Co zmieni ogólne rozporządzenie w pozyskiwaniu danych osobowych do działań marketingowych

Zmieniające się przepisy oraz ich interpretacja stawiają raz jedną, raz drugą stronę w pozycji dominującej, wprowadzając zamieszanie i generując pole do potencjalnych konfliktów. Dodatkowo część podmiotów zdaje się balansować na krawędzi prawa i dość liberalnie traktuje wykładnie przepisów. Są też podmioty, które sprawiają wrażenie, że w ogóle nie interesują się obowiązującym prawem i postępują według sobie tylko znanych zasad, licząc, że nie zostaną zauważone przez organy uprawnione do kontroli i ewentualnego karania sprawców naruszeń.

Urząd Komunikacji Elektronicznej, Urząd Ochrony Konkurencji i Konsumentów i Generalny Inspektor Ochrony Danych Osobowych, prowadzą szeroką akcję informacyjną oraz sprawdzają zgłoszenia naruszeń prawa lub z urzędu dokonują kontroli. Jednak, moim zdaniem, rynek marketingowy w Polsce jeszcze przez długi czas będzie wymagał reorganizacji, zmiany przepisów i wprowadzenia nowych mechanizmów (np. Kodeksów Dobrych Praktyk). Dopiero te działania doprowadzą do jego właściwej regulacji i wyeliminują znaczną część naruszeń.

Urząd Komunikacji Elektronicznej wydał kilka interpretacji przepisów ustawy Prawo telekomunikacyjne. Ze względu na prowadzoną działalność marketingową, należy zwrócić uwagę na te dotyczące Działu VII Ustawy, a w szczególności na art. 172 i 174, które traktują o obowiązkach związanych z pozyskaniem zgody na świadczenie usług marketingu bezpośredniego. Urząd między innymi dokonał interpretacji, w której wskazał konieczność uzupełnienia zebranych uprzednio przez przedsiębiorcę zgód na przesyłanie wiadomości drogą elektroniczną (wynikających z przepisów ustawy o świadczeniu usług drogą elektroniczną) o zgody komunikacyjne wynikające z zapisów art. 172 ustawy Prawo telekomunikacyjne.

W branży pojawiają się zaś opinie mówiące o tożsamości tych przepisów i braku konieczności zbierania obydwu zgód. Mając to na uwadze przedsiębiorcy, aby legalnie kontynuować prowadzoną przez siebie aktywność marketingową, powinni zwrócić się do swoich klientów, adresatów przekazów marketingowych, o udzielenie dodatkowej zgody wynikającej z obecnych regulacji prawnych. Od nowych klientów powinni zbierać komplet osobnych zgód, wynikających z przepisów: uśude, Pt i uodo. 

Na uwagę zasługuje również art. 173 Prawa telekomunikacyjnego, który definiuje zasady postępowania w związku z wykorzystywaniem informacji takich jak pliki cookies, flash/local storage i podobne technologie, w tym związane z działaniem programów analitycznych. 

Warto także zapoznać się z art. 174a-d, ponieważ są w nich spisane zagadnienia związane z przetwarzaniem danych osobowych, w tym w szczególności dodatkowe obowiązki przedsiębiorców telekomunikacyjnych na okoliczność wystąpienia naruszeń ochrony danych osobowych. 

Ta tematyka już niedługo będzie dotyczyła wszystkich administratorów danych, ponieważ rozporządzenie ogólne, w art. 33 i 34, wprowadza taki obowiązek dla podmiotów przetwarzających dane osobowe. Osobnym zagadnieniem, z którym muszą się zmierzyć administratorzy danych, jest interpretacja zapisów rozporządzenia ogólnego i konieczność zaplanowania zmian w sposobie informowania podmiotów danych o administratorze danych, zasadach, celach i sposobie przetwarzania informacji, uprawnieniach i obowiązkach oraz podstawach przetwarzania danych (art. 13/14 rodo). Również profilowanie wymaga nowego podejścia do informowania klientów (art. 22 rodo). 

Rozporządzenie reguluje też, m.in. w art. 8, relacje pomiędzy przedsiębiorcami a dziećmi poniżej 16 roku życia (regulacja krajowa może obniżyć granicę wieku do 13 roku życia). Zgodnie z motywem 38 rodo osoby te wymagają szczególnej ochrony, gdyż „…mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Taka szczególna ochrona powinna mieć zastosowanie przede wszystkim do wykorzystywania danych osobowych dzieci do celów marketingowych lub do tworzenia profili osobowych lub profili użytkownika oraz do zbierania danych osobowych dotyczących dzieci, gdy korzystają one z usług skierowanych bezpośrednio do nich. Zgoda osoby sprawującej władzę rodzicielską lub opiekę nie powinna być konieczna w przypadku usług profilaktycznych lub doradczych oferowanych bezpośrednio dziecku.” 

Wprowadzany jest też obowiązek uzyskiwania zgody opiekuna prawnego na świadczenie usług dziecku poniżej wskazanej granicy wieku. Może to, w określonych sytuacjach, skutecznie uniemożliwić przedsiębiorcy oferowanie i świadczenie usługi dla nieletnich. 

Dodatkowym wymogiem będzie, w szczególności w komunikacji z dziećmi, przestrzeganie „zasady przejrzystości” (motyw 58), czyli takiego formułowania przekazu, aby był zwięzły, łatwo dostępny i zrozumiały, był formułowany jasnym i prostym językiem, a w stosownych przypadkach, dodatkowo wizualizowany. Takie postępowanie będzie dotyczyło także zbierania zgód (art. 7). Należy jednak zwrócić uwagę na to, że obecnie interpretacje i szczegółowe wytyczne dotyczące rozporządzenia nie powinny być formułowane, ponieważ brakuje nadal kilku ważnych elementów niezbędnych do pełnego zdefiniowania zakresu zmian i wymagań stawianych przez rodo. 

Maciej Kołodziej