produkty

Intelektualna.pl
  • dr Tomasz Lewandowski

    Polskiej specyfiki zbierania zgód marketingowych kolejna odsłona…

    Nowe sektorowe przepisy w zakresie przetwarzania danych osobowych

     

    Nieco ponad tydzień temu Prezydent podpisał ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 ( http://orka.sejm.gov.pl/proc8.nsf/ustawy/3050_u.htm ). Przyjęte przez Sejm 21 lutego 2019 r. przepisy zmieniają blisko 168 ustaw i wchodzą w życie 4 maja 2019 r. Nowa ustawa nowelizuje przepisy z zakresu prawa pracy, bankowego, ubezpieczeniowego, telekomunikacyjnego, oświatowego, ochrony zdrowia, czy administracyjnego. Jednym z kluczowych elementów nowelizacji są zmiany w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Uśude) oraz ustawie z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (PrTel).

     

    Zgody z Prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną tożsame ze zgodami na gruncie RODO

     

    Zmiany te dotyczą m.in. doprecyzowania podstawy przetwarzania danych osobowych w związku z przesyłaniem informacji handlowej środkami komunikacji elektronicznej i prowadzeniem marketingu bezpośredniego z wykorzystaniem telekomunikacyjnego urządzenia końcowego/automatycznych systemów wywołujących. Zgodnie ze znowelizowanym art. 4 Uśude: „jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych”. Analogicznie art. 174 PrTel otrzymał brzmienie: „Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych”.

     

    Jaki wpływ na działania marketingowe mają powyższe zmiany? Przede wszystkim zgody na gruncie Uśude oraz PrTel stosowane będą tak jak zgody na gruncie RODO. Nie powinno to dziwić, skoro zarówno przesyłanie mailingu z wykorzystaniem adresu e-mail osoby fizycznej, jak i wykonywanie połączeń telefonicznych z użyciem numeru telefonu abonenta końcowego są niczym innym niż operacjami przetwarzania danych osobowych. Z praktycznego punktu widzenia oznacza to, odejście od sztucznego formułowania „klauzul tasiemców”, z których osoba, która takiej zgody miała udzielić nie potrafiła niczego zrozumieć, jak również komponowania pakietu kilku – zazwyczaj trzech odrębnych zgód, co tym bardziej wywoływało wątpliwości osoby, do której zostały skierowane.

     

    Problemy ze zbieraniem prawidłowych zgód

     

    Skąd te problemy? Do tej pory przepisy Uśude i PrTel w połączeniu z przepisami ustawy o ochronie danych osobowych z 1997 r., a od 25 maja 2018 r. RODO, pozwalały na dość kłopotliwą interpretację, zgodnie z którą dla prowadzenia marketingu opartego o mailing i rozmowę telefoniczną wymagane były trzy odrębne i niezależne od siebie zgody wynikające z trzech aktów prawnych tj.:

     

    1. zgoda z art. 6 ust. 1 lit. a) RODO jako podstawa przetwarzania danych osobowych (wymagana
      w sytuacji, w której nie istnieje żadna inna podstawa prawna do przetwarzania danych osobowych),
    2. zgoda z art. 10 Uśude na przesyłanie informacji handlowej drogą elektroniczną oraz
    3. uprzednia zgoda z art. 172 PrTel na użycie telekomunikacyjnego urządzenia końcowego dla celów marketingu bezpośredniego.

     

    Problemem praktycznym było łączenie tych zgód przez administratorów danych w jednej formule – osoba fizyczna, udzielając takie zgody, w jednym oświadczeniu woli wyrażała zgodę na przetwarzanie jej danych osobowych – zazwyczaj w celu przesyłania jej informacji handlowych drogą elektroniczną oraz marketing telefoniczny. Na wadliwość takiego rozwiązania wskazywał jeszcze GIODO: „Naruszeniem prawa jest też jednoczesne pozyskiwanie zgody na przetwarzanie danych osobowych w celach marketingowych ze zgodą na otrzymywanie informacji i ofert w rozumieniu ustawy o świadczeniu usług drogą elektroniczną. Zgody na przetwarzanie danych osobowych w celach marketingowych nie można bowiem mylić ze zgodą na otrzymywanie informacji handlowych drogą elektroniczną. Są to dwie różne zgody, których uregulowanie znajduje się w dwóch różnych aktach prawnych (…) przesyłanie informacji handlowych drogą elektroniczną jest innym działaniem niż wykorzystywanie danych osobowych w celach marketingowych inną drogą, niż elektroniczna.” (http://www.giodo.gov.pl/pl/259/10003 ).

     

    Z kolei łączenie w jednej klauzuli zgód na różne kanały komunikacji np. jednoczesna zgoda na mailing i marketing telefoniczny, zostało skrytykowane przez NSA w wyroku z dnia 31 stycznia 2012 r. (I OSK 1317/11). NSA wyraźnie wskazał, że „W przypadku sformułowania jednego oświadczenia woli zawierającego w swej treści zgodę, o której mowa w przepisach ustawy o ochronie danych osobowych oraz tą wskazaną w ustawie o świadczeniu usług drogą elektroniczną, trudno mówić o spełnieniu przez administratora danych określonego w ustawie o ochronie danych osobowych [aktualnie także art. 7 RODO] wymogu zapewnienia osobie, której dane dotyczą, swobodnego i nieskrępowanego podjęcia decyzji i wyrażenia woli w sprawie zgody na przetwarzanie jej danych osobowych”. Następnie NSA za nieprawidłowe uznał tworzenie zgód, w których: „Osoba, której dane dotyczą, zainteresowana otrzymywaniem materiałów reklamowych dotyczących usług i produktów oferowanych przez inne niż administrator danych podmioty, wyłącznie tzw. „pocztą tradycyjną”, zobowiązana jest jednocześnie do wyrażenia woli na przesyłanie na jej adres poczty elektronicznej informacji handlowych”.

     

    Odpowiadając na wątpliwości wyrażone przez Stowarzyszenia Administratorów Bezpieczeństwa Informacji dotyczące dopuszczalności  łączenia zgód, o których mowa w art. 10 Uśude i art. 172 PrTel w jednej klauzuli, w podobnym tonie Prezes UKE wskazał, że klauzule te jako znajdujące „swoją podstawę prawną w różnych przepisach prawa i nie mogą być stosowane zamiennie. Zdaniem Prezesa UKE ”w przypadku uzyskiwania zgody abonenta na różne działania przedsiębiorcy telekomunikacyjnego wymagane jest wyraźne wyodrębnienie czynności objętych zgodą, które ustawodawca uregulował odrębnymi przepisami, w szczególności na przetwarzanie danych dla różnych celów”.

     

    Dotychczasowa (najczęściej negatywna) praktyka

     

    Przyjęto więc, by w przypadku potrzeby prowadzenia marketingu drogą elektroniczną, jak również telefoniczną, rozdzielać zgody na przetwarzanie danych osobowych i na otrzymywanie informacji handlowej drogą elektroniczną oraz marketing bezpośredni droga telefoniczną, tak aby przetwarzanie danych osobowych każdy kanał komunikacji marketingowej został objęty odrębną zgodą.

     

    W związku z powyższym, niejako nadgorliwie, powszechnie zaczęto stosować skomplikowaną trzyczęściową formułę zgód marketingowych, najczęściej ze wskazaniem podstawy prawnej każdej
    z nich, np.:

    • Zgodnie z ustawą o świadczeniu usług drogą elektroniczną z dnia 18 lipca 2002 r. wyrażam zgodę na otrzymywanie od XYZ środkami komunikacji elektronicznej informacji handlowych.
    • Zgodnie z ustawą z dnia 16 lipca 2004 r. Prawo telekomunikacyjne wyrażam zgodę na marketing bezpośredni usług XYZ z wykorzystaniem telekomunikacyjnych urządzeń końcowych lub automatycznych systemów wywołujących.
    • Zgodnie z ustawą o ochronie danych osobowych z dnia 27 sierpnia 1997 r. [lub RODO] wyrażam zgodę na przetwarzanie moich danych osobowych przez XYZ w celach marketingowych.

     

    Wprawdzie często stosowane w praktyce (w różnych odmianach i modyfikacjach), to jednak wyżej sformułowane zgody nie spełniają kryteriów z art. 7 ust. 2 RODO – są niezrozumiałe, ich forma jest trudna w dostępie, a język jest niejasny i skomplikowany. Dodatkowo tak ujęte zgody powodują mylne wrażenie, że to osoba je wyrażająca ma prawny obowiązek je wyrazić. Zgody te nie spełniają również kryteriów definicyjnych zgody na gruncie RODO: tj. konkretności, świadomości. Zgoda powinna być konkretna i wyrażana przez osobę świadomą (tj. poinformowaną), czyli powinna co najmniej wyraźnie określać cel przetwarzania danych (vide: motyw 39 RODO), nie być dorozumiana z oświadczeń innej treści. Nawet bez nowelizacji Uśude oraz PrTel tj. – zgody powinny być formułowane przyjaznym i dostępnym językiem, tak aby osoba je wyrażająca wiedziała na co się zgadza, jakimi kanałami będzie prowadzony marketing oraz które z tych kanałów akceptuje.

     

    Dodatkowo, wyżej podane przykłady wadliwych zgód biznesowo ograniczają możliwość prowadzenia marketingu, w przypadku gdy osoba wyrazi zgodę nr 1, a nie wyrazi zgody nr 3 (tj. wyrażono zgodę na marketing drogą elektroniczną, a jednocześnie nie wyrażono zgody na przetwarzanie danych osobowych w celu marketingu), nie będzie można domniemywać zgody na przetwarzanie danych osobowych w związku z marketingiem i zgody się nie uzyska. Przy stosowaniu kompletu zgód nr 1,2,3 należałoby w takim razie uzyskać zgodę we wszystkich wariantach (1,2 i 3). Odstępstwa mogłyby uniemożliwiać stosowanie marketingu względem osoby, która nie wyraziła wszystkich trzech zgód.

     

    Kolejnym problemem jest kwalifikowanie zgody jako wyłącznej podstawy przetwarzania danych osobowych w celu marketingu bezpośredniego usług własnych. Wprawdzie przetwarzanie w tym celu jest powszechnie uznawane za możliwe na podstawie prawnie uzasadnionego interesu administratora danych osobowych (vide motyw 47 RODO), to jednak pojawiły się w tej kwestii dwa konkurencyjne poglądy dotyczące zwłaszcza dopuszczalnego czasu takiego przetwarzania.

     

    Pogląd nr 1 wyraził GIODO w opisie sprawozdania z kontroli planowych w bankach w 2016 r. – „Również przetwarzanie danych w celach marketingowych po wygaśnięciu umowy łączącej przedsiębiorcę z klientem jest niedopuszczalne, chyba że wyraził on na to zgodę”. Przetwarzanie danych osobowych na podstawie uzasadnionego celu jakim jest marketing może być więc uznawane za niedopuszczalne po np. wygaśnięciu umowy z klientem. Pogląd wynika z tego, że organ wyraźnie odróżnia zgodę na przetwarzanie danych osobowych od zgody na marketing telefoniczny i mailowy, uznając że prowadzenie marketingu przez administratora danych jest uzasadnione jego prawnym interesem wyłącznie w okresie obowiązywania umów – co poniekąd łączy się z rozsądnym oczekiwaniem ze strony osoby, której dane dotyczą, opartym na jej powiązaniach z administratorem, o czym mowa w motywie 47 RODO. Powyższe stanowisko mogłoby powodować ekstremalną interpretację, zgodnie z którą administrator posiadający ważne zgody na marketing sms, telefoniczny, czy mailowy, musiałby się liczyć z tym, że zgody te wygasałyby automatycznie po np. zakończeniu Umowy. W końcu w tym momencie przestaje go wiązać z osobą, która te zgody wyraziła rozsądnie oczekiwana więź, a przy uznaniu odrębności zgód na mailing czy telefon od podstawy przetwarzania danych osobowych, nie jest on w stanie wykazać innej podstawy przetwarzania danych osobowych w celu prowadzenia marketingu.

     

    Stanowisko nr 2, o wiele bardziej probiznesowe, zaprezentowano w poradniku FinTech przygotowanym pod auspicjami Ministerstwa Cyfryzacji ( https://link.do/NVdtP ) – „przetwarzanie danych osobowych w tym celu będzie miało za podstawę uzasadniony interes administratora. Zgoda na przesyłanie informacji handlowych na gruncie Uśude stanowi łącznik między udzielającym zgodę a administratorem, o którym mowa w motywie 47 RODO. Fakt wyrażenia zgody na przesyłanie informacji handlowych na gruncie UŚUDE sprawia, że osoba wyrażająca taką zgodę ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu”. Wynika z tego, że zgoda odrębna od zgody na mailing czy kontakt telefoniczny w celu prowadzenia działań marketingowych nie jest w ogóle wymagana, gdyż prowadzenie działań marketingowych mieści się w uzasadnionym prawnie interesie administratora danych, stąd też tak długo jak administrator danych ma zgodę na marketing telefoniczny, sms, e-mail, może przetwarzać te dane. Łącznikiem pomiędzy Bankiem a osobą jest właśnie jej zgoda marketingowa, łącznik ten istnieje do ewentualnego momentu cofnięcia odpowiedniej zgody.

     

    Podsumowanie

     

    Przyjęcie nowelizacji Uśude i PrTel spowoduje, ze zgody marketingowe będą rozpatrywane tak jak zgody na gruncie RODO. Oznacza to spore ułatwienie, a przede wszystkim możliwość uproszczenia stosowanych w działaniach marketingowych zgód. Jasnym będzie, ze zgoda na przesłanie newslettera z najnowszą ofertą będzie poczytywana jako zgoda na operacje przetwarzania podanych w tym celu danych osobowych – adresu e-mail, numeru telefonu. Ponadto zgody marketingowe będą mogły zostać udzielone również w formie oświadczenia lub wyraźnego działania potwierdzającego. Nowlizacja wprowadzi więc praktyczną możliwość odejścia od niezrozumiałych dla odbiorcy „zgód tasiemców”, na rzecz prostych czynności potwierdzających np. osoba, która będzie chciała otrzymywać informacje handlowe drogą elektroniczną będzie mogła zaznaczyć okienko obok którego wskazano np. formułę „proszę przesyłać mi newsletter XYZ (oczywiście z zastrzeżeniem przedstawienia takiej osobie wszystkich informacji dotyczących przetwarzania jej danych osobowych wymaganych art. 13 RODO).

    Te artykuły również Cię zainteresują: