RODO, ustawa RODO

Analysis

Implementacja RODO może nie wystarczyć, by legalnie prowadzić marketing

Newsletter: RODO #22 | lipiec 2018 r.

W ostatnich miesiącach zaobserwowaliśmy zwiększone zainteresowanie tematem danych osobowych. Wynika ono z rozpoczęcia stosowania przepisów RODO (ogólnego rozporządzenia o ochronie danych osobowych)[1]. Nowa regulacja wzbudziła szczególnie dużo emocji w branży marketingowej, choć nie zabrakło ich również wśród przedsiębiorców prowadzących promocję swojej działalności we własnym zakresie. Przetwarzanie danych osobowych w celach marketingowych było jednym z bardziej istotnych elementów weryfikacji przygotowania firm do wymogów RODO. W rezultacie, szereg procesów marketingowych musiało ulec znaczącej modyfikacji. Jednakże dostosowanie procesów marketingowych do wymogów RODO nie zawsze będzie oznaczało, że marketing prowadzony jest zgodnie z prawem. Istnieje bowiem szereg innych regulacji, które w tym przypadku znajdują zastosowanie, a o których często firmy nie pamiętają.

Przetwarzanie danych osobowych w celach marketingowych było jednym z bardziej istotnych elementów weryfikacji przygotowania firm do wymogów RODO. W rezultacie, szereg procesów marketingowych musiało ulec znaczącej modyfikacji. Jednakże dostosowanie procesów marketingowych do wymogów RODO nie zawsze będzie oznaczało, że marketing prowadzony jest zgodnie z prawem. Istnieje bowiem szereg innych regulacji, które w tym przypadku znajdują zastosowanie, a o których często firmy nie pamiętają.
 

Wprowadzenie

Przetwarzanie danych osobowych w celach marketingowyh wymaga na gruncie RODO istnienia podstawy prawnej. Najczęściej będą to zgoda (na kierowanie komunikacji marketingowej do potencjalnych klientów) lub uzasadniony interes (w przypadku kierowania komunikacji marketingowej do istniejących klientów). Należy podkreślić, iż w przypadku niektórych działań marketingowych, przedsiębiorca będzie zobowiązany spełnić dodatkowe wymogi niż tylko te wskazane w RODO.  

W dzisiejszych realiach rynkowych znaczna część działań marketingowych prowadzona jest telefonicznie oraz za pośrednictwem Internetu, w związku z czym szczególnego znaczenia nabierają postanowienia Dyrektywy e-Privacy[2], która tworzy ramy ograniczające możliwość kierowania do podmiotów komunikatów marketingowych przez urządzenia do wywołań automatycznych, telefaksy, e-maile, czy SMS. Implementując te postanowienia, do polskiego porządku prawnego wprowadzono nie jedną, a dwie niezależne od siebie zgody – w Prawie telekomunikacyjnym[3] oraz Ustawie o świadczeniu usług drogą elektroniczną[4].

Zgodnie ze stanowiskiem Prezesa Urzędu Komunikacji Elektronicznej[5], jako że zgody te znajdują swoje podstawy prawne w różnych przepisach prawa i nie mogą być stosowane zamiennie, powinny być udzielane w sposób, który pozwalałby na jednoznaczne rozstrzygnięcie co do faktycznej, odrębnej akceptacji możliwości dokonywania każdej z tych czynności. Pozostają też niezależne od podstaw przetwarzania danych na podstawie RODO.[6]
 

Prawo telekomunikacyjne

Art. 172 ust. 1 Prawa telekomunikacyjnego wymaga zgody na (i) używanie (ii) telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących (iii) dla celów marketingu bezpośredniego (iv) wobec abonenta lub użytkownika końcowego.

Zakres zastosowania zgody z Prawa telekomunikacyjnego jest bardzo szeroki. Jej pozyskanie jest niezbędne dla samego “używania” urządzeń telekomunikacyjnych lub automatycznych systemów wywołujących, a więc dla ich wykorzystania w szerokim tego słowa znaczeniu jako środka, narzędzia do realizacji określonego celu, którym w tym przypadku będzie marketing bezpośredni.[7] Cel ten realizowany będzie za pomocą „telekomunikacji”, czyli nadawania, odbioru lub transmisji informacji, niezależnie od ich rodzaju, za pomocą przewodów, fal radiowych bądź optycznych lub innych środków wykorzystujących energię elektromagnetyczną. Służyć do tego będą właśnie telekomunikacyjne urządzenia końcowe, takie jak komputer, telefon, czy tablet, a także automatyczne systemy wywołujące używane bez ludzkiej ingerencji.

Marketing bezpośredni kierowany za pomocą automatycznych wysyłek SMS, połączeń głosowych, IVR (Interactive Voice Response), czy poczty elektronicznej wymagać będzie zatem zgody udzielonej na gruncie Prawa telekomunikacyjnego. Nie ma przy tym znaczenia, czy jej adresatem (abonentem będącym stroną umowy o świadczenie usługi telekomunikacyjnych lub użytkownikiem końcowym korzystającym z tej usługi dla własnych potrzeb), będzie osoba fizyczna, prawna, czy inna jednostka organizacyjna.

Wskazana zgoda musi przy tym odpowiadać wymaganiom określonym w art. 174, tj. (i) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; (ii) może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika; (iii) może być wycofana w każdym czasie, w sposób prosty i wolny od opłat; oraz (iv) musi być zgodą uprzednią.

Projektowane przepisy ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO[8], przewidują, że do uzyskania zgody abonenta lub użytkownika końcowego zastosowanie znajdą przepisy o ochronie danych osobowych, co pozwoli na ujednolicenie wymagań co do pozyskiwania zgód na gruncie różnych przepisów. Takie podejście jest spójne z art. 95 RODO oraz opinią Grupy Roboczej[9], stanowiących, że wymagań dla zgody określonych na gruncie RODO nie należy postrzegać jako dodatkowych obowiązków, ale raczej jako warunek konieczny zgodnego z prawem przetwarzania. Wymagania te powinny mieć zatem zastosowanie również w sytuacjach objętych Dyrektywą e-Privacy.
 

Ustawa o świadczeniu usług drogą elektroniczną

Zgoda przewidziana w art. 10 Ustawy o świadczeniu usług drogą elektroniczną obejmuje (i) przesyłanie informacji handlowej (ii) do oznaczonej osoby fizycznej (iii) za pomocą środków komunikacji elektronicznej. Zgoda ta ma pokrywający się niekiedy, ale jednak odrębny zakres zastosowania od zgody na gruncie Prawa telekomunikacyjnego.

Informacja handlowa przeznaczona jest zgodnie z jej definicją legalną do promowania (bezpośrednio lub pośrednio) towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód regulowany, a więc zasadniczo oznacza skierowanie do odbiorcy marketingu bezpośredniego. Marketing ten kierowany jest za pomocą środków komunikacji elektronicznej, czyli m.in. urządzeń teleinformatycznych, które umożliwiają indywidualne porozumiewanie się na odległość przy wykorzystaniu transmisji danych pomiędzy systemami teleinformatycznymi, w szczególności pocztą elektroniczną. Obejmuje więc wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą telekomunikacyjnych urządzeń końcowych.

Uwzględnia zatem jedynie komunikację opartą na transmisji danych, a co za tym idzie, wyłączona z jej zakresu będzie komunikacja oparta na transmisji głosu (realizowana za pośrednictwem połączeń głosowych, np. bezpośredni kontakt telefoniczny telemarketera z odbiorcą). Objęte nią będzie jednak przesyłanie informacji handlowej z wykorzystaniem telefonii VoIP (Voice over Internet Protocol) z uwagi na to, że w technologii tej głos jest zamieniany na pakiety danych.

Zgoda ta wymagana jest wyłącznie w przypadku, gdy adresatem komunikatu jest osoba fizyczna. Nie ma więc konieczności jej pozyskiwania w przypadku przesyłania informacji handlowej do osób prawnych i innych jednostek organizacyjnych, takich jak spółki prawa handlowego.

Musi natomiast odpowiadać wymaganiom określonym w art. 4 Ustawy o świadczeniu usług drogą elektroniczną, tj. (i) być zgodą uprzednią; (ii) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; a także (iii) może być odwołana w każdym czasie. Podobnie jak w przypadku zgody pozyskiwanej na gruncie Prawa telekomunikacyjnego, wspomniany już projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO, przewiduje również bezpośrednie odniesienie przepisów o ochronie danych osobowych do uzyskania zgody na przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej.
 

Rozporządzenie e-Privacy[10]

W ramach reformy związanej z ochroną prywatności obywateli Unii Europejskiej, której pierwszym elementem było uchwalenie i rozpoczęcie stosowania RODO, trwają obecnie prace nad zastąpieniem Dyrektywy e-Privacy, stosownym rozporządzeniem w sprawie prywatności i łączności elektronicznej. Rozporządzenie e-Privacy ma uzupełniać regulacje wprowadzone przez RODO i korzystać z wypracowanej tam już siatki pojęciowej. Jego celem jest poprawa bezpieczeństwa komunikacji prowadzonej przez użytkowników telekomunikacyjnych urządzeń końcowych.

Przetwarzanie danych, jakie wiążą się z komunikacją elektroniczną w publicznej sieci łączności, obejmujących jej treść (tj. zawartość taką jak tekst, głos, wideo, obraz, czy dźwięk), a także metadane (związane m.in. z geolokalizacją, odwiedzanymi stronami internetowymi, wybieranymi numerami), jak również informacje o urządzeniu końcowym użytkownika będzie mogło mieć miejsce jedynie w ściśle określonych przypadkach. Dane te będą bowiem co do zasady danymi poufnymi.

Rozporządzenie e-Privacy ujednolici w szczególności zasady związane z przesyłaniem marketingu bezpośredniego do użytkowników końcowych w całej Unii Europejskiej. Takim marketingiem będzie każda forma promocji, czy to pisemna, czy ustna przesyłana jednej lub więcej zidentyfikowanym lub możliwym do zidentyfikowania osobom, w tym również w bezpośredniej rozmowie telefonicznej, przy wykorzystaniu automatycznych systemów wywołujących oraz za pośrednictwem wiadomości elektronicznych (takich jak e-mail, SMS, czy MMS). Na jego prowadzenie, będzie zasadniczo wymagana zgoda użytkownika, która powinna odpowiadać warunkom określonym w RODO. Sama treść komunikacji marketingowej również będzie musiała spełniać szereg warunków, w tym związanych z odpowiednią identyfikacją podmiotu ją kierującego oraz charakterem tej komunikacji.

Naruszenie postanowień Rozporządzenia e-Privacy ma być zagrożone analogicznymi karami pieniężnymi, z jakimi mamy do czynienia na gruncie RODO, tj. w wysokości do 10.000.000 EUR / 2% światowego obrotu lub 20.000.000 EUR / 4 % światowego obrotu.
 

Więcej o projekcie Rozporządzenia e-Privacy można dowiedzieć się z innych naszych publikacji:

Prace nad Rozporządzeniem e-Privacy trwają. Rozporządzenie ma być stosowalne po upływie roku od jego wejścia w życie. Należy podkreślić, że jako mające bezpośrednie zastosowanie, zastąpi docelowo komentowane postanowienia Prawa telekomunikacyjnego i Ustawy o usługach elektronicznych. Już teraz jednak komunikacja marketingowa prowadzona w szczególności przez Internet lub telefon, powinna zostać zweryfikowana pod kątem zgodności z obecnie obowiązującymi przepisami prawa, aby uniknąć możliwych sankcji.

Naruszenie obowiązków związanych z pozyskaniem zgody na gruncie Prawa telekomunikacyjnego zagrożone jest karą pieniężną. Z kolei kierowanie do odbiorców niezamówionej (tj. bez pozyskania ich zgody) informacji handlowej za pomocą środków komunikacji elektronicznej na gruncie Ustawy o świadczeniu usług drogą elektroniczną podlega nie tylko karze grzywny, ale też stanowi czyn nieuczciwej konkurencji w rozumieniu Ustawy o zwalczaniu 
nieuczciwej konkurencji[11]. Praktyki te mogą też potencjalnie zostać uznane za naruszenie zbiorowych interesów konsumentów na podstawie Ustawy o ochronie konkurencji i konsumenta.[12]


Przypisy:

[1] Rozporządzenie parlamentu europejskiego i rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE L 119, z dnia 4 maja 2016 r.).

[2] Dyrektywa 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz. U. UE L 201, z dnia 31 lipca 2002 r.).

[3] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz.U. 2004 nr 171 poz. 1800 ze zm.).

[4] Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U. 2002 nr 144 poz. 1204 ze zm.).

[5] Pismo z dnia 21 października 2015 r., znak: DP.034.32.2015.L. http://www.sabi.org.pl/attachments/File/do_pobrania/UKE-2015/odpowiedz-UKE-21-10-2015.pdf

[6] O niedopuszczalności łączenia zgód wypowiedział się też Generalny Inspektor Ochrony Danych Osobowych (obecnie: Prezes Urzędu Ochrony Danych Osobowych): https://giodo.gov.pl/pl/259/10003

[7] Uchwała Sądu Najwyższego z dnia 17 lutego 2016 r., sygn. III SZP 7/15.

[8] Aktualny projekt z dnia 7 czerwca 2018 r. oraz możliwość śledzenia procesu legislacyjnego jest dostępny pod adresem: https://legislacja.rcl.gov.pl/projekt/12302951/katalog/12457737

[9] Wytyczne Grupy Roboczej art. 29 w sprawie zgody na gruncie Rozporządzenia 2016/679 z dnia 28 listopada 2017 r., zaktualizowane 10 kwietnia 2018 r.

[10] Postęp prac nad rozporządzeniem można śledzić pod adresem: https://eur-lex.europa.eu/legal-content/EN/HIS/?uri=CELEX:52017PC0010#2018-06-13_DIS_byCONSIL

[11] Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U. 1993 nr 47 poz. 211 ze zm.)

[12] Ustawa z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumenta (Dz. U. 2007, nr 50, poz. 331 ze zm.)

Subskrybcja

Subskrybuj na e-mail powiadomienia o nowych wydaniach Newslettera: RODO.

Kliknij tutaj, aby dokonać subskrypcji
Did you find this useful?