Dane osobowe stają się niezwykle łakomym kąskiem dla przedsiębiorców. Przypomniała o tym Monika Krasińska, Dyrektor Departamentu Orzecznictwa Legislacji i Skarg w Biurze GIODO podczas wystąpienia na Kongresie Konsument.
- Przypomina mi się kontrola w Naszej Klasie. NaszaKlasa.pl, to portal gdzie świadczono m. in. usługi drogą elektroniczną. A zatem i do tego portalu miała zastosowanie ustawa o świadczeniu usług droga elektroniczną. Co ciekawe, kiedy użytkownik zażądał usunięcia danych z NaszaKlasa.pl, to otrzymał informacje, że zostaną usunięte ale tylko w warstwie dostępu innych użytkowników, którzy nie zobaczą tych danych. Ale to nie oznaczało, że dane będą usunięte całkowicie, ale znajdą się w warstwie głębszej, dostępnej dla właściciela portalu. Inspektor GIODO zadał wtedy konkretne pytanie: "to ile zamierzacie i na jakiej podstawie przechowywać te dane". Z uwagi na wymijające odpowiedzi nastąpiła kontrola. Nasza Klasa stwierdziła, że będzie przechowywać dane 25 lat. A z jakich przepisów wynika, że aż tyle? Na to pytanie nie chciano odpowiedzieć. W końcu po długich targach zdecydowano, ze dane te firma będzie przechowywać w celach archiwalnych 5 lat. Co ciekawe w regulaminie nawet nie było tej informacji o czasie retencji danych - zauważa Dyrektor Krasińska, wskazując, że przedsiębiorcy nie zawsze znają prawo, nie zawsze stosują je we właściwym zakresie i nie zawsze informują klientów o prawach jakie im przysługują.
Przetwarzanie danych konsumentów w umowach to nadal poważny problem. W bardzo wielu relacjach konsument – przedsiębiorca , klient nie ma żadnych szans. Daje mu się jakieś iluzoryczne prawa, z których może skorzystać, a jak nie zgodzi się na pewne rozwiązania, to tych rozwiązań nie dostanie, co wiąże się ze stratą dla konsumenta.
- Przesłanką, która musi zajść, aby móc przetwarzać dane jest zgoda osoby o którą chodzi. Niewymuszona, opcjonalna, ale nie na przetwarzanie danych, bo są to zgody ogólne, zawsze muszą być one związane z celem tego przetwarzania. Nie zawsze ta zgoda musi zbierana, bo jest to wprowadzenie klienta w błąd. Jeśli mamy umowę, to nie musi być zgody. Pamiętajmy zgodnie z przepisami, zgoda może być wycofana, a więc jeśli wycofujemy zgodę to wycofujemy umowę? To absurd. Inną kwestią jest przetwarzanie danych w celach marketingu własnych produktów i usług. Taka zgoda nie jest potrzebna, gdyż dopóki trwa umowa, przedsiębiorca ma prawo oferować swoje usługi klientowi. Ale już klient archiwalny ma prawo być pozostawionym w spokoju. Kiedy kontrakt wygasa, przedsiębiorcy nie mają prawa nękać swoich byłych konsumentów, którzy zaprzestali korzystania z usług banku czy operatora - zauważa Krasińska.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych przesądza, jakie warunki muszą być spełnione, aby administratorzy danych (tj. podmioty decydujące o celach i środkach przetwarzania danych) mogli wykorzystywać dane osobowe swoich klientów w celach marketingowych.
Zgodnie z jej przepisami, mogą to robić:
- bez ich zgody
- jeśli w ten sposób promują własne produkty lub usługi. W tym przypadku podstawą uprawniającą do wykorzystywania danych osobowych klientów będzie bowiem prawnie usprawiedliwiony cel administratora danych, o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Przy czym, za prawnie usprawiedliwiony cele administratora danych uznaje się marketing bezpośredni własnych produktów i usług (art. 23 ust. 4 pkt 1). Oznacza to, że firma - w celu promowania własnych produktów i usług - może wykorzystywać dane osobowe swoich klientów bez konieczności pozyskiwania na to ich zgody, pod warunkiem że takie działanie nie narusza praw i wolności osób, których dane dotyczą.
Przedsiębiorcy prowadzący swoją działalność marketingową z powołaniem się na ich prawnie usprawiedliwiony cel muszą jednak pamiętać, że ustawa o ochronie danych osobowych zezwala na takie działanie do czasu, gdy klient nie wniesie sprzeciwu w tym zakresie. Od tego momentu wykorzystywanie jego danych w celach marketingowych jest zakazane. Ponadto niedopuszczalne jest także przetwarzanie danych w celach marketingowych po wygaśnięciu umowy łączącej firmę z klientem, chyba żeby wyraził on na to zgodę.
- za ich zgodą
jeśli promują produkty lub usługi innego podmiotu. Nie istnieją bowiem przepisy prawa, które pozwalałyby na przesyłanie oferty marketingowej innego podmiotu bez zgody osoby, której dane dotyczą. Nawet zawarcie przez oba pomioty umowy w sprawie wzajemnej promocji nie jest wystarczającą podstawą do uznania, że wysyłanie oferty marketingowej firmy współpracującej jest prawnie usprawiedliwionym celem administratora danych.
- Przykładowo jeśli np. operator telekomunikacyjny, który zawarł z bankiem umowę o współpracy w celu propagowania oferty produktowej, chciałby przesyłać swoim klientom informację o korzystnym kredycie bankowym, musiałby pozyskać na to zgodę swoich klientów. Informacja o korzystnym kredycie jest bowiem informacją marketingową banku, a nie operatora telekomunikacyjnego. Zatem operator telekomunikacyjny musi pozyskać zgodę swoich klientów na przesyłanie im ofert marketingowych banku - informuje Małgorzata Kałużyńska-Jasak, Dyrektor Zespołu Rzecznika Prasowego GIODO.
Z ustawy o ochronie danych osobowych wynika także, że zgoda taka jest potrzebna, gdy dane klienta mają być przekazywane innym podmiotom.
Zaznaczyć należy, że część przedsiębiorców nie korzysta z możliwości promowania własnych produktów i usług bez pozyskiwania zgody klienta, lecz decyduje się, by ich o nią poprosić, co jest oczywiście dopuszczalne, ale nie jest konieczne.
Przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie (art. 7 pkt 5 ustawy o ochronie danych osobowych). Formuła zgody na przetwarzanie danych osobowych powinna stanowić odrębne oświadczenie od innych oświadczeń osoby, której dane dotyczą, zaś z jej treści powinno w sposób nie budzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Przy czym ustawa nie wymaga, aby była to zgoda pisemna (może być też ustna), ale dla celów dowodowych lepiej, gdy jest ona złożona na piśmie. Przy odbieraniu zgody zagwarantowana powinna być opcjonalność, tj. osoba składająca oświadczenie powinna mieć możliwość wyrażenia zgody na określone działania, albo jej niewyrażenia. Z tych względów zgoda na przetwarzanie danych w celach marketingowych powinna być wyodrębniona od zgody na inne czynności. Niedopuszczalne jest także uzależnianie wykonania pewnej usługi czy np. zawarcia umowy od wyrażenia zgody na przetwarzanie danych osobowych w celach marketingowych.
- Na potwierdzenie powyższego, warto przytoczyć orzecznictwo Naczelnego Sądu Administracyjnego. W wyroku z 19 stycznia 2001 r. (sygn. akt II S.A. 2748/00) sąd stwierdził, że zgoda na przetwarzanie danych osobowych w celach marketingowych powinna być zawarta w odrębnym oświadczeniu o wyrażeniu zgody; nie powinna zawierać się w treści zgody na realizację warunków umowy zawieranej z administratorem. Z kolei w wyroku z 4 kwietnia 2003 r. (sygn. akt II SA 2135/2002) NSA wskazał, że „Zgoda (...) musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być jasne dla podpisującego w momencie jej wyrażania (...)”. Natomiast w wyroku z 11 kwietnia 2003 r. (sygn. akt: II SA 3942/2004) NSA orzekł, iż: „(...) zgoda (...) nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania (...)” -dodaje Małgorzata Kałużyńska-Jasak.
Ustawa o ochronie danych osobowych gwarantuje, że zgodę na przetwarzanie danych osobowych możemy w każdej chwili wycofać. Wskazać jednak trzeba, że jeśli firma pozyskiwała od klientów zgodę na przetwarzanie naszych danych osobowych w celu prowadzenia marketingu własnych produktów i usług, to po jej cofnięciu przez klienta jest zobowiązana zaprzestać dalszego przetwarzania jego danych osobowych.
Niestety analiza przepisów ustawy o ochronie danych wskazuje że w przypadku cofnięcia przez osobę, której dane dotyczą, zgody na przetwarzanie jej danych w celach marketingowych oraz na przekazywanie jej danych innym podmiotom administrator danych nie jest zobligowany do poinformowania o tym wszystkich podmiotów, którym udostępnił jej dane (za jej zgodą i wiedzą). Obowiązku takiego nie przewiduje bowiem w sposób bezpośredni żaden z przepisów ustawy, tak jak jest to np. w przypadku art. 35 ust. 3 ustawy nakazującego administratorowi danych poinformowanie innych administratorów, którym udostępnił zbiór danych, o dokonanym uaktualnieniu lub sprostowaniu danych.
Ustawa o ochronie danych osobowych, definiując pojęcie zgody na przetwarzanie danych osobowych zastrzega bowiem, że jest to oświadczenie o określonej treści i zgody takiej nie można domniemywać ani dorozumiewać z oświadczenia o innej treści. Podobnie należy przyjąć, że z oświadczenia o odwołaniu zgody skierowanego do określonego administratora danych nie należy wyprowadzać wniosku, że dotyczy ono również innych administratorów danych. Wskazać należy, że decyzja zarówno o udzieleniu zgody, jak i o jej odwołaniu należy wyłącznie do osoby, której dane dotyczą.
W przypadku nierespektowania praw osoby, której dane dotyczą (w tym jej prawa do cofnięcia zgody na przetwarzanie danych osobowych w celach marketingowych), zawsze możliwe jest złożenie przez tę osobę skargi do Generalnego Inspektora Ochrony Danych Osobowych (GIODO).
- Zgoda na przetwarzanie danych w celach marketingowych powinna być wyodrębniona od zgody na przesyłanie informacji handlowych drogą elektroniczną, o której mowa w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną. Zgody na przetwarzanie danych osobowych w celach marketingowych nie można mylić ze zgodą na otrzymywanie informacji handlowych drogą elektroniczną. Są to dwie różne zgody, których uregulowanie znajduje się w dwóch różnych aktach prawnych. Konieczność pozyskiwania zgody na otrzymywanie informacji handlowych drogą elektroniczną wynika z ustawy o świadczeniu usług drogą elektroniczną. Z kolei w określonych sytuacjach, kiedy dane osobowe naszych klientów chcemy wykorzystywać w celach marketingowych, to na takie działanie musimy pozyskać ich zgodę wyrażoną na podstawie ustawy o ochronie danych osobowych. I choć obie wymienione ustawy przewidują, że zgody nie można domniemywać z oświadczenia woli o innej treści, to jednak przesyłanie informacji handlowych drogą elektroniczną jest innym działaniem niż wykorzystywanie danych osobowych w celach marketingowych inną drogą, niż elektroniczna - podsumowuje Małgorzata Kałużyńska-Jasak.
Jak wskazał w wyroku z 27 kwietnia 2011 r. (sygn. akt II SA/Wa 269/11) Wojewódzki Sąd Administracyjny „umieszczenie zgody na dwa w istocie różne sposoby przetwarzania udzielonych danych osobowych w jednym zdaniu, bez ich rozdzielenia i wskazania, czego ta zgoda dotyczy, w niewątpliwy sposób powoduje, iż osoba wyrażająca zgodę nie wie dokładnie, na co wyraża taką zgodę. Sformułowanie oświadczenia może bowiem sugerować: - że chodzi jedynie o przetwarzanie danych osobowych w celach przesyłania informacji handlowych drogą elektroniczną albo; - że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą, albo; - że chodzi o przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą elektroniczną i przetwarzanie danych osobowych w celu przesyłania informacji handlowych drogą zwykłą”. Przedstawione stanowisko znalazło poparcie w wyroku Naczelnego Sądu Administracyjnego z 31 stycznia 2012 r. (sygn. akt I OSK 1317/11).
Generalny Inspektor Ochrony Danych Osobowych radzi, by przy zawieraniu umów dokładnie czytać dokumenty, które podpisujemy, w tym zamieszczone na nich klauzule zgody na przetwarzanie danych osobowych, aby dokładnie wiedzieć, na co się godzimy.
Skargi do GIODO
Jeśli chodzi o liczbę wpływających do GIODO skarg, to informuję w 2013 r. wpłynęły 93 skargi dotyczące działalności marketingowej różnych podmiotów.
W swoim sprawozdaniu z działalności w roku 2013 GIODO wskazywał na tego typu praktyki i wydawane w tych sprawach decyzje. Odnosząc się np. do decyzji w sprawie o sygnaturze DOLiS/DEC-1126/13, zaznaczył że: „Podkreślenia wymaga, iż art. 23 ust. 1 pkt 5 uzasadnia przetwarzanie danych osobowych w celach marketingowych w czasie trwania umowy okresowej łączącej osobę, której dane dotyczą z administratorem danych, natomiast w przedmiotowej sprawie do przetwarzania danych skarżącej doszło po zrealizowaniu umowy, tak więc tylko zgoda osoby, której dane dotyczą może legalizować ten proces. W sytuacji, gdy spółka nie pozyskała zgody skarżącej na przetwarzanie jej danych osobowych w celach marketingowych po zrealizowaniu umowy, to prowadzenie działalności marketingowej odbywało się bez podstawy prawnej, a jednocześnie stanowiło przetwarzanie danych osobowych niezgodnie z celem, dla którego zostały one pozyskane. (…) Mając na względzie uchybienia spółki w niniejszej sprawie Generalny Inspektor Ochrony Danych Osobowych skierował do tego podmiotu wystąpienie, w którym zasygnalizował o konieczności przestrzegania zasad przetwarzania danych osobowych.”
Źródło: GIODO, własne