Na co zwrócić uwagę?

Podejmowanie działań marketingowych przez podmioty należące do grupa kapitałowej, czy też, zgodnie z nomenklaturą zawartą w RODO, do grupy przedsiębiorców (różnica opisana została przeze mnie w poprzednim artykule[1]) związane jest z koniecznością rozstrzygnięcia szeregu wątpliwości.

Można je podzielić na kilka kategorii:

• związane z ustaleniem ról poszczególnych podmiotów w procesie przetwarzania danych osobowych;
• w zakresie podstawy przetwarzania danych osobowych pozyskiwanych w celach marketingowych;
• w zakresie wymiany danych osobowych pozyskiwanych w celach marketingowych pomiędzy podmiotami w grupie.

Pierwsze ze wskazanych zagadnień stanowiło przedmiot dotychczasowych artykułów, stąd poniżej odniosę się do niego jedynie w skrócie. W zależności od struktury grupy, podstawa przetwarzania danych osobowych przez poszczególne spółki z grupy może się różnić. W szczególności, w przypadku prowadzenia przez jeden z podmiotów działalności marketingowej na rzecz pozostałych, konieczne może być zawarcie pomiędzy nimi umowy powierzenia przetwarzania danych osobowych. Może dochodzić także do wymiany danych pomiędzy administratorami, kiedy każdy z podmiotów będzie realizować własne cele marketingowe (np. każda ze spółek oferuje odrębne towary lub usługi). Niewykluczone jest także przyjęcie współadministrowania, np. wtedy gdy spółki będą realizować wspólny cel marketingowy oraz będą decydować o kluczowych sposobach jego realizacji, ale jednocześnie niektóre z sposobów zostaną ustalone przez spółki osobno.

Zgoda nie zawsze wymagana, bo…

Przetwarzanie danych osobowych w celach marketingowych zasadniczo może mieć dwie podstawy: zgodę podmiotu danych oraz prawnie uzasadniony interes administratora.

Żadna z tych podstaw nie jest „lepsza” lub „gorsza”. W każdym przypadku administrator powinien ustalić charakter relacji łączącej go z pomiotem danych, jako że jedynie w określonych przypadkach – opisanych w dalszej części artykułu – administrator będzie mógł przetwarzać dane osobowe w oparciu o drugą z ww. podstaw.

W kontekście powyższego warto zwrócić uwagę, iż wielu przedsiębiorców w dalszym ciągu wychodzi z (błędnego) założenia, iż aby móc skierować do swoich klientów przekaz marketingowy, zawsze powinni uzyskać w tym celu zgodę, narażając się w takim wypadku na czaso- i pracochłonny proces ich zbierania, ryzykując zarazem, iż podmiot danych odwoła udzieloną zgodę. Często powyższy błąd występuje w parze z kolejnym, w postaci wymuszenia na podmiocie danych wyrażenia zgody (znane wszystkim „to pole jest wymagane”, czy domyślnie zaznaczony checkbox), co skutkować będzie nieważnością samej zgody.

Wypada zatem zadać sobie pytanie, kiedy zgoda jest zbędna, tj. kiedy administrator będzie mógł powołać się na drugą ze wskazanych podstaw w postaci swojego prawnie uzasadnionego interesu?

…można powołać się na prawnie uzasadniony interes, ale…

Możliwość skorzystania z wyżej wymienionej podstawy przetwarzania została przewidziana w motywie 47 preambuły RODO. Wskazano w nim, że „za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingowych”.

Podstawa ta nie jest jednak bezwzględna. Zgodnie z art. 21 ust. 1 RODO podmiot danych może wnieść sprzeciw – z przyczyn związanych z jego szczególną sytuacją – wobec przetwarzania danych osobowych na wskazanej powyżej podstawie. W takim wypadku administrator uprawniony będzie do dalszego przetwarzania danych osobowych jedynie w przypadku wykazania, że istnieją ważne prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń.

Dodatkowe ograniczenie wiąże się z prowadzeniem marketingu bezpośredniego. W takim wypadku, zgodnie z art. 21 ust. 2 RODO sprzeciw osoby fizycznej jest bezwzględnie wiążący dla administratora, tj. w wyniku wniesienia sprzeciwu administrator obowiązany będzie do zaprzestania przetwarzania danych osobowych, w tym profilowania, w zakresie w jakim przetwarzanie związane jest z takim marketingiem bezpośrednim.

Niezależnie zatem od innych celów realizowanych przez administratora, w przypadku przetwarzania danych osobowych w celach marketingowych, podmiot danych zawsze będzie uprawniony do wniesienia sprzeciwu, czy też odwołania zgody, co w obydwu przypadkach skutkować będzie obowiązkiem zaprzestania przetwarzania danych osobowych przez administratora w celach marketingowych.

…niekiedy zgoda będzie niezbędna

Jak wskazałem wcześniej możliwość powołania się na prawnie uzasadniony administratora nie jest bezwzględna. Przywołany powyżej motyw 47 preambuły RODO stanowi, iż prawnie uzasadnione interesy mogą być podstawą przetwarzania „(…) o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą”. Wskazano tam także, iż „[t]aki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz”.

Na postawie tak sformułowanych postanowień preambuły RODO wskazuje się, iż realizacja działań marketingowych w oparciu o prawnie uzasadniony interes będzie możliwa w przypadku administratora, którego łączy pewna relacja z podmiotem danych. Jako przykład można podać administratora, który zawarł z podmiotem danych umowę na świadczenie na rzecz tego drugiego określonych usług. Zgodnie z przytoczonym fragmentem, odbieranie zgody na przetwarzanie danych osobowych w celach marketingowych nie będzie w takim wypadku konieczne (z zastrzeżeniem jednak wymogu odebrania odrębnych zgód na kontakt marketingowy, o czym poniżej).

Inaczej prezentować się będzie sytuacja administratora, którego (i) nie łączy z podmiotem danych jeszcze żadna relacja lub (ii) pozyskuje dane osobowe w wyniku ich udostępnienia przez inny podmiot z grupy.

W obydwu przypadkach, z uwagi na brak „rozsądnych oczekiwań” ze strony podmiotu danych, odebranie zgody na przetwarzanie (udostępnienie) danych osobowych w celach marketingowych może okazać się konieczne.

W każdym wypadku, podjęcie decyzji o zasadności odbierania zgody poprzedzone powinno zostać przeprowadzeniem testu równowagi (balansu) pomiędzy prawnie uzasadnionymi interesami administratora bądź osoby trzeciej a interesami lub podstawowymi prawami i wolnościami podmiotu danych. Niewykluczone bowiem, że prawnie uzasadniony interes administratora będzie wystarczający, przez co zbieranie zgody nie będzie konieczne (a wręcz stanie się nadmiarowe).

W przypadku udostępniania danych istotne jest także wskazanie w ramach klauzuli informacyjnej podmiotu-administratora, który udostępnia dane, informacji o odbiorcach danych lub ich kategoriach. Jakkolwiek treść przepisu pozwala na wskazanie samej tylko kategorii odbiorców, którą w tym wypadku mogłyby być „spółki należące do grupy kapitałowej”, tak w ślad za wytycznymi Grupy Roboczej art. 29 dot. zgody na mocy rozporządzenia 2016/679 należy wskazać, iż w przypadku zgody na udostępnianie danych osobowych podmiotom należącym do grupy, aby zgodę uznać za konkretną, a co za tym idzie – ważną – tożsamość danego partnera powinna zostać wskazana podmiotowi danych w chwili wyrażenia zgody[2].

Zgoda niejedno ma imię

Zgoda na przetwarzanie danych osobowych w celach marketingowych, czy udostępnienie danych osobowych innemu podmiotowi nie wyczerpuje jednak obowiązków prawnych w zakresie odbierania zgód. Niejako równolegle do zasad ochrony danych osobowych funkcjonują bowiem także zasady związane z odbieraniem zgód na kontakt marketingowy (telefoniczny, mailowy), wynikające z przepisów prawa telekomunikacyjnego oraz ustawy o świadczeniu usług drogą elektroniczną.

Pierwsza z przywołanych regulacji – prawo telekomunikacyjne – zakazuje używania telekomunikacyjnych urządzeń końcowych (np. telefon, komputer, tablet) i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

Druga natomiast – ustawa o świadczeniu usług drogą elektroniczną – zakazuje przesyłania niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

Podsumowując powyższe, teoretycznie administrator danych może być postawiony przed koniecznością odebrania następujących zgód:

1. zgody na przetwarzanie danych osobowych w celach marketingowych;
2. zgody na korzystanie z telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego;
3. zgody na przesyłanie informacji handlowych za pomocą środków komunikacji elektronicznej;
4. (opcjonalnie) zgody na udostępnianie danych osobowych zewnętrznemu podmiotowi.

Co istotne, poszczególne zgody mają charakter samodzielny, stąd co do zasady nieuprawnione będzie pomijanie jednej z nich z uwagi na odebranie innej. Przede wszystkim, podkreśla się, że nieuprawnione jest „połączenie” zgód: na korzystanie z telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących oraz na przesyłanie informacji handlowych[3]. Jako dobrą praktykę wskazuje się natomiast dzielenie zgód na poszczególne kanały przekazu informacji[4].

Pewnym ułatwieniem jest możliwość uznania, iż zgoda na przesłanie informacji handlowej (np. newslettera) została przez osobę, której dane dotyczą, wyrażona poprzez samo wpisanie w formularzu jej adresu e-mail (możliwość taka została jednoznacznie przewidziana w przepisach ustawy o świadczeniu usług drogą elektroniczną).

W takim wypadku, w przypadku konieczności uzyskania zgody na wykorzystanie telekomunikacyjnych urządzeń końcowych oraz przesyłanie informacji handlowej, wystarczające będzie zamieszczenie jednej klauzuli zgody, zgodnej z wymogami prawa telekomunikacyjnego. Co jednak ciekawe, na mocy ustawy dostosowującej przepisy innych ustaw do RODO, artykuł 174 prawa telekomunikacyjnego uzyskał brzmienie: „[d]o uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych”.

Mając na uwadze, iż zgoda, zgodnie z RODO może zostać wyrażona poprzez oświadczenie lub wyraźne działanie potwierdzające, wydaje się, że – podobnie jak w przypadku podania adresu e-mail na potrzeby wysyłania newslettera – podanie przez podmiot danych numeru telefonu w polu przeznaczonym na wskazanie numer telefonu na potrzeby marketingu bezpośredniego będzie wystarczające.

Sporne jest natomiast to, czy którakolwiek z powyższych zgód może „skonsumować” odrębną zgodę na przetwarzanie danych osobowych. W poradniku Ministerstwa Cyfryzacji dla sektora fintech[5] wskazano, że „[p]rzesyłanie informacji handlowych jest dopuszczalne w oparciu o zgodę odebraną na podstawie przepisów UŚUDE. Przetwarzanie danych osobowych w tym celu będzie miało za podstawę uzasadniony interes administratora. Zgoda na przesyłanie informacji handlowych na gruncie UŚUDE stanowi łącznik między udzielającym zgodę a administratorem, o którym mowa w motywie 47 RODO. Fakt wyrażenia zgody na przesyłanie informacji handlowych na gruncie UŚUDE sprawia, że osoba wyrażająca taką zgodę ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu”.

Warto jednak pamiętać, że tak liberalnego podejścia nie potwierdził PUODO. Z drugiej strony, jego poprzednik w oparciu o poprzedni stan prawny wskazywał, iż łączenie zgody na przekazywanie informacji handlowych drogą elektroniczną ze zgodą na przetwarzanie danych osobowych w celach marketingowych jest niedopuszczalne[6].

Należy także zauważyć, iż zgodnie z przywołanymi uprzednio wytycznymi Grupy Roboczej Art. 29 dot. zgody na mocy rozporządzenia 2016/679, niedopuszczalne jest łączenie zgody na wykorzystanie danych osobowych do celów marketingu elektronicznego oraz na udostępnianie tych danych innym przedsiębiorstwom należącym do grupy.

Podsumowując, z perspektywy podmiotu, który planuje przetwarzanie danych osobowych w celach marketingowych na różne sposoby, w tym zamierza udostępniać je innym podmiotom z grupy, w pełni zalecane jest podjęcie kroków w celu odpowiedniego zgranulowania zgody, tak aby nie zaistniały ewentualne wątpliwości co do zakresu zgody (zgód) udzielonej przez podmiot danych.

[1] https://www.linkedin.com/pulse/umowa-powierzenia-przetwarzania-danych-osobowych-damian-%C5%82apka/ (data dostępu: 11.08.2020 r.)

[2] https://uodo.gov.pl/pl/file/1207 (data dostępu: 10.08.2020 r.)

[3] Tak np. Prezes UKE w odpowiedzi z dnia 21 października 2015 r. na pismo Stowarzyszenia Administratorów Bezpieczeństwa Informacji z dnia 3 sierpnia 2015 r. (dostępne tutaj: https://sabi.org.pl/attachments/File/do_pobrania/UKE-2015/odpowiedz-UKE-21-10-2015.pdf, data dostępu: 7.08.2020 r.)

[4] https://ico.org.uk/media/for-organisations/documents/1555/direct-marketing-guidance.pdf (data dostępu: 10.08.2020 r.)

[5] https://www.gov.pl/documents/31305/0/RODO+-+FinTech-ma%C5%82y.pdf/372bd1d0-feb6-3473-9ea1-3c7de0a001b7 (data dostępu: 7.08.2020 r.)

[6] https://archiwum.giodo.gov.pl/pl/259/10003, por. też https://www.ckcsolution.pl/wp-content/uploads/Zestawienie-wynikow-sprawdzenia-w-Bankach-pr-zetwarzanie-danych-w-celach-marketingowych.pdf (data dostępu: 7.08.2020 r.)

***

Abstract

Article published as part of the #ForumBK project – GDPR in capital groups

Conducting marketing activites by entities belonging to a capital gorup requires taking into account a number of different legal regulations and the structure of a group. The basis for the processing of personal data for marketing purposes and the rules for the exchange of the abovementioned data between the group companies should be precisely determined. In principle, an adequate basis for the processing of personal data for marketing purposes may be the legitimate interest of the controller or the consent of the data subject. Many entrepreneurs wrongly assume that the possibility of directing a marketing message to their clients always depends on obtaining their consent – it is often redundant. Notwithstanding the foregoing, the collection of consent may be necessary in order to make personal data available for marketing purposes to other companies in the group. Assessment of whether personal data can be processed by the administrator on the basis of his legitimate interest requires the so-called balance test between the interests of the controller or a third party and the interests, fundamental rights and freedoms of the data subject. Apart from the regulations related to the protection of personal data, it is also necessary to take into account the provisions related to the collection of consent for the purposes of direct marketing contact (e.g. telephone, e-mail), including sending commercial information. The possibility of combining individual consents in one clause raises significant legal doubts.