Jeśli spojrzymy na rok 2018 pod kątem zdarzeń i pojęć, które zdominowały dyskurs przedsiębiorców w tym okresie, to z pewnością uzasadnionym będzie określenie go jako ,,roku RODO’’. W opinii publicznej przyjęło się stwierdzenie określające dzień rozpoczęcia stosowania przepisów Ogólnego rozporządzenia o ochronie danych1(dalej także jako Ogólne rozporządzenie lub RODO) jako moment rewolucji w obszarze przetwarzania danych osobowych. Z perspektywy czasu możemy uznać, że stwierdzenie to było przynajmniej po części nieprawidłowe i przesadzone.
Celem niniejszego artykułu jest wskazanie przedsiębiorcom prowadzącym aktywne działania w zakresie marketingu bezpośredniego, rozsądnej alternatywy dla ,,automatycznego’’ dołączania zgód na przetwarzanie danych dla celów marketingowych do każdego z formularzy przedstawianych potencjalnemu klientowi lub użytkownikowi.
Regulacje Ogólnego rozporządzenia objęły każdą sferę przetwarzania danych osób fizycznych, powodując niekiedy rewolucję w działach kadr, księgowości czy w HR. Jednym z obszarów, który również został poddany istotnym przeobrażeniom to marketing bezpośredni i reklama kierowana do odbiorcy indywidualnego. Oczywiście, konstrukcji prawnych ujętych w Ogólnym rozporządzeniu nie można oceniać w oderwaniu od celów tej regulacji wyartykułowanych przez prawodawcę. Zgodnie z motywem 10 preambuły RODO intencją prawodawcy było zapewnienie równorzędnego we wszystkich państwach członkowskich stopnia ochrony praw i wolności osób fizycznych w związku z przetwarzaniem danych. Dostrzeżono również iluzoryczność dotychczasowego modelu ochrony danych osobowych, do której można zaliczyć chociażby sprzeczne z prawem tworzenie baz potencjalnych klientów i obrót takimi zbiorami. W koncepcji prawodawcy, sposobem na zwiększenie skuteczności systemu ochrony danych jest wzmocnienie i sprecyzowanie praw osób, których dane dotyczą, a co za tym idzie również skorelowanych z nimi obowiązków podmiotów przetwarzających dane osobowe i decydujących o przetwarzaniu.
Nie można zapominać, że to właśnie przez pryzmat wskazanych celów regulacji należy definiować swe obowiązki jako przetwarzającego dane osobowe. Jeśli w związku z nadchodzącą datą 25 maja ubiegłego roku określony dział przedsiębiorstwa przechodził swoistą rewolucję (marketing i reklama, sprzedaż, kadry i płace) to przyczyn tego stanu rzeczy należy upatrywać nie w swoiście rozumianym rygoryzmie norm RODO i szczegółowym podejściu prawodawcy do regulowanej materii, ale raczej w wieloletnich zaniedbaniach w obszarze respektowania praw i wolności jednostki związanych z przetwarzaniem dotyczących jej danych.
Unijny prawodawca nie podejmuje się zdefiniowania pojęcia ,,marketingu bezpośredniego’’ (ang. direct marketing, direct advertising, niem. Direktwerbung). Wobec powyższego należy zdać się w pierwszej kolejności na wykładnie językową omawianego terminu. Przez ,, marketing bezpośredni’’ rozumie się najczęściej bezpośrednie komunikaty kierowane do indywidualnie oznaczonego (np. poprzez adres e – mail) klienta, często w indywidualnym kontakcie, w celu uzyskania bezpośredniej reakcji odbiorcy komunikatu2. Za podstawowe narzędzia wykorzystywane do kontaktów z klientem uznaje się pocztę tradycyjną oraz elektroniczną, rozmowy telefoniczne, komunikaty SMS, spotkania face – to – face oraz reklamę internetową. Z przywołanych definicji można wywnioskować, że marketing bezpośredni jako część szerszych działań marketingowych ma zwiększać komfort potencjalnego klienta poprzez lepsze dopasowanie treści informacji do jego potrzeb. Dla przedsiębiorstwa będącego nadawcą komunikatu cecha bezpośredniości pozwala na uzyskanie niezwłocznej i dającej się zmierzyć reakcji potencjalnego klienta.
Indywidualizacja potencjalnego klienta wymaga jego identyfikacji, w związku z czym immanentną częścią marketingu bezpośredniego pozostaje wykorzystywanie baz danych. Operacje wykonywane na danych osobowych znajdujących się w bazach stanowią ich przetwarzanie w rozumieniu pkt 2 w art. 4 RODO. Za operacje przetwarzania danych w obszarze marketingu należy uznać w szczególności;
-
tworzenie baz,
-
ich przeglądanie,
-
profilowanie potencjalnych klientów,
-
adresowanie komunikatów marketingowych,
-
korespondowanie z odbiorcą komunikatu (potencjalnym klientem),
-
usuwanie danych potencjalnych klientów z baz.
Bez wątpienia reguły przetwarzania o których mowa w Ogólnym rozporządzeniu stosuje się do procesów realizowanych w ramach marketingu bezpośredniego.
Zgodnie z motywem 47 preambuły RODO ,,Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.’’ Tak więc, w myśl Ogólnego rozporządzenia o ochronie danych podstawą przetwarzania danych wysyłania indywidualnie oznaczonym odbiorcom komunikatów w celach marketingowych może być uzasadniony interes administratora. Jednakże, oceniając kryteria legalności wykorzystywania narzędzi marketingu bezpośredniego nie można bowiem tracić z pola widzenia pozostałych krajowych regulacji prawnych normujących rozsyłanie materiałów reklamowych oznaczonym odbiorcą, a więc Ustawy o świadczeniu usług drogą elektroniczną3(dalej także jako uśude) oraz Prawa telekomunikacyjnego4.
W kontekście przetwarzania danych osobowych od wielu lat mamy w naszym kraju do czynienia ze zjawiskiem swoistej hierarchizacji formalnych podstaw legalności przetwarzania, spośród których największy walor przyznaje się zgodzie na przetwarzanie wyrażonej przez użytkownika. Oczywiście, takie stanowisko, zarówno pod rządami ustawy o ochronie danych z 1997 r.5, jak i po 25 maja 2018 r. nie znajduje żadnych podstaw normatywnych i należy uznać je za błędne. Wyrażona przez osobę fizyczną zgoda dotycząca przetwarzania danych nie powinna być uznawana za ,,lepszą’’ podstawę prawną niż inne, wymienione obecnie w art. 6 ust. 1 (lub art. 9 ust. 2 w odniesieniu do danych szczególnych kategorii) RODO, a w minionym stanie prawnym w art. 23 ustawy o ochronie danych z 1997 r. W kontekście marketingu bezpośredniego dobitnie świadczy o tym brzmienie przywołanego już wyżej motywu 47 preambuły RODO, w którym unijny prawodawca wprost wskazał, że przetwarzanie danych do celów marketingu bezpośredniego może stanowić działanie wykonywane w prawnie uzasadnionym interesie w rozumieniu RODO. Treść omawianego motywu jednoznacznie wyklucza przyjęcie koncepcji w myśl której zgoda jest jedyną przesłanką przetwarzania danych osobowych w celach marketingowych.
Oceniając czy w danych okolicznościach przetwarzania realizuje się przesłanka o której mowa w art.6 ust. 1 lit. f RODO Grupa Robocza Art. 29 w swoich Wytycznych6 zaleca każdorazowo wykonanie tzw. testu równowagi, wskazując, iż „interes musi być wystarczająco jasno wyrażony, tak aby pozwolić na przeprowadzenie testu równowagi względem interesów oraz praw podstawowych osoby, której dane dotyczą. (…). W dalszej części ww. dokumentu zwraca się uwagę na rzeczywisty charakter i aktualność określonego interesu prawnego, który powinien odpowiadać ,,aktualnym działalnościom lub korzyściom, które są oczekiwane w bardzo bliskiej przyszłości’’, dostrzeganą przez autorów Wytycznych konsekwencją przyjęcia takiej koncepcji będzie to, że ,,interes, który będzie zbyt ogólny lub spekulatywny, nie będzie wystarczający’’. Powołanie się na omawianą przesłankę wymaga łącznego spełnienia następujących kryteriów:
-
możliwości zidentyfikowania prawnie uzasadnionego interesu realizowanego przez administratora lub stronę trzecią,
-
weryfikacji niezbędności przetwarzania dla realizacji celu wynikającego z przedmiotowego interesu,
-
weryfikacji, czy w danym stanie fatycznym nie dochodzi do spełnienia przesłanki o charakterze negatywnym, tj. występowania interesów lub podstawowych praw i wolności osoby, której dane dotyczą, mających nadrzędny charakter wobec prawnie uzasadnionych interesów administratora lub strony trzeciej.7
Tak więc, jak wynika z powyższych rozważań, nie sposób uznać, iż treść motywu 47 preambuły przesądza o tym, że przetwarzanie danych osobowych dla celów marketingu bezpośredniego w każdych okolicznościach znajdzie swe uzasadnienie w prawnie uzasadnionym interesie o którym mowa w art. 6 ust. 1 lit. f RODO. Sformułowana w art. 25 Ogólnego rozporządzenia zasada privacy by design nakłada na administratorów obowiązek uwzględniania zasad ochrony danych już na etapie projektowania nowych rozwiązań w obszarze przetwarzania tych danych. Innymi słowy, osoby odpowiedzialne za reklamę w danej organizacji, pracując nad nową akcją promocyjną, wykorzystującą marketing bezpośredni, każdorazowo będą musiały odpowiedzieć sobie na pytanie: która z formalnych przesłanek legalności przetwarzania z art. 6 ust. 1 RODO jest adekwatną do oznaczonego celu i w sposób najpełniejszy będzie chronić prawa i wolności osób, których dane dotyczą ? Zasada zgodności z prawem (legalności) przetwarzania danych wymaga, aby dla każdego procesu przetwarzania zastosowanie znajdowała, co najmniej jedna z przesłanek z art. 6 ust. 1 RODO – w myśl reguły – ,,Nie ma legalnego przetwarzania danych osobowych (zwykłych) poza kryteriami z art. 6 ust. 1.’’ Należy w tym miejscu wspomnieć, iż nie można oceniać czy w danej sytuacji przetwarzanie opiera się na prawnie uzasadnionym interesie administratora lub strony trzeciej w oderwaniu od zasady minimalizacji danych. Dane przetwarzane na potrzeby prawnie uzasadnionych interesów powinny być zbierane wyłącznie w zakresie niezbędnym do ich realizacji, a owa ,,niezbędność’’ oznacza w tym kontekście, że ,, przetwarzanie danych dla realizacji prawnie uzasadnionego interesu administratora lub strony trzeciej musi być, rozsądnie oceniając, potrzebne.’’ 8 Istnienie, nawet bardzo oczywistego, prawnie uzasadnionego interesu administratora lub strony trzeciej nie usprawiedliwia w żaden sposób zbierania danych o odbiorcach naszych komunikatów marketingowych ponad niezbędną miarę.
Tak więc, nie sposób na dzień dzisiejszy wyznaczyć precyzyjną, ostrą granicę pomiędzy grupą przypadków w których prawidłowym będzie powoływanie się na prawnie uzasadniony interes administratora jako przesłankę formalną przetwarzania danych, a stanami faktycznymi w których odwołanie się do tego kryterium będzie nieuprawnione. Odwołując się ponownie do motywu 47 preambuły RODO, o prawnie uzasadnionym interesie będziemy mogli mówić w sytuacjach, gdy z odbiorcą treści mających charakter marketingowy łączy przedsiębiorcę, będącego nadawcą takich komunikatów ,, istotny i odpowiedni rodzaj powiązania’’, na przykład gdy podmiot danych jest już klientem takiego administratora. W związku z powyższym, należy uznać, że zbędnym będzie wykorzystywanie ,,mechanizmu’’ zgody na przetwarzanie m. in. w przypadkach mailowej lub telefonicznej wysyłki ofert związanych z przedłużeniem umowy o świadczenie usług czy też powiadamiania przez organizatora uczestników konkursów w poprzednich latach o otwarciu zapisów do kolejnej edycji. Niestety, jak wskazano na wstępie, w obecnym stanie prawnym spełnienie formalnych warunków wysyłki materiałów reklamowych indywidualnym odbiorcom to nie tylko zapewnienie legalności przetwarzania danych osobowych, ale także obowiązek uzyskania zezwolenia odbiorcy na przesyłanie informacji handlowych o którym mowa w art. 10 ust. 1 uśude oraz obowiązek pozyskania zgody abonenta lub użytkownika końcowego na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego (art.172 ust. 1 Prawa telekomunikacyjnego). Projekt ustawy wdrażającej RODO9 nie zakłada zniesienia obowiązku pozyskiwania wskazanych oświadczeń, choć jak się wydaje, zastosowanie do procesu ich zbierania przepisów dotyczących ochrony danych osobowych (pozyskiwania zgody na przetwarzanie zgodnie z wymaganiami Ogólnego rozporządzenia) w dłuższej perspektywie powinno usprawnić ich uzyskiwanie i uczynić ten proces bardziej czytelnym dla przeciętnego klienta lub użytkownika.
Niniejszy artykuł miał za zadanie zachęcić osoby zajmujące się zawodowo marketingiem do stałego monitorowania źródeł oraz sposobów pozyskiwania danych osobowych, a także zasad ich dalszego wykorzystywania w przedsiębiorstwach. W praktyce bowiem to te osoby (tam gdzie jest to możliwe oczywiście w ramach konsultacji z Inspektorem Ochrony Danych) decydują o wykorzystywaniu określonych narzędzi marketingu bezpośredniego do komunikacji z poszczególnymi grupami odbiorców. Drakońskie kary przewidziane przepisami Ogólnego rozporządzenia w połączeniu z rosnącą świadomością swoich praw u odbiorców wskazują na to, iż planując każdą akcję promocyjną z wykorzystaniem metod i narzędzi marketingu bezpośredniego zasadniczo warto mieć na uwadze formalną i materialną zgodność przetwarzania danych osób fizycznych z obowiązującym prawem.
1Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
2 P. Kotler, Marketing, Warszawa 2002, s. 1036-1038
3 Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 nr 144 poz. 1244 z późn. zm.)
4 Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. 2004 nr 171 poz. 1800 z późn. zm.)
5 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997 nr 133 poz. 883 z późn. zm.)
6 Wytyczne Gr. Roboczej Art. 29 z 9 kwietnia 2014 r. (Opinia 6/2014)
7 M. Więckowska, Prawnie uzasadniony interes – test badania równowagi, ABI Expert 2018, nr 3, s. 48
8 P. Barta, Prawnie uzasadniony interes w działalności marketingowej w ABI Expert 2018, nr 3, s. 20-21
9Rządowy projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (druk nr 3050)