Wykorzystywanie danych osobowych do celów telemarketingowych wymaga zgody osoby, której dane dotyczą. Zgodnie bowiem z art. 172 ust. 1 prawa telekomunikacyjnego zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego - mówi w wywiadzie dla DGP dr Edyta Bielak-Jomaa generalny inspektor ochrony danych osobowych.
Czemu ma służyć regulacja zawarta w art. 172 ust. 1 i art. 174 pkt 1 prawa telekomunikacyjnego, którą w swojej uchwale przytoczył Sąd Najwyższy?
Regulacja ta ma w swoim założeniu chronić konsumentów przed niechcianymi telefonami telemarketerów. Z doświadczeń generalnego inspektora ochrony danych osobowych wynika bowiem, że działalność telemarketingowa jest wciąż powszechnym problemem, z którym wiele osób zgłasza się do Biura GIODO z prośbą o pomoc.
Wykorzystywanie danych osobowych do celów telemarketingowych wymaga zgody osoby, której dane dotyczą. Zgodnie bowiem z art. 172 ust. 1 prawa telekomunikacyjnego zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego. Obecnie więc taka działalność możliwa jest jedynie za zgodą abonenta lub użytkownika końcowego, która nie może być domniemana czy dorozumiana z oświadczenia woli o innej treści, o czym przesądza art. 174 pkt 1 prawa telekomunikacyjnego. Warto zaznaczyć, że teraz wymóg uzyskania zgody na wykorzystanie telekomunikacyjnych urządzeń końcowych dotyczy każdego abonenta lub użytkownika końcowego, a więc również niebędącego konsumentem (a np. będącego przedsiębiorcą).
Jakie odniesienie ma teza zawarta w uchwale SN do przepisów ustawy o ochronie danych osobowych?
Na wstępie muszę zaznaczyć, że nie znając jeszcze pisemnego uzasadnienia omawianej uchwały Sądu Najwyższego, GIODO może wypowiedzieć się w tej kwestii, biorąc pod uwagę jedynie jej tezę. Można zatem stwierdzić, że regulacja zawarta w przytoczonych przez SN przepisach prawa telekomunikacyjnego odpowiada również zasadom zawartym w ustawie o ochronie danych osobowych, która też wymienia zgodę jako jedną z przesłanek dopuszczalności przetwarzania danych osobowych (art. 23 ust. 1 pkt 1). Ustawa wskazuje także na cechy, jakie musi spełniać takie oświadczenie woli, aby mogło być uznane za wyrażone w prawidłowy sposób.
Jak zatem powinna być uzyskana taka zgoda?
Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, a także może być odwołana w każdym czasie (art. 7 pkt 5). Formuła zgody na przetwarzanie danych osobowych powinna stanowić odrębne oświadczenie od innych oświadczeń osoby, której dane dotyczą, z jej treści powinno zaś w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Przy czym ustawa nie wymaga, aby była to zgoda pisemna (może być też ustna), ale dla celów dowodowych lepiej, gdy jest ona złożona na piśmie.
Przy odbieraniu zgody zagwarantowana powinna być opcjonalność, tj. osoba składająca oświadczenie powinna mieć możliwość wyrażenia zgody na określone działania albo jej niewyrażenia. Z tych względów zgoda na przetwarzanie danych w celach marketingowych powinna być wyodrębniona od zgody na inne czynności.
A co w sytuacji, gdy dane są przekazywane osobom trzecim?
Zgoda taka jest potrzebna, gdy dane klienta mają być przekazywane innym podmiotom, przy czym podmiot, który pozyskał dane osobowe nie bezpośrednio od osoby, której dane dotyczą, musi dopełnić wobec niej obowiązek informacyjny (art. 25 ust. 1). Administrator takich danych jest bowiem obowiązany poinformować tę osobę bezpośrednio po utrwaleniu zebranych danych o adresie swojej siedziby i pełnej nazwie, celu i zakresie zbierania danych, źródle danych, prawie dostępu do swoich danych oraz ich poprawiania. Ponadto o uprawnieniach wniesienia żądania zaprzestania przetwarzania danych i wniesienia sprzeciwu wobec m.in. przekazywania danych osobowych danej osoby innemu administratorowi danych, gdy przetwarza je na podstawie prawnie usprawiedliwionego celu (art. 23 ust. 1 pkt 5), którym jest także marketing bezpośredni własnych produktów lub usług administratora danych, jak ma to miejsce w komentowanym przypadku.
Co może zrobić osoba, której prawa nie są respektowane?
W przypadku nierespektowania praw osoby, której dane dotyczą, co jest równoznaczne z naruszeniem przepisów ustawy o ochronie danych osobowych, zawsze możliwe jest złożenie przez tę osobę skargi do GIODO.
Jaka kara grozi przedsiębiorcy ze strony GIODO?
W stosunku do podmiotu nieprzestrzegającego jej przepisów GIODO może wydać decyzję administracyjną nakazującą przywrócenie stanu zgodnego z prawem, m.in. usunięcie uchybień w postaci np. usunięcia danych osobowych. Do prezesa Urzędu Komunikacji Elektronicznej należy natomiast wydawanie decyzji w zakresie ukarania każdego przedsiębiorcy, który bez zgody abonenta przekaże komunikat marketingowy. Prezes UKE może ukarać taki podmiot karą pieniężną do 3 proc. przychodu osiągniętego w poprzednim roku kalendarzowym, o czym stanowią art. 209 ust. 1 pkt 25 i art. 210 ust. 1 prawa telekomunikacyjnego.
