Ogólnej problematyce zgód na gruncie RODO poświęciliśmy poprzedni wpis. Niniejszy artykuł koncentrować będzie się na temacie zgody marketingowej – a więc zgody na prowadzenie marketingu bezpośredniego wg RODO (a ściślej ujmując na rozstrzygnięciu tego kiedy jest ona potrzebna a kiedy nie).
Jak już wskazaliśmy we wcześniejszym wpisie, zgoda jest jedną z przesłanek umożliwiających przetwarzanie danych osobowych. Czy jest to natomiast właściwa przesłanka do prowadzenia marketingu bezpośredniego? Otóż, nie zawsze.
Zgodnie z motywem 47 preambuły RODO, za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należy w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Musi zatem istnieć pewna relacja pomiędzy administratorem a podmiotem danych, która umożliwi administratorowi podejmowanie działań marketingowych, których adresat będzie mógł się spodziewać.
Prawnie uzasadniony interes jest przy tym odrębną od zgody przesłanką przetwarzania danych osobowych (art. 6 ust.1 pkt f RODO), a jak wskazywaliśmy w naszym wcześniejszym wpisie, przesłanek przetwarzania danych nie kumulujemy – wybieramy zawsze tę jedną, najbardziej adekwatną. Przetwarzanie danych osobowych powinniśmy opierać na zgodzie podmiotu danych tylko wówczas, gdy brak innej przesłanki to umożliwiającej. W związku z powyższym jawią się następujące pytania:
Czy prawnie uzasadnionym interesem można tłumaczyć działania marketingowe względem wszelkich osób?
W naszej ocenie prawnie uzasadniony interes do podjęcia działań marketingowych istnieje w sposób niezaprzeczalny jedynie w odniesieniu do klientów administratora (osób korzystających już z produktów lub usług administratora, niezależnie od odpłatności). W przypadku osób, które nie są w jakikolwiek sposób powiązane z administratorem, trudno oczekiwać by osoby te miały rozsądne przesłanki by spodziewać się, że ich dane osobowe mogą być przetwarzane w celu marketingu bezpośredniego przez podmiot, z którym nic ich nie łączy. Nadużyciem byłoby więc w naszej ocenie budowanie baz adresatów działań marketingowych np. przy użyciu książki telefonicznej i prowadzenie w stosunku do nich działań marketingowych bez ich zgody na takie działania.
W praktyce biznesowej, do czasu kiedy zacznie być stosowane rozporządzenie e-privacy, marketing bezpośredni własnych produktów lub usług (a często i cudzych) prowadzony będzie mimo wszystko najczęściej w oparciu o przesłankę prawnie uzasadnionego interesu administratora – należy mieć jednak świadomość, że zazwyczaj będzie to praktyka nieprawidłowa, a w gruncie rzeczy bezprawna. Zachęcamy więc by z przesłanki prawnie uzasadnionego interesu korzystać w sposób rozważny oraz ostrożny, pamiętając, iż zgodnie z zasadą rozliczalności musimy być w stanie wykazać, iż prawnie uzasadniony interes istnieje.
Czy prawnie uzasadnionym interesem jest jedynie marketing bezpośredni produktów lub usług własnych administratora?
RODO (inaczej niż uchylona już ustawa o ochronie danych osobowych z 1997 r.) nie wprowadza odmiennych regulacji dla marketingu bezpośredniego produktów/usług własnych i cudzych. Na gruncie przepisów RODO przyjąć więc można na tę chwilę, że marketing produktów lub usług partnerów handlowych administratora objęty jest co do zasady również prawnie uzasadnionym interesem administratora, jednak tylko wtedy, gdy dotyczy produktów lub usług powiązanych z produktami lub usługami administratora, z których korzysta jego klient (vide motyw 47 preambuły RODO). Przykładowo więc, producent suplementów sportowych może prowadzić względem swoich klientów (do czasu rozpoczęcia stosowania rozporządzenia e-privacy) względnie bezpiecznie marketing sprzętu fitness lub odzieży fitness oferowanej przez jego partnerów handlowych. Prawnie uzasadnionego interesu po stronie producenta odżywek trudno będzie się już natomiast doszukać jeśli prowadzonym przez niego marketingiem bezpośrednim miałyby zostać objęte np. napoje alkoholowe czy usługi turystyczne oferowane przez jego partnerów handlowych.
Czy prawnie uzasadniony interes obejmuje wszelkie produkty lub usługi?
Zakres produktów/usług, których marketing prowadzić można w oparciu o prawnie uzasadniony interes administratora zależy w dużej mierze od charakteru podmiotu będącego administratorem danych. Przykładowo więc, sieć hipermarketów mająca w swoim asortymencie rozmaite produkty, może w naszej ocenie, w oparciu o prawnie uzasadniony interes, prowadzić względem swoich klientów marketing bezpośredni wszelkich produktów będących w normalnej, codziennej ofercie tej sieci, niezależnie od tego, że dany klient kupuje najczęściej tylko mleko i bułki – udając się jednak do sklepu wielobranżowego może spodziewać się, że będą mu oferowane produkty z różnych branż. Inaczej sytuacja wyglądać będzie w przypadku osiedlowej cukierni, która nie będzie w naszej ocenie posiadać prawnie uzasadnionego interesu do prowadzenia marketingu sprzętu elektronicznego jeśli sprzęt taki nie znajduje się w normalnej ofercie cukierni a sprzedawany jest np. w sklepie internetowym prowadzonym przez właściciela cukierni (mimo że będziemy mieli do czynienia z tym samym administratorem danych).
Papierkiem lakmusowym wskazującym nam kiedy prawnie uzasadniony interes istnieje jest bowiem zawsze to, czy adresat działań marketingowych ma rozsądne przesłanki by spodziewać się, że zostanie adresatem działań nakierowanych na marketing określonych produktów lub usług. Kwestia ta, w zakresie marketingu elektronicznego, powinna zostać uściślona przez nadchodzące rozporządzenie e-privacy. Wg jego projektu, zgoda podmiotu danych nie będzie potrzebna jedynie na otrzymywanie elektronicznych wiadomości marketingowych dotyczących własnych produktów lub usług podobnych do tych, które podmiot danych już nabył.
Czy po ustaleniu, iż posiadamy prawnie uzasadniony interes do prowadzenia marketingu bezpośredniego względem określonej osoby, możemy przystąpić do działań marketingowych?
Niestety nie. Pomimo, iż dane osobowe klienta przetwarzamy w ramach prowadzonych działań marketingowych w oparciu o prawnie uzasadniony interes, na tę chwilę nadal potrzebujemy dwóch odrębnych zgód by działania takie prowadzić za pomocą e-maili, smsów czy telefonów.
Zgodnie bowiem z art. 10 ust.1 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Zgodnie natomiast z art. 10 ust.2 w/w ustawy, informację handlową uważa się za zamówioną, jeśli odbiorca wyraził zgodę na otrzymywanie takiej informacji.
Zgodnie zaś z art. 172 ust.1 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
Jak więc widać, w aktualnie obowiązujących przepisach mamy swego rodzaju niekonsekwencję. Dane osobowe swoich klientów możemy przetwarzać dla celu marketingu bezpośredniego co do zasady w oparciu o swój prawnie uzasadniony interes (a więc przesłankę inną niż zgoda), natomiast by móc wysłać klientowi e-mail, sms lub zadzwonić do niego (a więc faktycznie prowadzić marketing bezpośredni), nadal potrzebujemy dwóch w/w zgód.
Co zmieni rozporządzenie e-privacy?
Obecnie istniejące rozbieżności w przepisach powinny zostać zniesione przez rozporządzenie e-privacy, nad którym usilnie pracuje Komisja Europejska, i które zostanie przyjęte, i zacznie obowiązywać najprawdopodobniej na przestrzeni najbliższych kilkunastu miesięcy. Rozporządzenie, wg aktualnie dostępnego projektu, rozróżniać będzie marketing bezpośredni produktów/usług własnych oraz cudzych, przewidując, że ten pierwszy (w zakresie dotyczącym oferowania swoim klientom podobnych własnych produktów lub usług do tych, które już od administratora nabyli) będzie mógł być prowadzony bez konieczności uzyskania zgody adresata, a więc w oparciu o uzasadniony interes administratora danych. Jeśli rozwiązanie takie zostanie finalnie przyjęte, doprowadzi z całą pewnością do większej spójności przepisów prawnych regulujących zasady prowadzenia marketingu bezpośredniego drogą elektroniczną.
Podsumowując, wprawdzie przepisy RODO stwarzają poniekąd możliwość posługiwania się inną niż zgoda przesłanką uzasadniającą przetwarzanie danych osobowych w kontekście działań marketingowych administratora, jednak w praktyce zgoda nadal będzie wiodącą podstawą przetwarzania danych w tym obszarze, co definitywnie przesądzi rozporządzenie e-privacy. Po rozpoczęciu stosowania rozporządzenia e-privacy prowadzenie marketingu bezpośredniego bez wcześniejszego uzyskania zgody adresata działań marketingowych możliwe będzie już w sposób jasny i nie budzący wątpliwości tylko w stosunku do własnych produktów lub usług, które są w dodatku podobne do produktów lub usług, z których korzysta już klient administratora. Zauważyć należy, iż regulacja zawarta w art. 16 rozporządzenia e-privacy (w aktualnej wersji jego projektu) prowadzić będzie do możliwie pełnej realizacji zasady wynikającej z motywu 47 RODO, zgodnie z którą zgoda na marketing nie będzie potrzebna jeśli podmiot danych może i powinien spodziewać się, że jego dane będą przetwarzane w celach marketingowych przez administratora.
Data publikacji: 17.08.2018.