Wbrew powszechnemu przekonaniu RODO dopuszcza marketing bez konieczności uzyskiwania dodatkowej zgody. Ale tylko w wyjątkowych sytuacjach.
Powiązany z prawicowymi mediami nowy polski portal społecznościowy Albicla jest zapowiadany jako alternatywa dla Facebooka czy Twittera. Na razie nie ma na nim reklam, ale w przyszłości mają się pojawić. W polityce prywatności, którą akceptują użytkownicy zakładający konto, można przeczytać, że „administrator uprawniony jest do udostępniania danych osobowych podmiotom współpracującym z administratorem do celów marketingowych”. Choć RODO rzeczywiście w pewnych sytuacjach pozwala na przetwarzanie danych w celach marketingowych bez zgody samych zainteresowanych, to cytowana klauzula jest jednak bezprawna. Z kilku różnych powodów.
Przyzwyczailiśmy się uważać, że do przetwarzania danych w celach marketingowych konieczna jest konkretna i odrębna od zatwierdzenia regulaminu czy polityki prywatności. W większości sytuacji tak właśnie jest. Nie zawsze jednak.
‒ Jeśli chodzi o działania marketingowe, to zgoda na przetwarzanie danych osobowych nie będzie wymagana, co do zasady w sytuacji, gdy zebrane przez przedsiębiorcę dane zostaną wykorzystane do celów marketingu bezpośredniego (własnych produktów i usług), bo jak wskazuje motyw 47 RODO za działanie realizowane w prawnie uzasadnionym interesie można uznać przetwarzanie danych do celów tego rodzaju marketingu – wyjaśnia Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych.
‒ Jeżeli marketing miałby dotyczyć produktów i usług obcych, wówczas uzyskanie zgody będzie konieczne – zaznacza.
Mówiąc wprost – w niektórych sytuacjach klienci, którzy nie zgodzi się na reklamę, mimo wszystko mogą być nią atakowani. Przynajmniej patrząc przez pryzmat RODO. Podstawę może stanowić wspomniany prawnie uzasadniony interes z art. 6 ust. 1 lit. f RODO.
‒ Niezbędne jest tu jednak przeprowadzenie testu równowagi i oczywiste jest, że ta podstawa powinna pozostać wyjątkiem od reguły uzyskiwania zgody – zauważa radca prawny Tomasz Osiej, prezes spółki doradczej Omni Modo.
Tylko za zgodą
Przepisy RODO nie są jednak jedynymi, które regulują marketing w Polsce. Odrębne unormowania zawierają ustawy – Prawo telekomunikacyjne (t.j. Dz.U. z 2019 r. poz. 2460 ze zm.) i ustawa o świadczeniu usług drogą elektronicznych (t.j. Dz.U. z 2020 r. poz. 344 ze zm.).
‒ W Polsce sytuacja wygląda więc tak, że z jednej strony RODO dopuszcza marketing bezpośredni bez zgody klienta, w oparciu o prawnie uzasadniony interes, z drugiej jednak nasze prawo telekomunikacyjne i ustawa o świadczeniu usług drogą elektroniczną wymagają już zgody w przypadku określonych form marketingu, np. przez telefon, e-mail czy nawet poprzez stronę internetową, jeśli mowa o spersonalizowanych reklamach wyświetlanych dla konkretnego, zalogowanego użytkownika – tłumaczy dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński. ‒ W praktyce więc, w oparciu o uzasadniony interes, dopuszczalny jest tylko marketing listowny – dodaje.
Przykłady? Firma telekomunikacyjna może dołączyć do rachunku reklamę nowej usługi, nawet jeśli nie wyraziliśmy zgody na marketing. Podobnie bank ma prawo wysłać swym klientom folder reklamowy nowej lokaty.
Opisany wyjątek siłą rzeczy nie dotyczy portali internetowych, zwłaszcza że wiele z nich nie wymaga podawania adresu. E-mail, SMS czy telefon do klienta każdorazowo wymaga już uzyskania jego zgody, w przeciwnym razie będzie oznaczał naruszenie wspomnianego art. 172 prawa telekomunikacyjnego. Co ciekawe, jeśli chodzi o uzyskanie zgody, to art. 174 tej ustawy odsyła z powrotem do przepisów o ochronie danych osobowych.
‒ Zgoda musi być konkretna i świadoma, a to oznacza, że nie może być ukryta w regulaminie. Niesie to ze sobą wysokie ryzyko podniesienia zarzutu, że odbiorca marketingu nie miał świadomości, komu i na co wyraził zgodę. Polityka prywatności to bardzo przydatny dokument, ale nie w tym przypadku. Porządkuje ona nasze deklaracje i jest rozbudowaną informacją kierowaną do konsumenta, natomiast nie legalizuje zaszytych tam zgód. Zgody muszą być transparentne, ale także rozliczalne, co oznacza, że administrator ma nie tylko obowiązek prawidłowo sformułować jej treść, lecz także wykazać czas i sposób jej wyrażenia i odwołania. Za wyłącznie prawidłowy sposób uważa się odrębne zaznaczenie checkboxu z akceptacją lub podanie danych kontaktowych konkretnie w celach marketingowych – zwraca uwagę Tomasz Osiej.
Drakońskie kary
Klauzula wpisana do polityki prywatności nowego polskiego portalu jest więc bezprawna z wielu różnych względów. Po pierwsze, uzasadniony interes nie daje możliwości przekazywania danych innych firmom, podobnie jak nie może stanowić podstawy prawnej do wykorzystania w ich celach marketingowych. Sama Albicla, bez uzyskania dodatkowych zgód (czego w tej chwili nie robi), również nie może wykorzystywać tych danych do przesyłania reklam na urządzenia końcowe swych klientów (patrz: ramka). To jednak nie wszystko.
Jeśli opisana klauzula (mimo wcześniejszych zastrzeżeń) miałaby stanowić podstawę do przekazywania danych, to powinny zostać spełnione obowiązki informacyjne wynikające z art. 13 RODO. Klient musi wiedzieć, do kogo trafią jego dane lub przynajmniej poznać kategorie odbiorców. Posłużenie się sformułowaniem „podmioty współpracujące z administratorem do celów marketingowych” nie realizuje tego obowiązku.
Konsekwencje niefrasobliwego podejścia do RODO mogą być poważne.
‒ W połowie stycznia hiszpański organ ochrony danych nałożył karę 6 mln euro w całkiem podobnej sytuacji. Klienci CaixaBanku zostali wezwani do zaakceptowania nowych regulacji, które upoważniały administratora do przekazania danych osobowych wszystkim spółkom z grupy należącej do banku właśnie do celów marketingowych. Organ uznał, że dane są przetwarzane bez podstawy prawnej, bo wykracza to poza uzasadniony interes, a zgoda, jaką bank uzyskał od klientów, nie spełnia wymogów ochrony danych. Zdaniem organu nie dopełniono również obowiązków informacyjnych – zwraca uwagę Tomasz Borys, konsultant ochrony danych osobowych.
Firma telekomunikacyjna może dołączyć do rachunku reklamę nowej usługi, nawet jeśli nie wyraziliśmy zgody na marketing. Podobnie bank ma prawo wysłać informację o nowej lokacie
Co mówią przepisy