Podstawy prawne marketingu prowadzonego drogą elektroniczną – zgoda i uzasadniony interes

Każdy specjalista od marketingu wie, że wysłanie informacji handlowych drogą elektroniczną (np. mailowo czy smsowo) wymaga uprzedniej zgody. I faktycznie, prawnie zasada ta wynika z art. 10 ustawy o świadczeniu usług drogą elektroniczną (UŚUDE), zgodnie z którym zakazane jest przesyłanie niezamówionej informacji handlowej, chyba że odbiorca wyraził na nią zgodę.

Zgoda w kontekście marketingu odmieniana jest więc przez wszystkie przypadki. Nie wszyscy natomiast wiedzą, że w kontekście RODO to nie zgoda jest najczęściej podstawą przetwarzania danych w zakresie marketingu, nawet jeśli została ona wyrażona. Czy to możliwe? Czy zgoda jest podstawą wysłania komunikatu marketingowego, ale już nie przetwarzania danych w tym celu?

UŚUDE kontra RODO

Kto choć raz dotknął prawnego aspektu marketingu drogą elektroniczną wie, że zgoda na otrzymywanie informacji handlowych (na gruncie polskiego UŚUDE, które bazuje na europejskich dyrektywach) najczęściej łączy się z uzasadnionym interesem administratora jako podstawą przetwarzania z RODO (a nie zgodą). W praktyce więc tam, gdzie zbierane są zgody na wysyłkę np. newslettera (np. w formie checkboxa) jednocześnie spełniany jest obowiązek informacyjny z RODO z informacją, że podstawą przetwarzania danych w celu wysyłki właśnie tego newslettera jest uzasadniony interes administratora, a nie zgoda.

Taki model (czyli zgoda z UŚUDE, ale interes z RODO) jest już ukształtowany zarówno w polskiej doktrynie, jak i praktyce. Mimo to temat często jest niezrozumiały dla samej branży marketingowej, nie mówiąc już o użytkownikach. Gdy dorzucimy do tego jeszcze regulacje Prawa telekomunikacyjnego i kolejną zgodę z art. 173 można pogubić się w ocenie, o którą zgodę chodzi i dlaczego w kontekście RODO nie jest to zgoda.

Dobrze podsumowało tę zależność jakiś czas temu Ministerstwo Cyfryzacji w poradniku dla Fintech: „Przetwarzanie danych osobowych w tym celu będzie miało za podstawę uzasadniony interes administratora. Zgoda na przesyłanie informacji handlowych na gruncie UŚUDE stanowi łącznik między udzielającym zgodę a administratorem, o którym mowa w motywie 47 RODO. Fakt wyrażenia zgody na przesyłanie informacji handlowych na gruncie UŚUDE sprawia, że osoba wyrażająca taką zgodę ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.”

Co na to brytyjski organ?

Według brytyjskiego organu ochrony danych – Information Commissioner’s Office (ICO) – zgoda uzyskana na gruncie The Privacy and Electronic Communications Regulations – PECR (w uproszczeniu odpowiednik polskiego UŚUDE) implikuje, że podstawą przetwarzania z RODO też jest zgoda (a nie uzasadniony interes).

Takie stanowisko zostało zaprezentowane w projekcie Direct marketing code of practice przygotowywanym przez ICO. Wydaje się, że urząd chce przeforsować zasadę, że jeśli na marketing odebrana jest zgoda spełniająca warunki RODO (tam akurat na gruncie brytyjskiego PERC, ale opartego o te same europejskie dyrektywy, co UŚUDE), to podstawą przetwarzania z RODO także powinna być zgoda, a nie powinien być uzasadniony interes. Dlaczego? Jeśli masz już zgodę na wysyłkę informacji handlowych (na gruncie PECR, zgodną z RODO), to po co szukać innej podstawy przetwarzania danych, skoro RODO dopuszcza zgodę? Ponadto może to być niezrozumiałe dla użytkowników – z jednej strony zgoda, z drugiej inna niż zgoda podstawa przetwarzania.

ICO zauważa więc tę niespójność, o której pisaliśmy wyżej i która faktycznie jest niezrozumiała dla większości użytkowników. Dodając do tego jeszcze, że zgodę można odwołać (zarówno na gruncie UŚUDE, jak i RODO), a w przypadku uzasadnionego interesu właściwy jest tzw. „sprzeciw”, faktycznie w prostym mechanizmie wysyłki informacji handlowej mieszają się wszystkie pojęcia i zasady.

A może jednak też zgoda?

Argumenty ICO wydają się mieć sens. Cytując: „If you have obtained consent in compliance with PECR (which must be to the GDPR standard), then in practice consent is also the appropriate lawful basis under the GDPR. Trying to apply legitimate interests when you already have GDPR-compliant consent would be an entirely unnecessary exercise, and would cause confusion for individuals.”

Rozumowanie ICO wydaje się jednak przewracać do góry nogami dotychczasową teorię i praktykę, ale być może jest wykonalne też na polskim podwórku? Analogiczne: skoro mamy zgodę z art. 10 UŚUDE, która według z art. 4, ma odpowiadać zasadom RODO – to może niech zgoda będzie też podstawą przetwarzania danych?

Na pierwszy rzut oka takie rozumowanie może mieć sens, ale czy nie byłoby to wrzucanie dwóch zgód do jednej zgody albo ukrywanie jednej zgody pod oświadczeniem innej zgody? Należy też pamiętać, że RODO w kilku miejscach bezpośrednio łączy działalność marketingową z uzasadnionym interesem jako podstawą przetwarzania. Choć i to wydaje się argument do dyskusji, bo można przyjąć, że tam, gdzie zgoda z UŚUDE – tam zgoda z RODO, a tam, gdzie inny marketing (nie prowadzony drogą elektryczną) – tam uzasadniony interes jako podstawa przetwarzania.

Wydaje się, że na gruncie polskich przepisów model zgody z UŚUDE, ale uzasadnionego interesu z RODO, jest tak ugruntowany, że ciężko będzie nagle zmienić podejście i patrzeć na system naszych przepisów przez nowy pryzmat. Niewykluczone jednak, że zyska on swoich zwolenników.

 

Autor: Magdalena Kaleta-Maniak

SENIOR CONSULTANT
ADWOKAT

magdalena.kaleta@olesinski.com

Więcej