RODO | Dane osobowe | Marketing bezpośredni
Przetwarzanie danych osobowych w celach marketingowych może opierać się na różnych podstawach prawnych przewidzianych w RODO. W praktyce najczęściej rozważane są dwie z nich: zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), oraz prawnie uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO).
Wybór podstawy prawnej nie powinien być jednak traktowany jako decyzja wyłącznie formalna. Ma on znaczenie dla zakresu obowiązków informacyjnych, sposobu realizacji praw osoby, której dane dotyczą, oraz oceny zgodności całego procesu z zasadami przejrzystości, rzetelności i rozliczalności. Zasady te wynikają w szczególności z art. 5 ust. 1 lit. a oraz art. 5 ust. 2 RODO, a obowiązek jasnego poinformowania osoby o celach i podstawach przetwarzania został uregulowany w art. 13 i 14 RODO.
Jedna podstawa dla konkretnego celu
RODO nie wyklucza korzystania zarówno ze zgody, jak i z prawnie uzasadnionego interesu w działalności marketingowej. Problem pojawia się wtedy, gdy administrator próbuje stosować te podstawy zamiennie dla tego samego, ściśle określonego celu przetwarzania.
Szczególne ryzyko powstaje w modelu, w którym administrator najpierw zwraca się o zgodę na określone działania marketingowe, a po jej nieudzieleniu albo cofnięciu kontynuuje to samo przetwarzanie, powołując się następnie na prawnie uzasadniony interes. Takie podejście może podważać dobrowolność zgody oraz przejrzystość informacji przekazanych osobie, której dane dotyczą.
Z perspektywy RODO istotne jest, aby zgoda nie miała charakteru pozornego. Jeżeli jej cofnięcie nie wpływa na dalsze prowadzenie tego samego przetwarzania, powstaje ryzyko zakwestionowania zarówno dobrowolności zgody, jak i przejrzystości całego modelu.
Uzasadniony interes i test równowagi
Marketing bezpośredni może być prowadzony na podstawie prawnie uzasadnionego interesu administratora. Potwierdza to motyw 47 RODO, który wskazuje, że przetwarzanie danych osobowych do celów marketingu bezpośredniego można uznać za działanie wykonywane w prawnie uzasadnionym interesie.
Nie oznacza to jednak, że art. 6 ust. 1 lit. f RODO może pełnić funkcję „podstawy rezerwowej” uruchamianej po nieuzyskaniu zgody. Zastosowanie tej podstawy wymaga oceny, czy interes administratora jest prawnie uzasadniony, czy przetwarzanie jest niezbędne do jego realizacji oraz czy interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, nie mają charakteru nadrzędnego.
W praktyce wymaga to przeprowadzenia tzw. testu równowagi, obejmującego cel przetwarzania, jego niezbędność, wpływ na osobę, której dane dotyczą, oraz zabezpieczenia ograniczające ingerencję w jej prawa. Nie jest to wyłącznie formalny element dokumentacji, lecz istotna część oceny dopuszczalności oparcia marketingu na prawnie uzasadnionym interesie.
Jeżeli administrator wybiera model oparty na prawnie uzasadnionym interesie, powinien być on jasno opisany w obowiązku informacyjnym. Osoba, której dane dotyczą, powinna wiedzieć, że jej dane są przetwarzane w tym modelu, jaki interes realizuje administrator oraz że przysługuje jej prawo wniesienia sprzeciwu wobec przetwarzania danych na potrzeby marketingu bezpośredniego.
Sprzeciw wobec marketingu bezpośredniego
Sprzeciw wobec marketingu bezpośredniego ma szczególne znaczenie. Zgodnie z art. 21 ust. 2 RODO osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego. Zgodnie z art. 21 ust. 3 RODO po wniesieniu takiego sprzeciwu danych osobowych nie wolno już przetwarzać do takich celów.
W modelu opartym na prawnie uzasadnionym interesie kluczowe znaczenie ma skuteczność sprzeciwu. Ocena zgodności nie ogranicza się do samego poinformowania o prawie sprzeciwu, ale obejmuje również to, czy po jego wniesieniu przetwarzanie w celu marketingu bezpośredniego rzeczywiście ustaje.
Zgody na kontakt a podstawa z RODO
Odrębną kwestią są zgody wymagane dla określonych sposobów komunikacji marketingowej. Podstawa przetwarzania danych osobowych na gruncie RODO nie zawsze jest tożsama ze zgodą na kontakt telefoniczny, kontakt za pośrednictwem poczty elektronicznej, wiadomości tekstowych, powiadomień w aplikacji albo innych form komunikacji elektronicznej.
Możliwa jest więc sytuacja, w której samo przetwarzanie danych osobowych w celu marketingu bezpośredniego opiera się na prawnie uzasadnionym interesie administratora, ale wykorzystanie konkretnego sposobu kontaktu wymaga dodatkowej zgody wynikającej z przepisów regulujących komunikację elektroniczną.
Podstawa przetwarzania danych osobowych z art. 6 RODO nie przesądza więc jeszcze o dopuszczalności użycia konkretnego kanału kontaktu. Ten aspekt wymaga odrębnej oceny na gruncie przepisów regulujących komunikację elektroniczną. Regulacje znane wcześniej z Prawa telekomunikacyjnego zostały w istotnej części zastąpione przepisami Prawa komunikacji elektronicznej. W kontekście marketingu bezpośredniego szczególne znaczenie ma art. 398 PKE, dotyczący używania automatycznych systemów wywołujących i telekomunikacyjnych urządzeń końcowych do przesyłania informacji handlowej, w tym marketingu bezpośredniego. Odrębne znaczenie może mieć art. 399 PKE, dotyczący przechowywania informacji lub uzyskiwania dostępu do informacji w urządzeniu końcowym. Art. 391 PKE dotyczy natomiast przetwarzania danych transmisyjnych przez dostawców usług komunikacji elektronicznej, a więc nie powinien być przedstawiany jako ogólny odpowiednik zgody na kanał komunikacji marketingowej.
Pominięcie tego rozróżnienia może prowadzić do błędnego połączenia dwóch różnych zagadnień: podstawy przetwarzania danych osobowych oraz dopuszczalności użycia określonego środka komunikacji. W praktyce to właśnie na styku tych dwóch obszarów powstaje wiele ryzyk związanych z prowadzeniem marketingu bezpośredniego.
Cofnięcie zgody, sprzeciw i przejrzystość
Oświadczenia składane przez osobę, której dane dotyczą, powinny być oceniane zgodnie z ich treścią. W zależności od okoliczności dane oświadczenie może stanowić cofnięcie zgody, sprzeciw wobec marketingu bezpośredniego albo szerszą dyspozycję wyłączenia komunikacji marketingowej.
Z perspektywy RODO nie są to pojęcia tożsame, choć w praktyce mogą prowadzić do podobnego skutku, jakim jest zaprzestanie kierowania komunikatów marketingowych do danej osoby. Dla oceny zgodności z prawem istotne jest jednak, aby administrator prawidłowo rozróżniał podstawę przetwarzania, cofnięcie zgody, sprzeciw oraz zgody dotyczące poszczególnych sposobów kontaktu.
Szczególne znaczenie ma spójność pomiędzy tym, co administrator komunikuje osobie, której dane dotyczą, a tym, jak rzeczywiście działa proces marketingowy. Jeżeli klauzula informacyjna wskazuje jedną podstawę przetwarzania, a w praktyce ten sam proces jest kontynuowany po cofnięciu zgody na innej podstawie, może to prowadzić do zarzutu naruszenia zasad przejrzystości i rozliczalności.
Profilowanie i okres przechowywania danych
Marketing bezpośredni często wiąże się nie tylko z samym wysłaniem komunikatu, ale również z analizą danych, segmentacją odbiorców albo profilowaniem. Takie działania wymagają szczególnej przejrzystości. Osoba, której dane dotyczą, powinna wiedzieć, czy jej dane są wykorzystywane do doboru treści marketingowych, oceny jej preferencji albo przypisania do określonej grupy odbiorców.
Istotne znaczenie ma również okres przechowywania danych. Po cofnięciu zgody albo wniesieniu sprzeciwu dane nie powinny być dalej wykorzystywane do marketingu. Dopuszczalne może być natomiast zachowanie ograniczonego zakresu danych w celu respektowania cofnięcia zgody lub sprzeciwu i zapobieżenia ponownemu objęciu danej osoby komunikacją marketingową. Takie przetwarzanie ma jednak inny cel niż prowadzenie marketingu i powinno być odpowiednio ograniczone.
Wnioski
Zgoda i prawnie uzasadniony interes mogą funkcjonować równolegle w działalności marketingowej administratora, ale nie powinny być stosowane zamiennie dla tego samego, konkretnego celu przetwarzania. Dopuszczalne jest rozróżnienie podstaw prawnych dla różnych celów, różnych operacji przetwarzania albo odrębnych kategorii działań marketingowych. Niedopuszczalne jest natomiast takie ukształtowanie procesu, w którym brak zgody lub jej cofnięcie nie wywołują rzeczywistego skutku, ponieważ administrator kontynuuje to samo przetwarzanie na innej podstawie.
Zgodność z RODO wymaga nie tylko prawidłowego wyboru podstawy prawnej, ale również spójności pomiędzy obowiązkiem informacyjnym, sposobem zbierania zgód, mechanizmem sprzeciwu, oceną prawnie uzasadnionego interesu oraz rzeczywistym działaniem administratora. To właśnie ta spójność decyduje o tym, czy model marketingowy można uznać za przejrzysty, rzetelny i rozliczalny.
Niniejszy artykuł ma charakter informacyjny i nie stanowi porady prawnej.