Wykorzystywanie danych osobowych w celach marketingowych spędza sen z powiek niejednemu podmiotowi. Kwestie związane z wysyłką informacji handlowych reguluje bowiem kilka aktów prawnych, tj. Ogólne rozporządzenie o ochronie danych, Ustawa o świadczeniu usług drogą elektroniczną oraz Prawo telekomunikacyjne.
Kto i ile zgód powinien zebrać, aby wysyłka informacji handlowych była zgoda z prawem?
Zgoda RODO
Jeżeli przetwarzanie danych osobowych w celach marketingowych opiera się na zgodzie, to każdy administrator powinien tę zgodę zgromadzić oddzielnie.
Nie dopuszcza się zbierania zgody przez dwa podmioty jednocześnie. Nie będzie miało przy tym znaczenia, że podmioty te działają w jednej grupie kapitałowej albo ściśle ze sobą współpracują.
Od zawsze bowiem obowiązuje zasada: jeden administrator – jedna zgoda.
Jest to związane przede wszystkim z warunkami, jakie zgodnie z RODO, wyrażana zgoda powinna spełniać. Zgoda na przetwarzanie danych osobowych powinna być m.in. dobrowolna. Przy zastosowaniu jednej zgody dla kilku administratorów, nie ma mowy o dobrowolności przy wyborze podmiotu, dla którego zgoda jest wyrażana.
Przykład – poprawne klauzule zgody
- ☐ Wyrażam zgodę na przetwarzanie moich danych osobowych przez ABC Sp. z o.o. w celach marketingowych.
- ☐ Wyrażam zgodę na przetwarzanie moich danych osobowych przez XYZ Sp. z o.o. w celach marketingowych.
Przykład – niepoprawna klauzula zgody
- ☐ Wyrażam zgodę na przetwarzanie moich danych osobowych przez ABC Sp. z o.o. oraz XYZ Sp. z o.o. w celach marketingowych.
Oczywiście dobrowolność nie jest jedynym warunkiem, jaki spełnić musi zgoda, aby była pozyskana zgodnie z RODO. O innych warunkach tej przesłanki przetwarzania pisaliśmy już na naszym blogu, w tekście w pełni poświęconym zgodzie na przetwarzanie danych osobowych.
Warto również wskazać, że przetwarzanie danych osobowych w celach marketingowych może następować na innej niż zgoda podstawie prawnej. Podstawa tą będzie prawnie uzasadniony interes realizowany przez administratora lub stronę trzecią. RODO w motywie 47 wprost wskazuje, że za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych dla celów marketingu bezpośredniego. Pamiętajmy jednak, że wykorzystanie tej przesłanki, wymagać będzie przeprowadzenia przez administratora tzw. testu równowagi (ang. balancing test).
Klauzule informacyjne oraz klauzule zgód
Pracuj na sprawdzonych wzorach i wytycznych, których autorami są eksperci Lex Artist sp. z o.o. – lidera na rynku ochrony danych osobowych w Polsce.
Skorzystaj z naszych sprawdzonych wzorów klauzul informacyjnych i klauzuli zgody.
Zgody UŚUDE i Pr. Telekom.
Niezależnie od zgody na przetwarzanie danych osobowych, funkcjonują zgody na gruncie Ustawy o świadczeniu usług drogą elektroniczną oraz Prawa telekomunikacyjnego. Każdy z podmiotów wysyłający informacje o charakterze handlowym powinien dysponować również takimi zgodami. Zgody te już konkretnie odnoszą się do przesyłania komunikatów marketingowych. Warunki ich pozyskiwania są jednak takie same jak przy zgodzie RODO. Przedstawione akty prawne w swojej treści wskazują bowiem, że do zgód pozyskiwanych na ich podstawie, stosuje się przepisy dotyczące zgody na przetwarzanie danych osobowych. Co to oznacza w praktyce?
Wyrok NSA
Treść zgód na komunikację marketingową powinna wskazywać odbiorcy m.in. to jakiej treści komunikatów po wyrażeniu zgody może on się spodziewać, tj. czy jest to marketing produktów i usług własnych czy też marketing produktów i usług innych podmiotów (np. z grupy kapitałowej). Potwierdził to ostatni wyrok Naczelnego Sądu Administracyjnego z dnia 20 kwietnia 2021 r. (sygn. akt III OSK 161/21). Sąd, potrzebę zbierania w tym zakresie odrębnych zgód, wywiódł z różnych celów w jakich są one gromadzone.
Niezależnie od powyższego, wyrażający zgodę powinien mieć również możliwość wyboru kanału komunikacji (mail / telefon / sms).
Decyzja UOKiK
Prezes UOKiK, w swojej decyzji z dnia 30 maja 2019 r. (sygn. DOZIK-8.610.20.2017.KA/MO), wprost wskazał, co powinna określać zgoda pozyskiwana dla celów marketingu. Zdaniem organu, do obligatoryjnych elementów zgody zaliczymy:
- kanał przyszłego kontaktu,
- cel tego kontaktu oraz
- podmiot, na rzecz którego zgoda jest udzielana.
W celu uniknięcia wątpliwości, Prezes UOKiK wyjaśnił jednocześnie, że zgoda powinna być udzielana na rzecz jednego podmiotu wskazanego w treści zgody.
W przypadku zgody gromadzonej dla celów marketingu produktów i usług innych podmiotów warto, aby odbiorcy została przedstawiona lista tych podmiotów. Tak aby, znowu, wiedział jakiej treści komunikatów (jakich podmiotów dotyczących) może się spodziewać. Może to nastąpić albo przez wylistowanie tych podmiotów w samej zgodzie (przy dużej ilości podmiotów opcja mało praktyczna) albo poprzez np. zastosowanie linka z listą (np. na słowie „podmiotów z grupy”).
Przykład – poprawne klauzule zgody
- ☐ Wyrażam zgodę na otrzymywanie od ABC Sp. z o.o. komunikacji marketingowej dotyczącej produktów i usług ABC Sp. z o.o. poprzez:
☐ sms
☐ telefon
- ☐ Wyrażam zgodę na otrzymywanie od ABC Sp. z o.o. komunikacji marketingowej dotyczącej produktów i usług innych podmiotów z grupy kapitałowej, do której należy ABC Sp. z o.o. (link do listy) poprzez:
☐ sms
☐ telefon
Przykład – niepoprawna klauzula zgody
- ☐ Wyrażam zgodę na otrzymywanie komunikacji marketingowej dotyczącej produktów i usług ABC Sp. z o.o. oraz podmiotów z grupy kapitałowej do której należy ABC Sp. z o.o.
Podsumowanie
Ile zatem zgód należy pozyskać, aby móc zgodnie z prawem przesyłać informacje o charakterze marketingowym? Niestety ciężko jest w tym zakresie udzielić jednoznacznej odpowiedzi. Wszystko zależy od przyjętej przez dany podmiot podstawy przetwarzania danych osobowych, rodzaju komunikatów marketingowych, które mają być przesyłane oraz kanałów komunikacji, z których dany podmiot chce skorzystać. Obrazuje to poniższa tabela.
Stan faktyczny | Ilość zgód |
| Jedna zgoda na:
|
| Pięć zgód na:
|
Źródła:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne rozporządzenie o ochronie danych)
- Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (t.j. Dz.U. z 2021 r. poz. 576)
- Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz. U. z 2020 r. poz. 344)
- Decyzja Prezesa Urzędu Ochrony Konkurencji i Konsumentów z z dnia 30 maja 2019 r. (sygn. DOZIK-8.610.20.2017.KA/MO)
- wyrok Naczelnego Sądu Administracyjnego z dnia 20 kwietnia 2021 r. (sygn. akt III OSK 161/21)
2 Odpowiedzi
Zostaw odpowiedź
Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.
Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.
proszę o więcej artykułów z takimi praktycznymi przykładami i wzorami 🙂
kolejne artykułu już w przygotowaniu:)