Przedsiębiorcy wciąż łączą w jedną kilka różnych zgód na przetwarzanie danych osobowych. Może to się skończyć nie tylko karą finansową, lecz także zakazem korzystania z tworzonych przez lata baz.
W niedawnym wyroku Naczelny Sąd Administracyjny, jak już informowaliśmy na łamach DGP, przesądził, że łączenie w jednym oświadczeniu zgody na marketing własny i innych podmiotów jest niezgodne z prawem.
„Na gruncie przepisów o ochronie danych osobowych istnieje wymóg zapewnienia, aby decyzja w sprawie wyrażenia zgody na przetwarzanie danych osobowych w określonym celu była podjęta swobodnie i miała charakter samodzielny, musi ona być przejawem wolnej i nieskrępowanej woli danej osoby, to znaczy nie może być wymuszona przez konieczność złożenia innych oświadczeń woli” – podkreślił NSA w uzasadnieniu orzeczenia z 20 kwietnia 2021 r. (sygn. akt III OSK 161/21).
Tymczasem wiele firm nadal uznaje, że kilka zgód można łączyć w jedną, zwłaszcza tych dotyczących marketingu. Klient zaznaczając jedno okienko wyboru jednocześnie godzi się na marketing kilkoma kanałami komunikacji, ale też i różnych firm. Najczęściej należących do jednej grupy finansowej, ale czasem też od „podmiotów współpracujących”, cokolwiek by to znaczyło. Zgodnie ze stanowiskiem Urzędu Ochrony Danych Osobowych jest to niedopuszczalne.
– Polska od ponad 20 lat ma problem ze zbieraniem zgód na przetwarzanie danych osobowych, wysyłanie informacji handlowych czy na marketing bezpośredni. Jednym z przejawów tego problemu jest kwestia rozdzielania lub łączenia zgód. Urząd od lat konsekwentnie przyznaje, że jeżeli dany podmiot realizuje jeden cel – zbiera jedną zgodę. Jeśli chce realizować kilka celów – na każdy z nich potrzebuje oddzielnej zgody. Jeśli kilka celów chce się załatwić jedną zgodą – jest to wprowadzanie w błąd osoby, która wyrażałaby taką zgodę – mówi Adam Klimowski, główny specjalista ds. ochrony danych osobowych z firmy JAMANO.
Zakaz łączenia zgód
Wspomniany wyrok NSA dotyczył stanu prawnego sprzed wejścia w życie RODO, ale poczynione w nim rozważania pozostają aktualne. Choć RODO wprost nie wypowiada się, co do łączenia kilku zgód, to jednak z całości przepisów wynika, że nie jest to dozwolone. Na takim stanowisku stoi UODO, zwracając uwagę na definicję zgody, która zgodnie z art. 4 pkt 11 oznacza „dobrowolne, konkretne, świadome i jednoznaczne okazanie woli”.
– Już z samej przesłanki legalności przetwarzania danych osobowych na podstawie zgody osoby, której dane dotyczą, wyrażonej w art. 6 ust. 1 lit. a RODO wynika, że może ona wyrazić zgodę w jednym lub większej liczbie określonych celów. Musi mieć wyraźnie zaznaczone cele, w jakich ma zgodzić się lub nie na wykorzystanie jej danych osobowych – zauważa Adam Sanocki, rzecznik prasowy UODO.
– Co istotne, wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji – dodaje, wskazując na motywy 42 i 43 RODO (patrz: grafika).
Firmy powinny więc na każdy z celów przetwarzania umożliwić złożenie odrębnej zgody. Problem w tym, że nie zawsze wiadomo, gdzie kończy się jeden cel, a zaczyna drugi. W przepisach próżno szukać na to jednoznacznej odpowiedzi. Zgodnie ze stanowiskiem UODO i wspomnianym wyrokiem NSA najbezpieczniej jest rozdzielać każdą ze zgód.
– W szczególności oddzielnej zgody wymaga: przetwarzanie danych dla celów marketingu bezpośredniego (niezależnie od formy komunikacji marketingowej), zbieranie danych dla celów marketingu, świadczonego przez inną spółkę, używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących w celu przeprowadzenia marketingu bezpośredniego. Biorąc pod uwagę specyfikę komunikacji marketingowej, oznacza to, że łączenie zgód nie będzie możliwe w żadnym przypadku – doradza Adam Klimowski.
NSA w swym wyroku uznał, że zgody zbierane przy okazji składania wniosków o pożyczkę dotyczyły trzech celów przetwarzania danych osobowych: marketingu produktów i usług spółki, marketingu produktów i usług innych podmiotów z grupy kapitałowej oraz wykorzystania do marketingu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących. Każdy z tych celów, zdaniem NSA, wymagał wyrażenia odrębnej zgody.
Uwaga na kary
Ponieważ sprawa, w której zapadł wyrok, dotyczyła 2017 r., to za naruszenie przepisów o ochronie danych osobowych nie groziły jeszcze kary finansowe. Dzisiaj już grożą. A jak pokazuje praktyka, mogą one być niemałe (patrz: grafika). Co więcej, może to dotyczyć także zgód uzyskanych wcześniej. Przesądza o tym motyw 171 RODO.
– Nie trzeba ponownie uzyskiwać zgody, jeśli pierwotny sposób jej pozyskania odpowiada warunkom RODO. Zasadnicze wymagania, kluczowe, które ja określam jako filary ochrony danych, nie zmieniły się. Jeżeli zatem zgoda, jej legalność jest kwestionowana od początku, to mamy do czynienia z przetwarzaniem danych bez podstawy prawnej, a więc istnieje możliwość nałożenia kar. Przynajmniej w oparciu o stanowisko wyrażone w tym orzeczeniu – uważa Tomasz Osiej, prezes firmy doradczej Omni Modo.
To jednak nie wszystko. Równie dotkliwy może być zakaz przetwarzania zebranych danych do celów marketingowych. Jeśli zostanie nałożony, to latami tworzona baza stanie się bezużyteczna. Co więcej, już w trakcie postępowania, a przed wydaniem decyzji UODO może czasowo ograniczyć przetwarzanie tych danych.
Jak się przed tym zabezpieczyć? Przede wszystkim poprzez zmianę formularzy, za pośrednictwem których uzyskiwana jest zgoda. Tyle że to działanie na przyszłość. A co zrobić z już uzyskanymi zgodami? Czy można po raz kolejny wystąpić o nie do osób, które już takich zgód udzieliły?
– W oparciu o motyw 47 RODO skłaniam się do stanowiska, że jest to dopuszczalne z dwóch powodów, ale i pod dwoma warunkami. Pierwszy powód – można to potraktować jako prawnie uzasadniony interes, bowiem rodzaj powiązania pomiędzy podmiotem danych a administratorem sugeruje, że ten pierwszy może i spodziewa się komunikacji marketingowej. Była ona praktykowana od lat (co prawda bez podstawy, jak pokazuje wyrok, ale jednak była), a poza tym relacja jest, jak zakładam, czysto kliencka. Druga sprawa, że mamy do czynienia z przetwarzaniem w grupie kapitałowej, a więc mowa o zbliżonych towarach i usługach – podpowiada Tomasz Osiej.
– Warunki zaś to po pierwsze pozytywny test równowagi, który trzeba wykonać, choć wielu o nim zapomina, i bezwzględne usunięcie danych z bazy danych, jeśli nie otrzymamy zgody lub, co bardziej namacalne, wpłynie sprzeciw. Podkreślam jednak, że nawet wówczas nie wyeliminujemy całego ryzyka związanego z ponownym pozyskaniem zgód – zaznacza ekspert.
1,1 mln zł kary dla Cyfrowego Polsatu
Urząd Ochrony Danych Osobowych poinformował we wtorek o ukaraniu właściciela platformy cyfrowej za to, że niewłaściwie zabezpieczała dane przy współpracy z firmą kurierską. To właśnie z powodu zaniedbań firmy kurierskiej dochodziło do gubienia korespondencji z danymi osobowymi abonentów bądź też dostarczania jej do niewłaściwych adresatów. Prezes UODO uznał jednak, że odpowiedzialność za to ponosi Cyfrowy Polsat. To on, jako administrator danych, powinien podjąć skuteczne działania, które po pierwsze zminimalizują ryzyko naruszeń, a po drugie pozwolą na szybsze identyfikowanie takich incydentów i powiadamianie o nich. Okazało się bowiem, że platforma cyfrowa, choć informowała o wyciekach zarówno samych zainteresowanych, jak i organ ochrony danych, to jednak robiła to z dwu-, trzymiesięcznym opóźnieniem.
Co mówi RODO