Ochrona danych osobowych, RODO

Analizy

RODO: Kryteria prawidłowej zgody marketingowej według UOKiK

Publikacja: RODO I sierpień 2019 r.

Pod koniec maja 2019 roku Prezes UOKiK wydał decyzję, w której stwierdził, że spółka – operator telekomunikacyjny – stosowała praktykę naruszającą zbiorowe interesy konsumentów polegającą na wykonywaniu połączeń telefonicznych do osób, których dane pozyskane zostały od partnerów Spółki. Sytuacja dotyczyła prowadzenia marketingu bezpośredniego oferty Spółki, pomimo nieudzielenia przez te osoby uprzedniej zgody wymaganej przepisami prawa telekomunikacyjnego.

Prezes UOKiK nie nałożył kary finansowej, ale zobowiązał ukaraną Spółkę do określonego działania w zakresie pozyskiwania zgód oraz umożliwienia osobom narażonym na bezprawne zachowanie Spółki, skorzystania z dodatkowych, bezpłatnych lub promocyjnie wycenionych usług albo rozwiązania zawartych ze Spółką umów.

Decyzja może mieć doniosłe znaczenie dla praktyki marketingu bezpośredniego, nie tylko realizowanego przez telefon, ale również za pośrednictwem internetu. Prezes UOKiK przedstawił bowiem w niej swoją interpretację pojęcia dokładności zgody a także tego na jakich zasadach można korzystać z baz danych marketingowych nabywanych od zewnętrznych podmiotów.

Zdaniem Prezesa UOKiK zgoda na marketing bezpośredni powinna określać kanał przyszłego kontaktu z potencjalnym klientem, cel tego kontaktu oraz podmiot, na rzecz którego zgoda jest udzielana. W celu uniknięcia wątpliwości, Prezes UOKiK wyjaśnił jednocześnie, że zgoda powinna być udzielana na rzecz jednego podmiotu wskazanego w treści zgody.

Zgodnie z omawianą decyzją, w przypadku baz danych nabywanych od partnerów, zgody muszą spełniać kryteria określone powyżej a podmiot je uzyskujący musi być zobowiązany do informowania nabywcy o każdorazowym cofnięciu lub modyfikacji zgody. Nabywca natomiast zobowiązany jest wprowadzić mechanizm kontroli i finansowej odpowiedzialności partnera za wszelkie stwierdzone przypadki niewykonania lub nienależytego wykonania zobowiązań dotyczących sposobu uzyskiwania i zarządzania zgodami.

W uzasadnieniu decyzji Prezes UOKiK podkreślił również, że zgoda w rozumieniu prawa telekomunikacyjnego (na kontakt telefoniczny) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Zgoda taka ma charakter niezależny od innych zgód i nie może zostać wywiedziona ze zgody na przetwarzanie danych osobowych w celach marketingowych, która została udzielona wyłącznie na podstawie ustawy o ochronie danych osobowych czy zgody na otrzymywanie informacji handlowych drogą elektroniczną w rozumieniu przepisów o świadczeniu usług drogą elektroniczną.

RODO

Wszystko o wpływie unijnego rozporządzenia na porządek prawny w Polsce.

Dowiedz się więcej

Oznacza to potwierdzenie dotychczas przeważającego poglądu o konieczności rozdzielania zgód na marketing prowadzony drogą telefoniczną oraz przesyłanie informacji handlowych drogą elektroniczną

- mówi Tomasz Rutkowski, Senior Managing Associate, Deloitte Legal.

Skutecznie udzielona zgoda powinna ponadto cechować się walorem konkretności, tj. m.in. określać podmiot, na rzecz którego została udzielona. Prezes UOKiK wyraźnie wskazał, że umieszczanie w treści zgód odwołania do „partnerów”, „podmiotów współpracujących” czy „podmiotów trzecich”, bez ich wymienienia, nie spełnia wymogu konkretności. Choć nie jest to wyrażone wprost w decyzji, można założyć, że organ w różny sposób ocenia odesłanie do partnerów bez ich wymienienia oraz odesłanie do listy partnerów.

Z uwagi na podobieństwo regulacji, wymagania dotyczące zgody na marketing telefoniczny określone w decyzji UOKiK znajdują zastosowanie również do zgody na przesyłanie informacji handlowych drogą elektroniczną (np. w drodze wiadomości email).

Poniższa tabela przedstawia porównanie treści zgód i ich ocenę zgodności z wymaganiami prawa.

W przypadku, w którym dany podmiot chce prowadzić akcję marketingową do osób, których dane dostarczył mu zewnętrzny dostawca (tzn. kupuje bazę marketingową), podmiot ten musi umownie zagwarantować poprawność zgód. Poniższa tabela przedstawia klauzule umowy z dostawcą bazy wraz z ich oceną.

Przedstawiona powyżej „dobra klauzula” zawiera wszystkie konieczne zapewnienia dostawcy bazy, zobowiązuje go do przedstawiania informacji o cofnięciu zgody lub jej modyfikacji, wprowadza mechanizm kontrolny oraz przewiduje pełną odpowiedzialność dostawcy za naruszenie tych zobowiązań.

Patrząc na obecną praktykę rynku udostępniania baz danych marketingowych można założyć, że bardzo będzie trudno znaleźć bazę spełniającą kryteria określone w omawianej decyzji, podobnie jak i dostawcę, który zaakceptuje umowę zgodną z wymogami Prezesa UOKiK. Oznacza to, że każde działanie marketingowe oparte na zakupionej bazie danych należy ocenić jako bardzo ryzykowne.

Przeprowadzona przez Prezesa UOKiK analiza przepisów dotyczących zgody prowadzi do wniosku, że uzyskanie skutecznej zgody na określone działanie może być bardzo trudne. Dotyczy to zresztą nie tylko zgody na marketing telefoniczny czy przesyłanie informacji handlowych drogą elektroniczną, ale również zgody na przetwarzanie danych osobowych.

W odróżnieniu od zgód marketingowych jednak, podstawowym zagadnieniem do rozstrzygnięcia przy okazji zgody na przetwarzanie danych jest to, czy stanowi ona prawidłową podstawę prawną przetwarzania.

W tym zakresie warto przywołać niedawną decyzję greckiego organu nadzoru, w której wymierzono karę finansową w wysokości ok. 150,000 euro m.in. za uzyskiwanie zgód na przetwarzanie danych od pracowników. W decyzji tej stwierdzono, że zasady zgodnego z prawem, uczciwego i przejrzystego przetwarzania danych osobowych wymagają, aby zgoda była traktowana jako prawidłowa podstawa prawna przetwarzania tylko wtedy, gdy inne podstawy prawne wymienione w przepisach RODO nie znajdują zastosowania.

Jeżeli rzeczywistą podstawą prawną przetwarzania jest uzasadniony interes, konieczność wykonania umowy lub obowiązek prawny, uzyskiwanie zgody (co czasami administratorzy robią na wszelki wypadek) nie może zostać uznane za działanie zgodne z prawem, ponieważ daje podmiotowi danych złudne poczucie kontroli nad tym czy jego dane mogą czy nie mogą być przetwarzane. W konsekwencji administrator narusza zasadę przejrzystości przetwarzania, ponieważ przekazuje podmiotom danych nieprawdziwą informacje o podstawach prawnych przetwarzania danych osobowych.

Administrator powinien zawsze uzyskać konkretną zgodę na działania marketingowe prowadzone telefonicznie lub elektronicznie, ale jednocześnie powinien zawsze wykluczyć możliwość powołania się na inne podstawy prawne przetwarzania danych osobowych zanim poprosi podmiot danych o zgodę na przetwarzanie na podstawie RODO.

Czy ta strona była pomocna?