Dobre zmiany w telekomunikacji. Dla konsumenta

Obowiązująca od 25 grudnia 2014 r. nowelizacja ustawy Prawo telekomunikacyjne przyniosła długo oczekiwane zmiany, jako że obecnie wymagana jest zgoda na używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego (art. 172 ust. 1 Prawa telekomunikacyjnego), a zgoda wyrażona przez abonenta lub użytkownika końcowego nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, a także może być w każdym czasie wycofana, w sposób prosty i wolny od opłat (art. 174 pkt 1 Prawa telekomunikacyjnego).
Regulacja ta ma w swoim założeniu chronić konsumentów przed niechcianymi telefonami telemarketerów.

Klient wnosi sprzeciw, dane należy zapomnieć

Co do zasady telemarketerzy nie mają więc prawa kontaktować się z nami bez naszej zgody. Jedynym wyjątkiem może być przypadek, gdy telefonuje do nas przedstawiciel firmy, z którą łączy nas jakaś umowa, a przedstawiana nam oferta dotyczy jej produktów i usług. Działanie takie uznaje się bowiem za prawnie usprawiedliwiony cel administratora danych, na co zezwala art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Oznacza to, że firma - w celu promowania własnych produktów i usług - może wykorzystywać dane osobowe swoich klientów bez konieczności pozyskiwania na to ich zgody, pod warunkiem że takie działanie nie narusza praw i wolności osób, których dane dotyczą. - Przedsiębiorcy prowadzący swoją działalność marketingową z powołaniem się na ich prawnie usprawiedliwiony cel muszą jednak pamiętać, że ustawa o ochronie danych osobowych zezwala na takie działanie do czasu, gdy klient nie wniesie sprzeciwu w tym zakresie. Od tego momentu wykorzystywanie jego danych w celach marketingowych jest zakazane. Administrator danych może jednak pozostawić w zbiorze imię lub imiona i nazwisko osoby oraz numer PESEL lub adres, wyłącznie w celu uniknięcia ponownego wykorzystania danych tej osoby w celach objętych sprzeciwem (art. 32 ust. 3) – informuje GIODO.

Koniec umowy, koniec przetwarzania?

Ponadto niedopuszczalne jest także przetwarzanie danych w celach marketingowych po wygaśnięciu umowy łączącej firmę z klientem, chyba żeby wyraził on na to zgodę. Zawsze jednak mamy prawo odwołać naszą zgodę, o czym przesądza art. 7 pkt 5 ustawy o ochronie danych osobowych.

- Możemy tak postąpić także w każdym innym przypadku, np. gdy wcześniej firmie, której jesteśmy klientem, wyrażaliśmy zgodę na wykorzystywanie naszych danych w celach marketingowych (niezależnie czy dotyczy on jej produktów lub usług, czy podmiotów z nią współpracujących). Nie istnieją bowiem przepisy prawa, które pozwalałyby na przesyłanie oferty marketingowej innego podmiotu bez zgody osoby, której dane dotyczą. Nawet zawarcie przez oba pomioty umowy w sprawie wzajemnej promocji nie jest wystarczającą podstawą do uznania, że wysyłanie oferty marketingowej firmy współpracującej jest prawnie usprawiedliwionym celem administratora danych – zauważa GIODO.

Warto przeczytać: Rejestracja kart prepaid okazała się groźna. Oto problemy, jakie czekają na abonentów

Z ustawy o ochronie danych osobowych wynika także, że zgoda taka jest potrzebna, gdy dane klienta mają być przekazywane innym podmiotom.

Podkreślić należy, że jeśli chcemy cofnąć zgodę na przetwarzanie naszych danych, to informację tę musimy przekazać do każdego administratora danych oddzielnie. Administrator danych, któremu udostępniliśmy dane i zgodziliśmy się, by mógł przekazać je innym podmiotom, nie jest bowiem zobligowany do poinformowania wszystkich podmiotów, którym udostępnił nasze dane, o wycofaniu przez nas zgody na ich przetwarzanie.

Kliencie, sprawdź kto posiada twoje dane

Ponadto warto pamiętać, że mamy też prawo do uzyskania informacji, w jaki sposób kontaktujący się z nami podmiot pozyskał dane osobowe i na jakiej podstawie prawnej je przetwarza, o czym przesądza art. 32 ustawy o ochronie danych osobowych.

Raz na 6 miesięcy przysługuje nam bowiem możliwość sprawdzenia, kto, od kiedy i jakie dotyczące nas dane posiada, skąd je pozyskał, w jakim zakresie i w jakim celu je przetwarza oraz komu je udostępnił. Powinniśmy zatem zwrócić się do administratora danych z wnioskiem (najlepiej – ze względów dowodowych - pisemnym lub e-mailowym) o udzielenie takich informacji. Administrator ma zaś obowiązek udzielić nam odpowiedzi w ciągu 30 dni, a jeśli tego zażądamy – musi to zrobić na piśmie.

Sporo informacji do ustalenia po stronie konsumenta

Jeśli telemarketer nie wie, czy administratorem danych jest zatrudniająca go firma, czy działa ona w czyimś imieniu, to o wyjaśnienie tej kwestii warto zwrócić się do firmy telemarketingowej na piśmie, korzystając ze wskazanego wyżej, przysługującego nam prawa do informacji i kontroli przetwarzania naszych danych osobowych. Dzięki temu mamy możliwość zachowania kontroli nad obiegiem naszych danych.

- Jeśli ustalimy, że podmiot, który kontaktuje się z nami w celu przedstawienia nam swojej oferty marketingowej, zdobył nasze dane ze źródeł powszechnie dostępnych (jak np. Internet lub książki telefoniczne) lub od innych podmiotów albo osób trzecich, to warto pamiętać, że zaraz po utrwaleniu tak zebranych naszych danych, powinien nas o tym poinformować (art. 25 ust. 1 ustawy o ochronie danych osobowych). Oznacza to, że powinien podać nam swoją pełną nazwę i adres siedziby oraz wskazać m.in., od kogo pozyskał nasze dane oraz w jakim celu i zakresie będzie je wykorzystywał, a także o tym, jakie prawa nam przysługują – wskazuje GIODO.

Rejestracja kart prepaid: Czy sprzedawca może odmówić klientowi takiej operacji?

Spełnienie obowiązku informacyjnego jest o tyle istotne, że dzięki temu mamy świadomość, że nasze dane są wykorzystywane i możemy skorzystać z praw przysługujących nam na mocy ustawy o ochronie danych osobowych, m.in. z prawa żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych. Jeśli bowiem dane zostały pozyskane nie bezpośrednio od nas, a my nie chcemy, aby podmiot, który je zdobył, wykorzystywał je lub udostępniał kolejnym podmiotom, możemy np. zażądać usunięcia naszych danych osobowych.

Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 22 stycznia 2004 r. (sygn. akt II Sa 2665/02) „podstawowym prawem tej osoby jest prawo do ochrony jej danych. Zapewnienie jej tego prawa wymaga przynajmniej, aby mogła ona po uzyskaniu informacji o zebraniu jej danych od innego podmiotu sprzeciwić się dalszemu przetwarzaniu. Powinna mieć więc przynajmniej czas na możliwość do skorzystania ze środków przewidzianych w art. 32. (…) Osoba, której dane dotyczą musi więc mieć możliwość zaprotestowania przeciwko posługiwaniu się jej danymi przez inną firmę, której tych danych nie przekazywała. W przeciwnej sytuacji przekazanie danych jakiemukolwiek podmiotowi ograniczałoby na przyszłość ochronę danych osobowych i prawo do tej ochrony”. W wyroku tym sąd wskazał również, że „firma, która nabyła zbiór danych osobowych od innego administratora danych, powinna powiadomić klientów, że posiada ich dane, oraz dać im czas, aby mieli szansę wnieść sprzeciw na ich przetwarzanie do celów marketingowych. Niedotrzymanie tych warunków łamie przepisy o ochronie danych osobowych”.

W razie wykazania przez osobę, której dane osobowe dotyczą, że są one niekompletne, nieaktualne, nieprawdziwe lub zostały zebrane z naruszeniem ustawy albo są zbędne do realizacji celu, dla którego zostały zebrane, administrator danych– zgodnie z art. 35 ust. 1 ustawy o ochronie danych osobowych – jest obowiązany, bez zbędnej zwłoki, do uzupełnienia, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, chyba że dotyczy to danych osobowych, w odniesieniu do których tryb ich uzupełnienia, uaktualnienia lub sprostowania określają odrębne ustawy.

Rejestracja kart pre-paid: Operatorzy nie powinni kserować dowodu

Ktoś bezprawnie przetwarza nasze dane – pomoże GIODO

W przypadku nierespektowania praw osoby, której dane dotyczą (w tym jej prawa do cofnięcia zgody na przetwarzanie danych osobowych w celach marketingowych lub wniesienia sprzeciwu na wykorzystywanie jej danych osobowych), co jest równoznaczne z naruszaniem przepisów ustawy o ochronie danych osobowych, zawsze możliwe jest złożenie przez tę osobę skargi do Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Szczegółowe informacje, jakich formalności należy wówczas dopełnić, są dostępne na stronie internetowej GIODO pod tym linkiem.

W stosunku do podmiotu naruszającego powyższe przepisy GIODO może wydać decyzję administracyjną nakazującą przywrócenie stanu zgodnego z prawem, np. zakazanie przetwarzania danych osobowych.

Bezprawne działanie zostanie ukarane

Za nieprzestrzeganie zasad określonych w ustawie o ochronie danych osobowych przewidziana jest również odpowiedzialność karna. Przykładowo, kto przetwarza w zbiorze dane osobowe, do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (art. 49 ust. 1). Z kolei ten, kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z przysługujących jej praw, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku (art. 54). O zastosowaniu kary decyduje jednak sąd.

Ponadto każdego przedsiębiorcę, który bez zgody abonenta przekaże komunikat marketingowy, Prezes Urzędu Komunikacji Elektronicznej (UKE) może ukarać karą pieniężną do 3 proc. przychodu osiągniętego w poprzednim roku kalendarzowym (art. 209 ust. 1 pkt 25 i art. 210 ust. 1), zatem to w jego kompetencji leży wydawanie decyzji w tym zakresie.

Rejestracja kart prepaid: Oto, jakie promocje przygotowali operatorzy

Jednocześnie w opinii GIODO, oprócz przestrzegania norm prawnych dotyczących prowadzenia działań marketingowych, bardzo ważne staje się wypracowanie i wdrażanie elementarnych dobrych praktyk postępowania podmiotów działających w danym obszarze, czyli tzw. kodeksów dobrych praktyk. GIODO stara się popularyzować tę ideę poprzez podejmowanie współpracy z różnymi podmiotami. Jednym z efektów takich działań jest podpisanie w styczniu 2008 r. porozumienia ze Stowarzyszeniem Marketingu Bezpośredniego (od 1 stycznia 2013 r. noszącym nazwę Polskie Stowarzyszenie Marketingu SMB) o wspólnym działaniu na rzecz poprawy poziomu ochrony danych osobowych i prawa do prywatności w działalności marketingowej oraz stosowaniu przygotowanego w tym celu Kodeksu Dobrych Praktyk (dokument ten jest dostępny na stronie internetowej GIODO pod tym linkiem. 

Warto także wskazać, że kwestie te uregulowane zostały również w Kodeksie etycznym stworzonym przez Polskie Stowarzyszenie Marketingu SMB. Rozdział IV tego kodeksu (dostępnego na stronie internetowej SMB pod tym linkiem ) w całości poświęcony jest zasadom prowadzenia telemarketingu.

Ponadto osoby, które nie życzą sobie telefonów z ofertami promocyjnymi mogą wpisać się na tzw. „Listę Robinsonów”, która uruchomiona została w kwietniu 2015 r. Jej utworzenie i dopracowanie zainicjowało Polskie Stowarzyszenie Marketingu SMB we współpracy z posłem Tadeuszem Aziewiczem, UOKiK i GIODO. Zastrzeżenie osób, które zapisane były na listę w formie, w jakiej funkcjonowała wcześniej, mogło dotyczyć jedynie adresu zamieszkania. Wówczas firmy zrzeszone w SMB nie mogły go wykorzystywać na potrzeby przesyłania ofert marketingowych. Obecnie zakazem można objąć również wszystkie inne kanały komunikacyjne, a więc oprócz adresu zamieszkania, także adres e-mail czy numer telefonu stacjonarnego i komórkowego.

W opinii dr Edyty Bielak-Jomaa, Generalnego Inspektora Ochrony Danych Osobowych (GIODO), „To bardzo cenna inicjatywa, pomocna w walce z niechcianym telemarketingiem. W odróżnieniu od rozwiązań przyjętych w innych państwach, funkcjonująca w Polsce lista to rozwiązanie o charakterze samoregulacyjnym, do którego stosowania zobowiązały się jedynie firmy zrzeszone w Polskim Stowarzyszeniu Marketingu SMB. Dlatego warto byłoby doprowadzić do rozszerzenia tej inicjatywy.

Działalność call center a przetwarzanie danych osobowych. Sytuacja jest skomplikowana

Artur Piechocki, radca prawny w APLaw, specjalista prawa Internetu i nowych technologii.

Rozmowa telefoniczna skierowana do konsumenta, zawierająca ofertę nabycia towaru lub usługi może być kierowana bezpośrednio przez przedsiębiorcę oferującego ów towar lub usługę albo przez zewnętrzny podmiot wykonujący outsourcing typu call center na rzecz przedsiębiorcy. Według tego rozróżnienia możemy domyślać się w jaki sposób przetwarzane są nasze dane osobowe. Aby skomplikować tę sytuację należałoby jeszcze zastanowić się, czy dane osobowe zbierane są przez przedsiębiorcę, który zamierza nam sprzedać swój produkt bądź usługę, przez call center outsourcing, czy też przez podmiot trzeci, od którego nasz przedsiębiorca lub operator call center nabywają bazę danych osobowych.

W prostej relacji przedsiębiorca (administrator danych osobowych) – operator call center (przetwarzający dane osobowe) mamy zwykle do czynienia z umową o powierzeniu przetwarzania danych osobowych, zawartą pomiędzy owym przedsiębiorcą a operatorem call center. Zakładając, że przedsiębiorca pozyskał dane osobowe bezpośrednio od osób fizycznych, których dane te dotyczą i może je przetwarzać w celu marketingu produktów lub usług własnych, nie narusza przy tym praw i wolności tychże osób, nie są to tzw. dane wrażliwe (np. o stanie zdrowia, religii) albo pozyskał dane osobowe za zgodą tych osób fizycznych, to zawarcie umowy o powierzeniu przetwarzania danych osobowych z operatorem call center może być zgodne z prawem. Dane takie będą przetwarzane przez podmiot, któremu powierzono przetwarzanie wyłącznie w granicach i celu wyznaczonym w umowie o powierzeniu przetwarzania danych osobowych.

Sytuacja komplikuje się w przypadku, gdy dane osobowe zostały zebrane przez operatora call center. Zakładając, że zostały zebrane zgodnie z prawem, bezpośrednio przez tego operatora, to musi wystąpić jedna z podstaw przetwarzania danych osobowych, o których mowa w art. 23 ustawy o ochronie danych osobowych, w tym przypadku zwykle taką podstawą powinna być zgoda osoby, której dane dotyczą. Nie może być to już marketing usług lub produktów własnych, bowiem call center sprzedaje produkty lub usługi innego przedsiębiorcy. Pojawia się przy tym problem jak traktować operatora call center zbierającego dane osobowe na rzecz innego przedsiębiorcy, ale również samodzielnie przetwarzającego te dane osobowe, często na rzecz różnych przedsiębiorców. Taki operator nie wykonuje wyłącznie funkcji przetwarzania powierzonych danych osobowych, lecz powinien być uznany za ich administratora z wszelkimi obowiązkami wynikającymi z przepisów prawa. W większości przypadków administratorem pozostanie jednak nasz przedsiębiorca, bowiem on decyduje o celu i sposobie przetwarzania danych osobowych.

Kolejnym etapem skomplikowania sytuacji przetwarzania danych osobowych dla celów marketingowych jest nabycie bazy danych od osoby trzeciej. W myśl art. 25 ustawy o ochronie danych osobowych jest możliwe nabycie bazy danych osobowych, czyli nie mamy wtedy do czynienia z pozyskaniem danych osobowych bezpośrednio od osoby, której dane dotyczą. Przedsiębiorca (lub operator call center), który nabył bazę danych ma jednak określone obowiązki, bowiem powinien poinformować osobę, której dane są zbierane bez jej udziału, bezpośrednio po utrwaleniu danych o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku;
2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych;
3) źródle danych;
4) prawie dostępu do treści swoich danych oraz ich poprawiania;
5) prawie wniesienia
a) umotywowanego żądania zaprzestania przetwarzania danych ze względu na jej szczególną sytuację oraz
b) sprzeciwu co do przetwarzania jej danych.

Opisane powyżej sytuacje dodatkowo komplikuje treść art. 172 Prawa telekomunikacyjnego. Zgodnie z tym przepisem zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Ów przepis powoduje, że przed rozpoczęciem rozmowy marketingowej bywa, że jesteśmy pytani o zgodę na przekaz marketingowy, o ile wcześniej nie wyraziliśmy zgody na przetwarzanie naszych danych osobowych dzwoniącemu przedsiębiorcy (call center). Warto przy tym wspomnieć, że pojawiły się nawet interpretacje, według których samo poproszenie o zgodę na kontakt telefoniczny w celach marketingowych stanowić mogłoby marketing bezpośredni. Jednak usprawiedliwiona wydaje się w takich przypadkach bardziej liberalna interpretacja art. 172 Prawa telekomunikacyjnego, zezwalająca na kontakt w celu udzielenia zgody na marketingowy przekaz telefoniczny.

Źródło: GIODO, własne