Mamy 11 279 opinii naszych Klientów
Zadaj pytanie » Zadaj pytanie »

Indywidualne Porady Prawne

Masz podobny problem?
Opisz nam go i zadaj pytania.

(zadanie pytania do niczego nie zobowiązuje)

Nawiązywanie kontaktów biznesowych drogą elektroniczną a RODO

Autor: Monika Wycykał • Opublikowane: 01.02.2020

Prowadzę jednoosobową działalność gospodarczą. Czy mogę wysyłać maile z zaproszeniem do współpracy do firm i spółek (na oficjalny adres mailowy podany na stronie firmy)? Czy może to zostać uznane za łamanie RODO? W jaki sposób mogę nawiązywać nowe kontakty biznesowe z nowymi klientami drogą elektroniczną, aby było to w pełni legalne i nie łamało żadnych przepisów?


Masz podobny problem? Kliknij tutaj i zadaj pytanie.

Nawiązywanie kontaktów biznesowych drogą elektroniczną a RODO

Fot. Fotolia

Wątpliwości na styku „rzeczywistości” oraz przepisów o ochronie danych osobowych

Tytułem wstępu nadmienię, że prawo ochrony danych osobowych to wyjątkowo niewdzięczna dziedzina prawa, ponieważ zarówno stare przepisy, jak i przepisy obowiązujące od 25 maja 2018 r., są sformułowane w bardzo ogólny sposób, w wielu przypadkach nie operują szczegółami i w konsekwencji powstaje bardzo wiele wątpliwości na styku „rzeczywistości” oraz „przepisu”. W konsekwencji nie należą do rzadkości sytuacje, gdy dwie osoby mają przeciwstawne zdanie odnośnie interpretacji danej regulacji w odniesieniu do przedstawionego stanu faktycznego. Stąd też przy wykładni przepisów z zakresu ochrony danych osobowych trzeba w dużym stopniu uwzględniać decyzje dawnego Generalnego Inspektora Ochrony Danych Osobowych, a od 25 maja Prezesa Urzędu Ochrony Danych Osobowych, orzeczenia wojewódzkich sądów administracyjnych oraz Naczelnego Sądu Administracyjnego, dorobek literatury prawniczej. Prawda jest jednak taka, że dopóki bardzo zbliżony lub identyczny stan faktyczny nie będzie przedmiotem rozstrzygnięcia organu lub sądu, wszelkie interpretacje są obarczone ryzykiem błędu, ponieważ organ lub sąd może uznać zupełnie inaczej.

 

Dane osobowe – katalog otwarty

Zanim przejdę do odpowiedzi na szczegółowe pytania, zrobię krótki wykład wprowadzający. Otóż wbrew potocznym wyobrażeniom, dane osobowe to nie tylko imię i nazwisko, adres zamieszkania. Tego typu uproszczenia są na porządku dziennym, jednak pozostają w sprzeczności z definicją „danych osobowych”, która jest zawarta w art. 4 pkt 1 RODO: „»Dane osobowe« oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

 

W związku z powyższym katalog danych osobowych jest otwarty i obejmuje właściwie każdą informację o osobie fizycznej, którą pośrednio lub bezpośrednio da się przypisać tej osobie. Trzeba jednak pamiętać o tym, że informacja rzeczywiście musi pomóc zidentyfikować określoną osobę — bez poświęcania nadmiernych środków, czasu i kosztów. Wynika to bezpośrednio z motywu 26 preambuły do RODO: „Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej. Aby stwierdzić, czy dany sposób może być z uzasadnionym prawdopodobieństwem wykorzystany do zidentyfikowania danej osoby, należy wziąć pod uwagę wszelkie obiektywne czynniki, takie jak koszt i czas potrzebne do jej zidentyfikowania, oraz uwzględnić technologię dostępną w momencie przetwarzania danych, jak i postęp technologiczny. Zasady ochrony danych nie powinny więc mieć zastosowania do informacji anonimowych, czyli informacji, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną, ani do danych osobowych zanonimizowanych w taki sposób, że osób, których dane dotyczą, w ogóle nie można zidentyfikować lub już nie można zidentyfikować”.

 

Kiedy dochodzi do przetwarzania danych osobowych?

W związku z powyższym o tym, czy numer telefonu lub adres e-mail jest daną osobową decyduje analiza przeprowadzona przez konkretnego administratora danych osobowych, jak szybko jest w stanie ustalić, do kogo należy numer telefonu lub adres e-mail. Trzeba jednak pamiętać, że do identyfikacji osoby fizycznej mogą posłużyć nie tylko informacje posiadane przez tegoż administratora, ale również informacje będące w posiadaniu podmiotu trzeciego. Podkreśla się to bardzo wyraźnie i w literaturze, i orzecznictwie europejskim: „Informacje relewantne definicyjnie, na podstawie których możliwe będzie zidentyfikowanie osoby fizycznej, obejmują dane, które są zarówno w posiadaniu administratora, jak i takie, które musi on pozyskać od podmiotów trzecich. Fakt zatem, że informacje umożliwiające łącznie identyfikację określonej osoby fizycznej nie znajdują się w posiadaniu jednego podmiotu, nie jest rozstrzygający dla uznania ich za dane osobowe. Jak wskazano w uwadze 16, sięganie przez administratora do zasobów informacyjnych innych podmiotów nie ma jednak charakteru absolutnego i ograniczone jest obiektywnymi czynnikami wskazanymi w motywie 26, takimi jak koszt i czas potrzebne do jej zidentyfikowania, a także dostępną w momencie przetwarzania danych technologią, jak również postępem technologicznym. Zgodnie ze stanowiskiem wyrażonym przez Trybunał Sprawiedliwości w sprawie Breyer nie wykraczają poza czynnik związany z określonym nakładem czasu, kosztów i pracy ludzkiej przypadki, w których administrator dysponuje środkami prawnymi umożliwiającymi mu zidentyfikowanie osoby, której dane dotyczą, dzięki dodatkowym informacjom będącym w posiadaniu innych osób, w stosunku do których wspomniane środki prawne może skierować (pkt 49)” (D. Lubasz [et al.], Komentarz do art. 4 . rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. D. Lubasz, WKP 2018).

 

Jeżeli w kontekście wszystkich powyższych przesłanek okaże się, że dochodzi do przetwarzania danych osobowych — trzeba stosować RODO. Co ważne, nie są danymi osobowymi:

 

1. dane osób prawnych;

2. dane osób zmarłych;

3. dane płodów.

 

Odnośnie osób prawnych: „skoro informacja może mieć charakter danych osobowych wtedy, gdy dotyczy osoby fizycznej, informacje o osobach prawnych nie mogą zostać uznane za dane osobowe. (…) Problem ten w znacznej części rozwiązuje RODO, wskazując w motywie 14 preambuły, że rozporządzenie nie dotyczy przetwarzania danych osobowych osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej. (…) Bez wątpienia zakresem wyłączenia objęte powinny być wszystkie dane osobowe gromadzone w Krajowym Rejestrze Sądowym, a służące do oznaczenia takiego podmiotu. Tym samym przetwarzanie informacji o osobach fizycznych sprawujących funkcję organów osób prawnych nie może być uznane za działanie bezprawne dopóki, dopóty przetwarzanie takie odbywa się wyłącznie w celu i w zakresie niezbędnym do prawidłowej identyfikacji tych osób jako pełniących funkcję organów osób prawnych” (Komentarz do art. 4 RODO, w: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, red. P. Litwiński, Warszawa 2018, s. 177).

 

W tym kontekście trzeba stwierdzić, że dane osób fizycznych, które prowadzą działalność gospodarczą na podstawie wpisu do Centralnej Ewidencji i Informacji Gospodarczej, również podlegają ochronie wynikającej z RODO. „RODO znajduje w całości zastosowanie do przetwarzania danych osobowych dotyczących osób fizycznych prowadzących działalność gospodarczą” (P. Litwiński, R. Barta, M. Kawecki, Komentarz do art. 4 RODO, w: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, red. P. Litwiński, Warszawa 2018, s. 180). W związku z powyższym nie wolno zakładać, że przedsiębiorcy prowadzący jednoosobową działalność gospodarczą nie podlegają RODO, ponieważ są przedsiębiorcami. W poprzednim stanie prawnym rzeczywiście istniały pewne wyłączenia w odniesieniu do tej grupy osób, jednak unijne rozporządzenie z tym zrywa — traktujemy takich przedsiębiorców tak samo jak klientów, pracowników, innych kontrahentów.

 

Gwoli wyjaśnień, potrzebne są jeszcze pewne ustalenia dotyczące podstaw przetwarzania danych osobowych. W odniesieniu do danych osobowych zwykłych zostały one wymienione w art. 6 RODO:

 

„Art. 6. 1. Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Akapit pierwszy lit. f) nie ma zastosowania do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań”.

 

Wyraźny i prawnie uzasadniony cel przetwarzania danych osobowych

Należy pamiętać, że legalne przetwarzanie danych osobowych odnosi się do konkretnego CELU. Administrator Danych Osobowych jest bowiem związany celem na podstawie art. 5 ust. 1 lit. b RODO: „Dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami (»ograniczenie celu«)”. W konsekwencji cel jest kategorią kluczową dla przetwarzania.

 

Aby przetwarzanie danych osobowych było legalne, zawsze należy oprzeć je na co najmniej jednej z wymienionych podstaw – bez tego dane osobowe są przetwarzane z naruszeniem przepisów. Co istotne:

 

  • powyższe przesłanki są równoprawne, czyli nie ma przesłanek gorszych i lepszych,
  • przetwarzanie danych osobowych na podstawie zgody powinno być ostatecznością, gdy nie ma innych podstaw przetwarzania,
  • nie wolno odbierać zgody w sytuacji, gdy występuje inna podstawa przetwarzania danych osobowych (a zatem niedopuszczalna jest zgoda na przetwarzanie danych osobowych w celu zawarcia umowy sprzedaży czy wykonania usługi).

 

Odnośnie punktu trzeciego, odbieranie zgody w sytuacji, gdy podanie danych osobowych jest konieczne do zawarcia umowy, jest praktyką błędną: jeżeli dane osobowe wykorzystujemy do zawarcia umowy, to nie można wymagać odrębnej zgody na to: „Jednakże w przypadku przesłanki zgody, w celu niezaburzenia elementu dobrowolności, nie jest co do zasady dopuszczalne niejako dodatkowe jej wykorzystywanie do legalizacji przetwarzania, w sytuacji gdy administrator dysponuje właśnie inną przesłanką przetwarzania danych w tym samym celu i zakresie, np. związaną z wykonywaniem umowy czy realizacją obowiązku wynikającego z przepisu prawa. Jest to związane niedopuszczalnością wywoływania mylnego przekonania podmiotu danych o swobodzie w zakresie podania danych i skuteczności uprawnienia do cofnięcia zgody, którego zrealizowanie nie powoduje obowiązku zaprzestania przez administratora przetwarzania, jako że dysponuje on równocześnie inną przesłanką legalizacyjną. Takie działanie może bowiem pozbawić zgodę koniecznego elementu dobrowolności” (D. Lubasz, W. Chomiczewski, Komentarz do art. 6 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. D. Lubasz, WKP 2018).

 

Prawnie uzasadniony interes ADO – najszersza podstawa przetwarzania danych osobowych

Ostatnia przesłanka, tj. prawnie uzasadniony interes administratora danych osobowych lub strony trzeciej, to tak naprawdę najszersza podstawa przetwarzania danych osobowych, która ma za zadanie obsłużyć sytuacje prawnie uzasadnione, a których nie da się wyliczyć w treści rozporządzenia (proszę sobie wyobrazić obszerność rozporządzenia, gdyby prawodawca unijny chciał stworzyć katalog wszystkich sytuacji przetwarzania danych osobowych we współczesnym świecie…). Jednocześnie jest to podstawa o tyle ryzykowna, że bazuje w szerokim zakresie na interpretacji i ważeniu interesów – tym samym to, co dla administratora danych osobowych jest przetwarzaniem na podstawie usprawiedliwionego interesu, niekoniecznie musi być takim dla organu nadzorczego lub podmiotu danych. Dlatego z tej podstawy zawsze trzeba korzystać z dużą rozwagą.

 

Z uwagi na powyższe zawsze warto pamiętać o odpowiednich motywach z preambuły do RODO, gdzie wskazuje się kierunki interpretacji prawnie uzasadnionego interesu administratora danych osobowych:

 

(47) Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Taki prawnie uzasadniony interes może istnieć na przykład w przypadkach, gdy zachodzi istotny i odpowiedni rodzaj powiązania między osobą, której dane dotyczą, a administratorem, na przykład gdy osoba, której dane dotyczą, jest klientem administratora lub działa na jego rzecz. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki, by spodziewać się, że może nastąpić przetwarzanie danych w tym celu. Interesy i prawa podstawowe osoby, której dane dotyczą, mogą być nadrzędne wobec interesu administratora danych w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania. Ponieważ dla organów publicznych podstawę prawną przetwarzania danych osobowych powinien określić ustawodawca, prawnie uzasadniony interes administratora nie powinien mieć zastosowania jako podstawa prawna do przetwarzania, którego dokonują organy publiczne w ramach realizacji swoich zadań. Prawnie uzasadnionym interesem administratora, którego sprawa dotyczy, jest również przetwarzanie danych osobowych bezwzględnie niezbędne do zapobiegania oszustwom. Za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

(48) Administratorzy, którzy są częścią grupy przedsiębiorstw lub instytucji powiązanych z podmiotem centralnym, mogą mieć prawnie uzasadniony interes w przesyłaniu danych osobowych w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych, co dotyczy też przetwarzania danych osobowych klientów lub pracowników. Pozostaje to bez wpływu na ogólne zasady przekazywania danych osobowych w ramach grupy przedsiębiorstw przedsiębiorstwu mieszczącemu się w państwie trzecim.

(49) Przetwarzanie danych osobowych w zakresie bezwzględnie niezbędnym i proporcjonalnym do zapewnienia bezpieczeństwa sieci i informacji – tj. zapewnienia odporności sieci lub systemu informacyjnego na danym poziomie poufności na przypadkowe zdarzenia albo niezgodne z prawem lub nieprzyjazne działania naruszające dostępność, autentyczność, integralność i poufność przechowywanych lub przesyłanych danych osobowych – oraz bezpieczeństwa związanych z nimi usług oferowanych lub udostępnianych poprzez te sieci i systemy przez organy publiczne, zespoły reagowania na zagrożenia komputerowe, zespoły reagowania na komputerowe incydenty naruszające bezpieczeństwo, dostawców sieci i usług łączności elektronicznej oraz dostawców technologii i usług w zakresie bezpieczeństwa jest prawnie uzasadnionym interesem administratora, którego sprawa dotyczy. Może to obejmować na przykład zapobieganie nieuprawnionemu dostępowi do sieci łączności elektronicznej i rozprowadzaniu złośliwych kodów, przerywanie ataków typu »odmowa usługi«, a także przeciwdziałanie uszkodzeniu systemów komputerowych i systemów łączności elektronicznej”.

 

Marketing bezpośredni

Jak widać, marketing bezpośredni jak najbardziej jest kwalifikowany jako prawnie uzasadniony interes administratora danych osobowych. Jak wskazuje W. Chomiczewski, „Marketing bezpośredni jest prawnie uzasadnionym interesem administratora. W tych ramach sklep internetowy będzie miał możliwość proponowania w trakcie składania przez klienta zamówienia dodatkowych towarów, które pasują do zawartości koszyka oraz dotychczasowych zakupów dokonywanych przez tego klienta” (W. Chomiczewski, Niezbędność do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, w: RODO w e-commerce, red. D. Lubasz Warszawa 2018, s. 99).

 

Czy to oznacza, że wolno na podstawie art. 6 ust. 1 lit. f RODO wysyłać maile czy dzwonić bez ograniczeń w celu przedstawienia oferty handlowej?

 

W żadnym przypadku! Na podstawie art. 6 ust. 1 lit. f RODO wolno np. wysłać tradycyjną pocztą katalog reklamowy (w tym celu przetwarza się takie dane osobowe, jak imię i nazwisko oraz adres zamieszkania i nie robi się tego przy użyciu nowoczesnych technologii). Natomiast w odniesieniu do marketingu prowadzonego w internecie lub przez telefon trzeba uwzględnić dodatkowe regulacje, tj. przepisy ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (j.t. Dz. U. 2017 r., poz. 1219, z późn. zm. – dalej: u.ś.u.d.e.) oraz ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (j.t. Dz. U. 2017 r., poz. 1907, z późn. zm. – dalej: Pr. tel.). Obie ustawy przewidują odrębne od RODO przepisy dotyczące uzyskiwania zgody:

 

„Art. 10. 1. Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.

2. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

3. Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy, o której mowa w art. 9 ust. 3 pkt 1” (art. 10 u.ś.u.d.e.).

 

„Art. 172. 1. Zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

2. Przepis ust. 1 nie narusza zakazów i ograniczeń dotyczących przesyłania niezamówionej informacji handlowej wynikających z odrębnych ustaw.

3. Używanie środków, o których mowa w ust. 1, dla celów marketingu bezpośredniego nie może odbywać się na koszt konsumenta.”

 

„Art. 174. Jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta:

1) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;

2) może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika;

3) może być wycofana w każdym czasie, w sposób prosty i wolny od opłat.”.

 

Powyższe oznacza, że jeżeli np. ktoś chce wysłać maila lub smsa reklamowego do swoich klientów i dla spokoju sumienia chce to robić na podstawie zgody (a nie prawnie usprawiedliwionego interesu administratora), to powinien uzyskać DWIE ODRĘBNE zgody, tj.:

 

  • zgodę na przetwarzanie danych osobowych w celu marketingu bez pośredniego ORAZ
  • zgodę na przesyłanie informacji handlowych zgodnie z u.ś.u.d.e. lub zgodę na użycie numeru telefonu do celów marketingowych zgodnie z prawem telekomunikacyjnym.

 

Trzeba uwzględnić: ustawę o świadczeniu usług drogą elektroniczną i Prawo telekomunikacyjne

Jeżeli administrator chce oprzeć przetwarzanie danych na prawnie usprawiedliwionym interesie administratora, to i tak musi uzyskać dodatkową zgodę z u.ś.u.d.e. lub Prawa telekomunikacyjnego.

 

Stanowisko to potwierdzają zarówno przedstawiciele doktryny, jak i Generalny Inspektor Ochrony Danych Osobowych: „Analizując natomiast, jakie operacje na danych będą dopuszczalne przy marketingu bezpośrednim, należy pamiętać o przepisach szczególnych, które zawierają bardziej rygorystyczne warunki dopuszczalności jego niektórych form. W aktualnym stanie prawnym są to przykładowo: art. 10 u.ś.u.d.e., który uzależnia możliwość wysyłania informacji handlowych za pomocą środków komunikacji elektronicznej od zgody adresata informacji, oraz art. 172 Pr. tel., który zakazuje używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, dopuszczając ich zastosowanie jedynie na podstawie zgody abonenta lub użytkownika końcowego” (D. Lubasz, W. Chomiczewski, Komentarz do art. 6 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w: RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. D. Lubasz, E. Bielak-Jomaa, LEX 2018); „W konsekwencji już na tej tylko podstawie skłaniać się należy raczej ku konieczności odebrania dwóch odrębnych zgód: na przesyłanie informacji handlowej (art. 10 ŚwiadUsłElekU) oraz na wykorzystywanie telekomunikacyjnych urządzeń końcowych (art. 172 PrTelekom). Wniosek taki pozostaje także w zgodzie z wieloletnią praktyką Generalnego Inspektora Ochrony Danych Osobowych ukształtowaną na gruncie OchrDanychU, który w wielu swoich decyzjach zabrania łącznia oświadczeń woli o wyrażeniu zgody na przetwarzanie danych osobowych ze zgodą na przesyłanie informacji handlowych drogą elektroniczną oraz na przetwarzanie danych osobowych i ich udostępnianie” (Komentarz do art. 6 ogólnego rozporządzenia o ochronie danych, w: Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, red. P. Litwiński, Warszawa 2018, s. 279).

 

Jeżeli administrator danych osobowych opiera np. kontakt telefoniczny na przesłance wskazanej w art. 6 ust. 1 lit. f RODO, to i tak ma obowiązek odebrać jeszcze uprzednią zgodę wynikającą z Prawa telekomunikacyjnego.

 

Uwaga, ważna informacja: o ile RODO odnosi się wyłącznie do osób fizycznych, to ograniczenia z ustawy o świadczeniu usług drogą elektroniczną oraz Prawa telekomunikacyjnego odnoszą się do wszystkich — do spółek, fundacji, stowarzyszeń i innych podmiotów również. W cytowanych przepisach nie ma zastrzeżenia, że zgoda jest wymagana wyłącznie w odniesieniu do Jana Kowalskiego, a nie ABC Sp. z o.o.

 

Co bardzo ważne, zgody muszą być całkowicie dobrowolne, świadome oraz niewymuszane. Ponadto nie można zgód dorozumiewać, traktować jako zgodę bierność użytkownika etc.: „Nie będzie wyraźnym działaniem potwierdzającym np. milczenie, domyślnie zaznaczone okienka lub niepodjęcie działania (motyw 32 RODO). Nie będzie kwalifikowana jako zgoda, nawet w formie wyraźnego działania potwierdzającego, akceptacja regulaminu usługi, w którym jako jeden z jego elementów sformułowane zostały zgody będące przesłanką legalizacyjną przetwarzania danych osobowych w zakresie wykraczającym poza realizację umowy” (D. Lubasz, Jednoznaczność zgody, w: RODO w e-commerce, red. D. Lubasz, Warszawa 2018, s. 77).

 

Kończąc ten wątek rozważań, zasygnalizuję jeszcze, że trwają prace nad rozporządzeniem e-Privacy, czyli rozporządzeniem Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności łączności elektronicznej), które ma uzupełniać RODO i porządkować na nowo stosunki prawne w sieci oraz w telekomunikacji – dlatego przypuszczalnie w najbliższym czasie i tak trzeba się uczyć na nowo, jak postępować w Internecie (na marginesie: rozporządzenie e-Privacy miało być gotowe równocześnie z RODO, ale decydenci nie doszli do porozumienia, jakie zasady mają obowiązywać…).

 

Warunki legalnego marketingu elektronicznego i telefonicznego

Odnosząc się do Pani pytań, w świetle tego, co napisałam powyżej:

 

  1. musi Pani sobie zadać pytanie, w jakim CELU zamieszcza się dane kontaktowe w Internecie. Najczęściej celem podania numeru telefonu lub adresu e-mail jest umożliwienie kontaktu, nie zaś składanie ofert handlowych (zamieszczający zazwyczaj nie są zbyt szczęśliwi, gdy otrzymują stosy maili z propozycjami). W konsekwencji samo istnienie danych kontaktowych w sieci nic nie usprawiedliwia i na nic nie pozwala;
  2. ograniczenia z RODO nie dotyczą osób prawnych, dotyczą natomiast przedsiębiorców prowadzących jednoosobowe działalności gospodarcze, dlatego trzeba uważać;
  3. jeżeli Pani celem jest prowadzenie marketingu bezpośredniego i składanie ofert handlowych osobom fizycznym , należy znaleźć podstawę prawną dla takiego przetwarzania na gruncie RODO. W opisywanej sytuacji raczej nie ma możliwości uzyskania uprzedniej zgody (zamieszczenie danych kontaktowych nie jest zgodą na składanie propozycji handlowych), dlatego można rozważać w tym zakresie tylko art. 6 ust. 1 lit. f RODO, tj. prawnie usprawiedliwiony interes administratora danych osobowych; należy jednak pamiętać, że po pierwsze, adresat może się sprzeciwić przetwarzaniu jego danych w celu marketingu bezpośredniego, po drugie, przetwarzanie na podstawie art. 6 ust. 1 lit. f RODO wymaga ważenia interesów, więc jest trochę ryzykowne;
  4. w świetle powyższego nie ma przeszkód, by przekazywać drogą tradycyjną, tj. nieelektroniczną i nietelekomunikacyjną, informacji handlowych, np. w postaci papierowych folderów czy ulotek;
  5. w przypadku prowadzenia marketingu bezpośredniego na odległość, w świecie wirtualnym, wysyłanie maili lub wykonywanie telefonów bez uprzedniej zgody adresata na otrzymywanie informacji handlowych jest naruszeniem prawa krajowego (a niedługo być może rozporządzenia e-Privacy);
  6. ograniczenia z ustawy o świadczeniu usług drogą elektroniczną i Prawa telekomunikacyjnego dotyczą absolutnie wszystkich podmiotów;
  7. warunkiem legalnego marketingu elektronicznego i telefonicznego jest posiadanie uprzedniej zgody zainteresowanych;
  8. przedstawiciele doktryny prawniczej kwestionują legalność nawet wysłania e-maila z pytaniem, czy adresat chciałby otrzymać informację handlową — dla nich już ten mail z pytaniem jest informacją handlową, wysłaną bez zgody;
  9. w praktyce obrotu gospodarczego najczęściej zbiera się zgody na marketing elektroniczny i/lub telefoniczny przy okazji np. świadczenia usług, zawierania umów sprzedaży etc. Pozyskiwanie kontrahentów bezpośrednio z sieci jest działaniem obarczonym sporym ryzykiem.

 

Jeżeli chcesz wiedzieć więcej na ten temat – kliknij tutaj i zapytaj prawnika >>

 

Komentarze (0):

Uwaga!
Szanowni Państwo!
Nasi prawnicy nie odpowiadają na pytania zadawane w formie komentarza pod tekstem. Jeśli chcą Państwo powierzyć swój problem naszym prawnikom, prosimy kliknąć tutaj >>

  • dziewięć minus 9 =

»Podobne materiały

Czy sanatorium ma prawo monitorować jadalnię i salę ćwiczeń?

Jestem obecnie w sanatorium. W jadalni oraz na salach ćwiczeń w sanatorium są zainstalowane kamery. Nie życzę sobie monitoringu podczas spożywania posiłków oraz podczas moich ćwiczeń. Ustawa o ochronie danych osobowych podaje, że „§ 2. Monitoring nie obejmuje pomieszczeń sanitarnych, szat

 

Przekazywanie danych klientów firmom bez ich zgody

Mam plan na swoją firmę, ale nie wiem, czy będzie to legalne, dlatego chciałbym uzyskać poradę. Chciałbym pozyskiwać klientów dla różnych firm, uzyskując dane klientów z różnych stron i portali społecznościowych i przekazywać te dane zainteresowanym firmom. Czy gdy osoba na portalu społecznościowym

 

Porad przez Internet udzielają
prawnicy z dużym doświadczeniem:
Prawnicy

Zapytaj prawnika

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny
wizytówka Szukamy ambitnego prawnika »