketingowych, są karty rabatowe (inaczej zwane też bonifikatowymi, lojalnościowymi lub stałego klienta). Zasady ich przyznawania są określane w regulaminach promocji. Karty mogą być imienne lub na okaziciela. Te pierwsze gwarantują, że posługiwać się nią będą tylko osoby do tego uprawnione.
Jeśli przedsiębiorca zdecyduje, że w kampanii promocyjno-marketingowej będzie wydawać karty rabatowe na okaziciela, to musi przedsięwziąć właściwe kroki, które zabezpieczą jego interesy. Jeżeli jego zamiarem jest możliwość korzystania z bonifikaty przez konkretną osobę, musi tę kwestię precyzyjnie ustalić w regulaminie. Ponadto powinien podjąć odpowiednie działania (w tym techniczne), aby z karty na okaziciela mogli korzystać jedynie uprawnieni uczestnicy danej kampanii. W przeciwnym razie w przypadku gdy dojdzie do nielegalnego handlu kartami lub ich odstępowania osobom trzecim – przedsiębiorca może być bezsilny.
Nieskuteczne zapisy w regulaminach
Przekonała się o tym spółka z o.o., której sprawę rozpatrywał Wojewódzki Sąd Administracyjny w Warszawie 11 marca 2015 r. (wyrok o sygn. akt II SA/Wa 2188/14). Spółka wydawała w akcji promocyjnej karty na okaziciela. Uprawniały one posiadaczy do nabywania określonych produktów spółki po obniżonej cenie na warunkach opisanych w regulaminie promocji. Karty te, zwane bonifikartami, otrzymali pracownicy restauracji działających na zasadzie franczyzy, pracownicy biura spółki oraz partnerzy handlowi.
Zgodnie z regulaminem promocji karta nie mogła być przedmiotem sprzedaży ani darowizny i była ważna tylko w restauracjach biorących udział w promocji. Osoby naruszające regulamin promocji (w tym również nabywcy bonifikarty) były zobowiązane do jej zwrotu. Pomimo regulaminowego zastrzeżenia o niedopuszczalności zbywania bonifikart szybko okazało się, że są one oferowane do sprzedaży bądź stanowią bezpłatny dodatek do innych artykułów sprzedawanych na aukcjach internetowych.
Spółka wystąpiła do serwisu aukcyjnego o udostępnienie danych osób, które sprzedają karty. Ten odmówił, argumentując, że udostępnienie tych informacji może być kwalifikowane jako zachowanie bezprawne, naruszające dobra osobiste i skutkować odpowiedzialnością cywilnoprawną administratora danych.
Spółka zwróciła się wobec tego do generalnego inspektora ochrony danych osobowych (dalej: GIODO) z wnioskiem o nakazanie właścicielowi serwisu aukcyjnego udostępnienia żądanych informacji. We wniosku powołała się na art. 23 ust. 1 pkt 5 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2015 r poz. 2135 ze zm.). Przepis ten mówi, że przetwarzanie danych jest dopuszczalne, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
GIODO odmówił, wskazując, że spółka przewidywała, iż jest możliwa sytuacja, gdy osoby, którym karty rabatowe przyznano, będą zamierzały je zbyć. Świadczyły o tym wprost zapisy regulaminu promocji zastrzegające niedopuszczalność obrotu bonifikartami, a zarazem przewidujące określone konsekwencje w razie naruszenia zapisów w tym zakresie, tj. obowiązek zwrotu bonifikarty. Wytknął spółce, że mimo to nie podjęła działań, które odpowiednio zabezpieczyłyby jej interesy na wypadek, gdyby wydane przez nią karty rabatowe, wbrew zastrzeżeniom regulaminu promocji, stały się przedmiotem obrotu.
Bezsilni w obliczu ochrony danych
GIODO stwierdził: „w tej sprawie interes administratora danych (spółki), wyrażający się w dążeniu do realizacji jego prawnie usprawiedliwionego celu, nie przeważa nad interesem osób, których dotyczą wnioskowane dane, w poszanowaniu ich prawa do prywatności – rozumianego jako prawo do samodzielnego decydowania o zakresie i zasięgu udostępniania i komunikowania innym osobom informacji o swoim życiu. Zadośćuczynienie żądaniu spółki wiązałoby się z nieproporcjonalną – w stosunku do interesów administratora, których on sam nie zabezpieczył w należyty sposób, choć mógł to uczynić – ingerencją w sferę prywatności osób, których dotyczą żądane informacje”.
Nie pomogła skarga do Wojewódzkiego Sądu Administracyjnego w Warszawie, a potem dwukrotne odwołania do Naczelnego Sądu Administracyjnego. Wspomnianym na wstępie wyrokiem z 11 marca 2015 r. warszawski sąd przyznał rację GIODO. W uzasadnieniu orzeczenia wskazał, że ani przepisy unijne, ani krajowe nie ustanawiają obowiązku przekazania przez usługodawcę danych osobowych osoby będącej usługobiorcą usług świadczonych drogą elektroniczną czy też nadawcy bądź odbiorcy komunikatu w ramach usług telekomunikacyjnych. Warszawski sąd administracyjny za GIODO powtórzył, że spółka niedostatecznie zabezpieczyła swoje interesy.
Niezbędne działania
Jakie działania powinna zatem podjąć spółka, aby zabezpieczyć swoje dane? Odpowiedź na to pytanie można znaleźć w rozstrzygnięciu GIODO.
Jego zdaniem działania takie mogłyby polegać na wydawaniu kart imiennych lub na nadaniu im oznaczeń identyfikujących (np. numerów) pozwalających na ustalenie, komu konkretnie została ona przyznana. Dzięki temu można by w razie potrzeby ustalić, kto spośród osób, którym wydano karty, wbrew zastrzeżeniom regulaminu promocji wprowadza je do obrotu.
TRZY PYTANIA DO EKSPERTA
Piotr Foitzik, adwokat w kancelarii prawnej Chałas i Wspólnicy
Czy rzeczywiście spółka nie mogła uzyskać dostępu do danych?
Jak słusznie zaznaczono w uzasadnieniu wyroku WSA w Warszawie z 11 marca 2015 r. (sygn. akt II SA/Wa 2188/14), spółka sama nie podjęła działań służących zabezpieczeniu jej własnych interesów na wypadek przewidywanych przez nią zagrożeń. Zamiast tego, po ustaleniu, że bliżej nieokreślone osoby wprowadzają do obrotu karty bonifikatowe, wystąpiła o udostępnienie informacji na temat tych osób. Nie mogło to zostać uznane za prawidłowe z punktu widzenia zasad ochrony danych osobowych oraz prawa do prywatności. Ponadto zachodzi tu, jak wskazano w wyroku, swoista sprzeczność pomiędzy założeniem, że chodzi o karty rabatowe na okaziciela, a zarazem jest wykluczony obrót nimi i mogą być wykorzystane wyłącznie przez osobę lub podmiot, któremu zostały przyznane.
Czy spółka mogła się zabezpieczyć przez precyzyjnie skonstruowane zapisy regulaminu?
Odpowiedź nie jest jednoznaczna. Znacznie lepiej i bardziej skutecznie można to uczynić, stosując odpowiednie zabezpieczenia techniczne lub wskazane przez GIODO rozwiązania, w praktyce przekreślające jednak charakter karty na okaziciela.
Można też połączyć stosowanie takiej karty z dodatkową koniecznością wykazania uprawnień do korzystania z niej za pomocą innego dokumentu lub zaświadczenia albo przesłania e-maila lub SMS-u potwierdzającego udział w promocji. Wreszcie można zastrzec w regulaminie możliwości anulowania ważności kart bonifikatowych w sytuacjach uzasadniających podejrzenie, że naruszono warunki regulaminu, i wydania w to miejsce nowych kart.
A czy można było w regulaminie zastrzec możliwość udostępniania danych osobowych przez osoby trzecie?
Nie ma podstaw prawnych, aby takie zastrzeżenie mogło się znaleźć w regulaminie. Byłoby to nie tylko nieskuteczne, ale stanowiłoby praktykę naruszającą prawo oraz wprowadzającą w błąd. Należy przy tym wskazać, że karty na okaziciela, podobnie jak inne instrumenty na okaziciela, z istoty swojej służą temu, by można było z nich korzystać, niezależnie od tego, w czyim posiadaniu się znajdują oraz jaka była podstawa wejścia w ich posiadanie. W innych przypadkach stosuje się dokumenty lub przedmioty, które mogą być w sposób jednoznaczny powiązane z konkretną osobą posiadającą odpowiednie uprawnienia, co – jak słusznie wskazano w ww. orzeczeniu – może oznaczać wydawanie np. kart imiennych albo zawierających oznaczenia umożliwiające jednoznaczną identyfikację. Stosując takie rozwiązania, należy pamiętać również o konieczności należytego zabezpieczenia danych osobowych oraz by ich przetwarzanie było prowadzone jedynie w zakresie niezbędnym do przewidzianego celu. Jeżeli zatem wystarczy np. wskazanie imienia i nazwiska posiadacza karty, to już brak podstaw do tego, by np. zapisywać jego wiek czy numer PESEL.
