Marketing – zwłaszcza ten w cyfrowej formie stał się dzisiaj nieodzownym elementem niemalże każdego biznesu. Wiadomości reklamowe przybierają dziś przeróżne formy, a przedsiębiorcy prześcigają się w poszukiwaniu form marketingu najbardziej dopasowanej do profilu klienta, do którego chcą trafić. Poniższy artykuł ma przybliżyć czytelnikowi podstawową problematykę w zakresie zgodności z RODO i innymi ustawami polskimi prezentowanych wiadomości reklamowych, przesyłanych do odbiorcy przy wykorzystaniu najbardziej popularnych współcześnie form komunikacji, jak poprzez pocztę elektroniczną, tradycyjną, za pomocą wiadomości SMS-owych, czy w sieciach społecznościowych.
Marketing w RODO i ustawach krajowych
Pochylając się nad kwestią zgodności z RODO w zakresie przesyłania wiadomości reklamowych należałoby zastanowić się czy RODO w ogóle te kwestie reguluje i do nich się odnosi. Odpowiedź na to pytanie jest twierdząca, a odwołania do kwestii reklamy, czy ściślej, marketingu bezpośredniego odnaleźć możemy, choćby w art 21, motywie 47 czy motywie 70 RODO. W tym świetle możemy przyjąć, że wysyłanie wiadomości reklamowych do osób fizycznych należałoby uznać za marketing bezpośredni w rozumieniu RODO.
Skoro wiemy już, że RODO, co do zasady, będzie mieć zastosowanie do kwestii wiadomości marketingowych przesyłanych do konsumentów, należy zastanowić się nad podstawą prawną do przetwarzania danych osobowych do celów marketingu bezpośredniego w oparciu o przepisy RODO. W tym przypadku rozważać powinniśmy jedną z dwóch możliwych podstaw:
- art. 6 ust. 1 lit. a RODO, tj. zgodę osoby, której dane dotyczą lub
- art. 6 ust. 1 lit. f RODO, tj. uzasadniony interes administratora – gdyż zgodnie z brzmieniem RODO (motyw 47) „Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego”.
W świetle brzmienia całego motywu 47 RODO, podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.
Co zatem ważne, a często zapominane, musi w tym wypadku istnieć pewna relacja pomiędzy administratorem a podmiotem danych, która umożliwi administratorowi podejmowanie działań marketingowych, których adresat będzie mógł się spodziewać.
W związku z powyższym, w doktrynie pojawiają się poglądy sugerujące, iż prawnie uzasadniony interes administratora do podjęcia działań marketingu bezpośredniego istnieje niepodważalnie jedynie wobec osób, które są już klientami administratora, np. w kontekście korzystania z jego usług, zaś powoływanie się na tę podstawę prawną w zakresie marketingu bezpośredniego wykonywanego wobec osób niezwiązanych dotychczas w żadnym razie z administratorem, rodzi uzasadnione ryzyko podważenia tej podstawy do przetwarzania danych, a w związku z tym dalsze konsekwencje, jakie może za sobą pociągnąć przetwarzanie danych osobowych bez adekwatnej podstawy prawnej. Z uwagi na brak precyzyjnego stanowiska PUODO w tym zakresie, oraz podejście oparte na ryzyku stosowane w RODO, to administrator będzie każdorazowo obciążony decyzją, czy takie ryzyko podejmie czy też bardzkiej asekuracyjnie będzie poszukiwał oparcia swoich działań w zgodzie wyrażonej przez osoby, do których wiadomość marketingową chce skierować.
Z punktu widzenia przetwarzania danych osobowych w Polsce do celów marketingowych to jednak nie RODO powinno nam spędzać sen z powiek, a dwie z naszych rodzimych regulacji – ściślej, mowa o Prawie telekomunikacyjnym (dalej: PT) oraz Ustawie o świadczeniu usług drogą elektroniczną (dalej: UŚDE).
Zgodnie z brzmieniem art. 172 pierwszej z wymienionych ustaw:
Art. 172 [Marketing bezpośredni i niezamówione przekazy]
1. Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
2. Przepis ust. 1 nie narusza zakazów i ograniczeń dotyczących przesyłania niezamówionej informacji handlowej wynikających z odrębnych ustaw.
3. Używanie środków, o których mowa w ust. 1, dla celów marketingu bezpośredniego nie może odbywać się na koszt konsumenta.
Zgodnie zaś z brzmieniem art. 10 drugiej z wymienionych ustaw:
Art. 10 [Niezamówione informacje handlowe]
1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.
2. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
3. Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy, o której mowa w art. 9 ust. 3 pkt 1.
Powyższe oznacza ni mniej ni więcej, jak obowiązek pozyskania uprzedniej zgody osoby, której dane dotyczą na przesyłania jej wiadomości reklamowych drogą elektroniczną lub za pomocą telekomunikacyjnych urządzeń końcowych.
Jak należy w tym kontekście rozumieć w praktyce pojecie telekomunikacyjnych urządzeń końcowych i w jakich konkretnie sytuacjach będzie wymagana taka zgoda? Najczęściej w praktyce będzie mieć to zastosowanie do urządzeń typu telefon – zarówno stacjonarny jak i komórkowy, smartwatch, faks, komputer, czy tablet, a uprzednia zgoda wymagana będzie w okolicznościach przesyłania wiadomości handlowych, czy reklamowych w wiadomościach e-mail, SMS, MMS, faksowych, przy użyciu komunikatorów, np. Messengera na Facebooku, czy też w kontekście rozmowy telefonicznej, czy teleinformatycznej „na żywo” (zoom, skype, itp.).
Paradoksalnie zatem, o ile samo „groźne” RODO wcale nie wymaga od przedsiębiorcy w niektórych sytuacjach uzyskiwania zgód w celu przetwarzania danych osobowych dla celów marketingu bezpośredniego, o tyle na gruncie ww. prawa polskiego takie zgody są już konieczne.
A co w przypadku przesyłania informacji marketingowych pocztą tradycyjną, do której to formy nie odnoszą się powyższe regulacje krajowe?
Przyjmując, iż RODO umożliwia traktowanie działań marketingowych jako działań ze sfery uzasadnionego interesu administratora – o czym była już mowa na początku artykułu – wydaje się być dozwolonym zaniechanie pozyskiwania dodatkowych zgód w tym celu – oczywiście z zastrzeżeniem uwag o ryzyku kierowania takich wiadomości do osób wcześniej niezwiązanych z administratorem.
Pamiętać przy tym należy, że w pewnych przypadkach, choć nie będziemy musieli pozyskać zgody na przesłanie wiadomości marketingowej, to nie zwalnia to administratora z innych obowiązków nałożonych na niego przez RODO w związku z przetwarzaniem danych osób, np. bardzo istotnego obowiązku informacyjnego, nałożonego na administratora w art. 13 lub art. 14 RODO. Mam tu na myśli sytuacje, kiedy korespondencja z treścią marketingową wysyłana jest imiennie na adres konkretnej osoby. Mamy tu bowiem bezspornie do czynienia z przetwarzaniem danych osobowych, co najmniej w postaci imienia, nazwiska i adresu korespondencyjnego danej osoby. W takim wypadku, administrator musi przekazać takiej osobie szereg szczegółowych i konkretnych informacji, dotyczących przetwarzania jej danych.
Powyższe oczywiście nie dotyczy sytuacji wrzucania, np. nieimiennych ulotek reklamowych do skrzynek pocztowych anonimowych dla administratora osób, tj. osób do których, co prawda, kieruje informację handlową, ale których danymi nie dysponuje, przez co siłą rzeczy nie dokonuje przetwarzania ich danych. W takich sytuacjach na administratorze nie ciąży obowiązek informacyjny, o którym mowa w art. 13 RODO.
Dobra zgoda, czyli jaka?
Jeżeli, po analizie sytuacji, przedsiębiorca dojdzie do wniosku, że jednak ciąży na nim obowiązek pozyskania zgody na przetwarzanie danych danej osoby dla celów marketingowych, musi zadbać o to aby wyrażona zgoda spełniła wszystkie wymogi określone prawem, a nadto, aby stworzyć danej osobie „komfortowe” warunki wyrażenia tejże zgody, w postaci choćby zapewnienia transparentności i jasności sformułowania zgody oraz braku jakiegokolwiek przymusu do wyrażenia takowej zgody.
Zgoda taka może być pozyskiwana wszelkimi dostępnymi kanałami formami porozumiewania się, z zastrzeżeniem konieczności możności wykazania przez administratora, że została ona udzielona, co sprawia, iż zgody wyrażane ustnie nie są rekomendowane.
W przypadku zgód, o których mowa w art. 172 PT oraz art. 10 UŚDE, o których była mowa wyżej, będziemy mieć do czynienia z tymi samymi warunkami jakie na zgody nakłada RODO. Wynika to z brzmienia art. 174 PT i art. 4 UŚDE, które stanowią wprost, że do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych ( w praktyce – RODO).
Czym się charakteryzuje zgoda zgodna z wymogami RODO? Z odpowiedzią spieszy art. 7, który brzmi:
Artykuł 7. Warunki wyrażenia zgody.
1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.
2. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca.
3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
4. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
W zakresie dopuszczalnej formy wyrażenia zgody,przyjmuje się, że nie ma ograniczeń w zakresie formy pozyskiwania zgody – może mieć ona, np. formę pisemną, elektroniczną lub ustnego oświadczenia- ważne, aby była to czynność jednoznaczna, dokonana świadomie i dobrowolnie, oraz abyś mógł się z tego rozliczyć (miał dowód na wyrażenie takiej zgody w danej dacie). Jeżeli korzystasz z okienka wyboru na stronie internetowej, pamiętaj, że nie może być ono automatycznie zaznaczone – „kliknąć” musi osoba wyrażająca zgodę – jest to wymóg wyrażony również w dyrektywie Privacy by default mocno akcentowanej przez RODO. W pewnych sytuacjach wyrażenie zgody może polegać również na konkretnym zachowaniu, które w danych okolicznościach jednoznacznie dowodzi, że osoba, wyraża zgodę na przetwarzanie jej danych osobowych i chce aby takiego przetwarzania dokonano – np. poprzez udostępnienie swojego adresu e-mail (por. art. 10 ust. 2 UŚDE). Warto również pamiętać o tym, że jeżeli przetwarzanie ma służyć różnym celom, potrzebna jest osobna zgoda na wszystkie te cele.
W tym miejscu chciałabym wrócić jeszcze na chwilę do kwestii prawidłowego informowania osoby o przetwarzaniu jej danych, co do którego obowiązek ten został wyrażony w przywoływanym już wcześniej art. 13 RODO lub 14 RODO (jeżeli dane nie są pozyskane przez administratora bezpośrednio od osoby, której dotyczą).
Informacja, informacja i jeszcze raz informacja!
Administrator ma obowiązek, najpóźniej w chwili odbierania zgody od danej osoby, przedstawić jej informacje o przetwarzaniu jej danych. Podobnie jak z faktu pozyskania zgody, również z tego obowiązku administrator musi mieć możliwość się rozliczyć. Oczywiście informacji powyższej nie trzeba przekazywać osobie, której dane są przetwarzane, o ile osoba ta dysponuje już tymi informacjami. Zgodnie z brzmieniem RODO, informacji powyższej nie trzeba również przekazywać osobie, której dane są przetwarzane, o ile udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 RODO, lub o ile obowiązek informacyjny, może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania. W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie. Jako że na kanwie praktykowania zaniechania obowiązku informacyjnego w oparciu o przesłankę wyrażoną w poprzednim zdaniu mamy już pewne doświadczenia, pokazujące, że Prezes Urzędu Ochrony Danych Osobowych stosuje raczej restrykcyjne podejście do pojęcia „niewspółmiernie dużego wysiłku” i została już w tym kontekście zastosowana kara przez PUODO, należałoby być bardzo ostrożnym w tym zakresie.
W tym miejscu warto także zwrócić uwagę na brzmienie art. 21 RODO, zwłaszcza ust. 1-4 tegoż artykułu oraz brzmienie motywu 70 RODO. Zgodnie z nimi:
Motyw 70:
„Jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, powinna mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec tego przetwarzania, pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji.”
Artykuł 21. Prawo do sprzeciwu.
„1. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów. Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.
2. Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim.
3. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, danych osobowych nie wolno już przetwarzać do takich celów.
4. Najpóźniej przy okazji pierwszej komunikacji z osobą, której dane dotyczą, wyraźnie informuje się ją o prawie, o którym mowa w ust. 1 i 2, oraz przedstawia się je jasno i odrębnie od wszelkich innych informacji.”
A zatem na obowiązek informacyjny musimy patrzeć wieloaspektowo – w zakresie zarówno formy i konstrukcji edytorskiej udzielanej informacji, adekwatnej treści, jak również poszukiwać w tym zakresie wytycznych także poza art. 13 i 14 RODO.
W zakresie samej informacji marketingowej, administrator musi pamiętać, aby wiadomość skierowana do odbiorcy w celach marketingowych była wyraźnie określona jako informacja o charakterze marketingowym. Nie możemy takich informacji „chować”, czy „przemycać” pod przykrywką innych informacji o niemarketingowym charakterze.
Ponieważ za nieprzestrzeganie RODO, Prawa telekomunikacyjnego czy też Ustawy o świadczeniu usług drogą elektroniczną w zakresie wskazanym w niniejszym opracowaniu, grożą kary, w tym dotkliwe kary finansowe, warto zadbać o to, aby podejmowane przez nas działania marketingowe były legalne, oparte o adekwatne podstawy prawne i wyróżniające się dbałością o bezpieczeństwo danych naszych klientów lub potencjalnych klientów.
Warto również pamiętać o tym, że w natłoku pięknych ulotek, przyciągających wzrok grafik, jedynych w swoim rodzaju okazji, czy najkorzystniejszych promocji, najlepszym marketingiem dla przedsiębiorcy może okazać się widoczna troska o dobro i poszanowanie praw osób, które rozważają powierzenie mu swoich danych osobowych – bezcennego w dzisiejszych czasach dobra 🙂
Weronika Łobacz
Adwokat - członek Warszawskiej Palestry. Ukończyła studia prawnicze i psychologiczne w ramach Międzywydziałowych Indywidualnych Studiów Humanistycznych na Uniwersytecie Warszawskim, a także aplikację adwokacką w ramach Warszawskiej Izby Adwokackiej.
Specjalizuje się w prawie gospodarczym - głównie obsłudze prawnej przedsiębiorców indywidualnych oraz spółek, prawie umów, obsłudze korporacyjnej, prawie pracy oraz przetwarzaniu danych osobowych.
Różnorodne doświadczenie zawodowe zbudowała w oparciu o wieloletnią obsługę dużej korporacji finansowej, skupiającej w sobie liczne spółki z branży finansowej i ekonomicznej. Kompetencje psychologiczne pozwalają jej być nie tylko adwokatem, ale także wsparciem dla klientów, w czasach, kiedy skuteczność prawnika wymaga od niego nie tylko rzetelności i dociekliwości, ale również intuicji ludzkiej i prawniczej, oraz wysokiego poziomu kompetencji społecznych. Połączenie tych cech sprawia, że potrafi stosować twórcze i nieszablonowe rozwiązania zarówno w obsłudze klienta indywidualnego, jak i w pracy z przedsiębiorcami oraz klientem biznesowym.