Zgoda czy prawnie uzasadniony interes w marketingu bezpośrednim. Którą przesłankę stosować?

Marketing bezpośredni stanowi jeden z istotniejszych celów przetwarzania danych przez administratorów danych będących przedsiębiorcami. Choć żaden z przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) ani polskich przepisów nie definiuje wprost pojęcia marketingu bezpośredniego, to występuje ono wielokrotnie w motywach unijnego rozporządzenia i weszło też na stałe do obrotu gospodarczego.

Pojęcie marketingu bezpośredniego

Pod pojęciem „marketingu bezpośredniego” rozumie się każdą formę reklamy i promocji, w ramach której materiały o takiej zawartości kierowane są bezpośrednio do zidentyfikowanego podmiotu lub podmiotów przy użyciu usług łączności elektronicznej, takich jak telefon, e-mail, sms, mms. Inaczej rzecz ujmując, marketing bezpośredni to działalność polegająca na dostarczaniu klientom informacji lub propozycji dotyczących sprzedaży towarów lub usług przez różne kanały bezpośredniej komunikacji.

Zidentyfikowanie odpowiedniej podstawy prawnej do przetwarzania danych osobowych w celu marketingu bezpośredniego stanowi kluczowe zagadnienie dla prawidłowego prowadzenia działań marketingowych przez administratora danych.

Stojąc przed wyborem właściwej podstawy przetwarzania danych osobowych w celu marketingu bezpośredniego, administratorzy mają dwie drogi. Pierwszą z nich jest oparcie procesów przetwarzania danych o zgodę podmiotu danych (art. 6 ust. 1 lit. a RODO). Drugą jest tzw. prawnie uzasadniony interes administratora danych (art. 6 ust. 1 lit. f RODO).

Przetwarzanie danych w oparciu o uzasadniony interes administratora danych

Klauzula prawnie uzasadnionego interesu administratora danych uregulowana została w art. 6 ust. 1 lit. f) RODO, jako jedna z przesłanek legalizujących przetwarzanie danych osobowych. Stanowi ona podstawę samodzielną i odrębną  od innych podstaw przetwarzania danych. Według motywu 47 RODO prawnie uzasadniony interes administratora danych może istnieć np. wtedy gdy zachodzi istotny i odpowiedni rodzaj powiązania pomiędzy osobą, której dane dotyczą a administratorem, na przykład wtedy, gdy taka osoba jest klientem administratora.

Ta wskazówka, że prawnie uzasadniony interes administratora danych występuje w relacji klient – usługodawca/sprzedawca stanowić może uzasadnienie dla kierowania działań mających cechy marketingu bezpośredniego do klientów administratora.

Wskazanym w motywie 47 RODO przykładem celu, w którym administrator może oprzeć przetwarzanie danych o swój prawnie uzasadniony interes jest właśnie marketing bezpośredni.  Warto pamiętać, że w motywie 47 nie ustanowiono katalogu prawnie uzasadnionego interesu administratora, a jedynie wytyczne, jakimi administrator danych powinien się kierować przy dokonywaniu oceny, czy może przetwarzać dane na podstawie art. 6 ust. 1 lit. f) RODO. 

Marketing bezpośredni w rozumieniu motywu 47 RODO obejmuje kierowanie komunikatów do oznaczonego adresata, zatem stanowi pojęcie węższe od ogólnego pojęcia marketingu.

Warto w tym miejscu wskazać, że taki marketing, który nie dociera do oznaczonego, dającego się, zidentyfikować odbiorcy nie wymaga przetwarzania danych osobowych podmiotu danych, skoro komunikat nie będzie kierowany z wykorzystaniem łączności elektronicznej. Zatem jeśli w danym procesie marketingowym (np. reklamie tv, reklamie w czasopismach, na billboardach, czy stronie internetowej) nie są przetwarzane dane osobowe odbiorcy komunikatu, to administrator nie musi przeprowadzać analizy prawnie uzasadnionego interesu i tzw. testu równowagi, o którym mowa niżej, bo o przetwarzaniu przez niego danych osobowych w ogóle nie ma mowy.

Analizując kryterium prawnie uzasadnionego interesu administratora danych jako podstawy przetwarzania, należy odpowiedzieć sobie na pytanie, jaki konkretnie rodzaj interesów administratora uzasadnia proces przetwarzania danych? W tym wypadku nie wystarczy wskazanie, że administrator ma prawnie uzasadniony interes w prowadzeniu marketingu, ale trzeba także wskazać, na czym dokładnie ten interes polega. W znakomitej większości wypadków interes ten ma dla administratora charakter gospodarczy (ekonomiczny).  

Ponadto, aby oprzeć proces przetwarzania danych w celu marketingowym o prawnie uzasadniony interes administratora, nie można poprzestać na zidentyfikowaniu tego prawnie uzasadnionego interesu. Konieczne jest przeprowadzenie dodatkowych analiz, o których mowa poniżej.

Konieczność przeprowadzenia test równowagi, czy dopuszczalne jest oparcie przetwarzania danych o prawnie uzasadniony interes

Przed podjęciem decyzji o wyborze prawnie uzasadnionego interesu jako podstawy przetwarzania danych administrator każdorazowo musi przeprowadzić analizę, czy przyjęcie takiej podstawy prawnej w danej sytuacji jest w ogóle możliwe.  W celu dokonania takiej oceny, administrator danych musi przeprowadzić tzw. test równowagi, w którym zestawi ze sobą  swój prawnie uzasadniony  interes oraz  podstawowe prawa i wolności podmiotu danych, którego dane mają być przetwarzane.

Na czym dokładnie polega ten test równowagi w przypadku oparcia marketingu bezpośredniego o prawnie uzasadniony interes administratora danych?

Przede wszystkim administrator musi wziąć pod uwagę następujące kryteria analizy:

• jaki jest cel przetwarzania i czy jest on zgodny z prawem;
• jakie kategorie danych będą przetwarzane – należy ustalić, czy spełniona jest przesłanka niezbędności danych do osiągnięcia celu przetwarzania, czy dane osobowe zostały zebrane przez administratora bezpośrednio, czy pochodzą od osób trzecich;
• jakie narzędzia będą wykorzystywane do przetwarzania danych;
• jakie są zagrożenia dla podmiotu danych, związane z przetwarzaniem danych a w szczególności dla jego prywatności;
• czy podmiot danych może spodziewać się, że jego dane będą przetwarzane;
• jaki jest charakter prawnie uzasadnionego interesu administratora.

Przeprowadzenie tego testu równowagi powinno być przez administratora udokumentowane, zgodnie z zasadą rozliczalności.

Najważniejsze kryteria analizy – relacje administratora i podmiotu danych

Najważniejszym z kryteriów, który w teście równowagi powinien wziąć pod uwagę administrator, jest przeprowadzenie analizy, czy podmiot danych może spodziewać się, że jego dane będą przetwarzane w celu marketingu bezpośredniego, a więc przeanalizować, czy z podmiotem danych łączy go odpowiednia relacja lub istnieje podstawa pozwalająca na obiektywne stwierdzenie, że podmiot danych może spodziewać się prowadzenia wobec niego marketingu bezpośredniego.

Taki rodzaj relacji administratora z podmiotem danych, która uzasadnia prowadzenie marketingu bezpośredniego w oparciu o prawnie uzasadniony interes to sytuacja, w której podmiot danych jest klientem administratora lub otrzymał od administratora jakieś korzyści np. często wykorzystywane w działaniach marketingowych bezpłatne ebooki, poradniki, szkolenia lub „webinary”. Zatem przykładowo administrator danych może kierować marketing bezpośredni do aktualnych a także byłych kontrahentów o ile mogą się oni spodziewać takiego marketingu. W tym ostatnim przypadku należy dodatkowo ocenić, jak dawno temu zakończyła się dana relacja z klientem.

Jak wskazano wyżej, test równowagi wymaga od administratora przeanalizowania także, czy zamierzone przetwarzanie danych w oparciu o jego prawnie uzasadniony interes może stanowić zagrożenie dla podmiotu danych, a w szczególności dla prywatności podmiotu danych. W tym kontekście należy bardzo ostrożnie podchodzić do częstotliwości i rodzaju używanych narzędzi marketingu bezpośredniego i poddawać je każdorazowo ocenie, czy dana forma komunikatu może naruszyć prywatność podmiotu danych. 

Konieczność przeprowadzenia analiz i testu równowagi stanowi istotne wyzwanie dla administratora danych, który zamierza oprzeć przetwarzanie danych o marketing bezpośredni. Nie jest to jedyna trudność, z którą musi zmierzyć się administrator.

Inne ograniczenia w przetwarzaniu danych w oparciu o prawnie uzasadniony interes administratora danych

Omawiając zasady przetwarzania danych w oparciu o prawnie uzasadniony interes administratora danych należy zaznaczyć, że skorzystanie z tej przesłanki w polskim porządku prawnym nie uchroni administratora danych od konieczności odebrania od podmiotu danych zgody na przetwarzanie danych w celu marketingu bezpośredniego.

Wymóg uzyskania tej zgody, nawet w przypadku, gdy mowa o marketingu opartym o prawnie uzasadniony interes administratora danych nie wynika wprawdzie z RODO, ale ze szczególnych przepisów prawa polskiego.

Mowa tutaj o  art. 172 ust. 1 Ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, który przewiduje, że „Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę".  Prawo telekomunikacyjne wprowadziło zatem do polskiego porządku prawnego obowiązek zbierania zgody użytkownika końcowego na stosowanie wobec niego szeroko rozumianego marketingu bezpośredniego, takiego jak e-mailing, telemarketing, SMS, VoIP, wiadomości push, kierowane telefon, komputer, laptop (telekomunikacyjne urządzenia końcowe).

Zatem w polskim porządku prawnym wykorzystywanie urządzeń telekomunikacyjnych do stosowania marketingu bezpośredniego musi być poprzedzone uzyskaniem zgody podmiotu danych, niezależnie od tego, jaką podstawę do przetwarzania danych w oparciu o RODO posiada administrator.

Należy wskazać, że polskie  przepisy różnią się w tym względzie od przepisów unijnych tj. Dyrektywy 2002/58/WE parlamentu europejskiego i rady z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej. Zgodnie z jej postanowieniami,  w przypadku, gdy osoba fizyczna lub prawna otrzymuje od swoich klientów szczegółowe elektroniczne dane kontaktowe dotyczące kontaktu z nimi za pomocą poczty elektronicznej, w kontekście sprzedaży produktu lub usługi, to może ich używać do marketingu bezpośredniego własnych podobnych produktów lub usług.

Polski ustawodawca nie zdecydował się na przyjęcie tego zapisu do polskiego porządku prawnego czyniąc marketing bezpośredni szczególnie wymagającym procesem przetwarzania danych.

Podsumowując – jeśli administrator danych zdecyduje się oprzeć przetwarzanie danych o prawnie uzasadniony interes, to i tak musi liczyć się z koniecznością odebrania zgody na przetwarzanie danych z wykorzystaniem urządzeń telekomunikacyjnych. Administrator danych powinien zadbać o to, aby wyrażenie tej zgody było dobrowolne, a treść zgody zaprezentowana w taki sposób, aby przeciętny odbiorca mógł zrozumieć jej treść.

Sprzeciw wobec przetwarzania danych

Osoba fizyczna, której dane są przetwarzane w oparciu o prawnie uzasadniony interes administratora, ma prawo do wyrażenia w każdej chwili sprzeciwu wobec przetwarzania danych. W takim wypadku administrator jest zobowiązany do zaprzestania kierowania komunikatów marketingowych i nie może już w przyszłości przetwarzać danych osobowych tej osoby do takich celów. Co więcej, administrator nie ma prawa ocenić, czy sprzeciw podmiotu danych był zasadny, ani oceniać wystąpienie jakichkolwiek okoliczności faktycznych lub prawnych będących podstawą sprzeciwu podmiotu danych. Wniesienie sprzeciwu definitywnie przekreśla prowadzenie marketingu bezpośrednio wobec danej osoby.

Zgoda na przetwarzanie danych osobowych, jako przesłanka do przetwarzania danych.

Alternatywną podstawą przetwarzania danych  w celu marketingu bezpośredniego jest oparcie ich  o zgodę podmiotu danych, wyrażoną na podstawie art. 6 ust. 1 lit a) RODO. Zgoda taka może być wyrażona w formie oświadczenia lub wyraźnego działania potwierdzającego podmiotu danych i musi spełniać wymogi, które zostały wyraźnie określone w przepisach RODO.

Wyrażenie zgody może więc polegać na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych. 

Zgoda musi być wyrażona dobrowolnie a więc nie może być na podmiocie danych wymuszona. Nie może też być wyrażona równocześnie na kilka celów przetwarzania.

Nie można też uzależniać wykonania umowy z klientem od wyrażenia zgody na prowadzenie działań marketingowych, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.  Oznacza to, że administrator danych nie może żądać wyrażenia zgody na przetwarzanie danych w celu marketingowym od wykonania bezpłatnego świadczenia (przeprowadzenia szkolenia, organizacji webinaru, wysłania ebooka, vouchera itp).

Wymóg konkretności zgody oznacza natomiast, że zgoda musi precyzyjnie określać cel przetwarzania i wskazywać zakres danych, które w tym celu będą przetwarzane.

Kolejnym elementem, który dla ważności zgody musi być wzięty pod uwagę przez administratora jest zapewnienie, aby zgoda była wyrażona w sposób świadomy przez podmiot danych, a więc by przed jej wyrażeniem były przedstawione mu informacje, umożliwiające zrozumienie tego, na co wyraża zgodę. Zgoda powinna być wyrażona także prostym i jasnym językiem. Kryterium jednoznaczności zgody wymaga jednoznacznego okazania zgody w formie oświadczenia lub wyraźnego działania potwierdzającego.

W polskiej praktyce obrotu mając na uwadze wymogi uzyskania dodatkowej zgody na marketing bezpośredni, to właśnie zgoda na przetwarzanie danych osobowych w celu marketingowym jest najpowszechniej stosowną podstawą przetwarzania danych osobowych. Co więcej, procesy przetwarzania danych i wymogi dotyczące wyrażenia zgody na przetwarzanie danych mogą być tak skonstruowane, że zgody wyrażane w oparciu przepisy RODO będą jednocześnie spełniały wymogi zgody wyrażanej na kanały komunikacji bezpośredniej, w myśl polskich przepisów Prawa Telekomunikacyjnego.

Zgoda czy prawnie uzasadniony interes administratora – podsumowanie

W poszczególnych stanach faktycznych administrator danych osobowych może dokonać wyboru, czy marketing bezpośredni oprze na swoim prawnie uzasadnionym interesie, czy też o zgodę  podmiotu danych. Taką decyzję administrator musi podjąć przed rozpoczęciem procesu przetwarzania, a podstawa przetwarzania musi być jasno i precyzyjnie wskazana. Oznacza to również,  że w przypadku cofnięcia zgody na przetwarzanie danych osobowych administrator nie może oprzeć procesu przetwarzania na prawnie uzasadnionym interesie.

Możliwe jest jednak takie skonstruowanie zasad przetwarzania danych osobowych w celu marketingowym, że w okresie obowiązywania umowy z klientem (np. co ma szczególnie uzasadnienie w przypadku długoterminowych relacji z klientem) marketing bezpośredni będzie oparty o prawnie uzasadniony interes administratora danych,

Takie działanie musi być również przez administratora z góry przewidziane i ujęte w dokumentacji procesów przetwarzania. Konkludując, wybór jednej z przedstawionych wyżej podstaw prawnych do przetwarzania danych osobowych do celów marketingu bezpośredniego powinien być poprzedzony analizą, która z nich będzie bardziej optymalna dla administratora, uwzględniając przy tym m. in. relacje pomiędzy klientem a administratorem danych, jak również planowane kanały komunikacji z klientem. Przykładowo, w przypadku wyboru jako podstawy prawnej przetwarzania danych prawnie uzasadnionego interesu administratora w sytuacji, gdy ten zamierza prowadzić marketing bezpośredni przy użyciu telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących, administrator wciąż będzie zobligowany do pozyskania od klienta zgody na stosowanie tych narzędzi. W konsekwencji, w takich przypadkach administrator będzie miał obowiązek wdrożyć odpowiednio skonstruowane zgody na taki kontakt z klientem, a także przeprowadzić test równowagi. Wydaje się więc, że wybór podstawy prawnej przetwarzania danych osobowych jako prawnie uzasadniony interes administratora może w takim przypadku skutkować nałożeniem na administratora bardziej uciążliwych obowiązków niż gdyby opierał przetwarzanie danych osobowych do celów marketingu bezpośredniego na zgodzie klienta. Warto mieć to na uwadze, tym bardziej, że administrator danych osobowych zobowiązany jest do wykazania, że przestrzega on zasad przetwarzania danych osobowych wynikających z RODO.

Monika Macura

radca prawny, założycielka Kancelarii Macura. Na co dzień doradza podmiotom z obszarów fintech, lendtech, e-commerce, usług płatniczych, prawa nowych technologii, prawa ochrony danych osobowych, RODO, AML, kryptowalut, blockchain i sztucznej inteligencji. Reprezentuje również klientów przed organami nadzorczymi (m. in. KNF, UOKiK, UODO).