Mailowy marketing bezpośredni, czyli biznes wysokiego ryzyka…regulacyjnego

Zgodnie z Dyrektywą 2002/58/WE z dnia 12 lipca 2002 r. dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej („Dyrektywa e-Privacy”, w Polsce implementowanej, m.in. w Ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną – dalej „USUDE”) przesyłanie niezamówionej informacji handlowej za pośrednictwem e-maila, wymaga wcześniejszej zgody osoby, do której wysyłana jest informacja.

Teksty zgód takie jak, np.: „zgadzam się na przesyłanie reklam i ofert partnerów i sponsorów XYZ”, jak i „wyrażam zgodę na otrzymanie ofert i reklam od Partnerów, których lista dostępna jest tutaj /i tu odnośnik/” są stosunkowo często stosowane. Zgody te przynajmniej w interpretacji Information Commissioner’s Office (brytyjski organ nadzoru zajmujący się, m.in. ochroną danych osobowych) nie są jednak skuteczne. 

Zgoda świadoma i konkretna

ICO w decyzji z dnia 10 grudnia 2018 r. nałożył sankcje na firmę, która w jego ocenie kierowała informacje handlowe, nie mając na to wymaganej zgody adresatów mailingu. Ukarany przedsiębiorca zdawał sobie co prawda sprawę z konieczności uzyskiwania zgód na komunikację marketingową, jednak swój masowy mailing opierał na zgodach adresatów, które nie były wyrażane bezpośrednio na jego prośbę, lecz były udzielane przy okazji korzystania z usług jego partnerów. ICO stwierdziło ten sposób za wadliwy, co powodowało ich nieważność.

ICO wskazało, że zgoda musi być wyrażona świadomie i w sposób konkretny. Nie można jej uznać za wyrażoną świadomie, jeśli osoba nie rozumie na co się zgadza. W związku z tym treść zgód powinna być czytelna, zrozumiała i nieukryta w innych materiałach. Ponadto ICO zaznaczyło, że nie można mówić o ważnej zgodzie, jeśli ktoś zgadza się na otrzymanie informacji handlowych od „podobnych organizacji”, „partnerów”, „wybranych osób trzecich” czy innych podmiotów opisanych w analogicznie ogólny sposób. Konkretne podmioty, na rzecz których zgoda jest wyrażona powinny być łatwo identyfikowalne dla każdego. Dodatkowo ICO stwierdziło, że zgody nie mogą być formułowane w taki sposób, by obejmowały szereg podmiotów, a osoba, która ma udzielić zgody nie ma możliwości wybrania i udzielenia zgody tylko niektórym z nich.

W Polsce może być podobnie

Decyzję ICO można odnieść do sytuacji w naszym kraju. Nie można wykluczyć, że polskie organy, w tym Prezes Urzędu Ochrony Danych Osobowych, będą intepretować przepisy wydane na podstawie Dyrektywy e-Privacy w sposób analogiczny do ICO. Co istotne, jeśli polskie organy podzielałyby opinię ICO co do wadliwości zgód na przesyłanie niezamówionej informacji handlowej we wskazanym powyżej przypadku, to istniałoby ryzyko, że mielibyśmy do czynienia nie tylko z naruszeniem USUDE, lecz także RODO ze wszystkimi tego konsekwencjami, w tym w postaci potencjalnie dotkliwych kar pieniężnych.

Jeśli USUDE, to również RODO

W sytuacji w której dany podmiot prowadzi marketing bezpośredni drogą elektroniczną na podstawie zgody, o której mowa w USUDE, to jednocześnie przetwarza dane osobowe (np. w postaci adresu e-mail osoby, do której kierowana jest korespondencja), a podmiot prowadzący mailing (o ile nie posiada odrębnej zgody na przetwarzanie danych osobowych) zakłada, że przetwarza w takiej sytuacji dane osobowe w ramach, tzw. prawnie uzasadnionego interesu.

Tymczasem, skoro doszłoby do prowadzenia marketingu bezpośredniego drogą elektroniczną z naruszeniem prawa (w postaci naruszenia rt.. 10 USUDE), to byłyby również argumenty, by twierdzić, że przetwarzanie danych osobowych w celu prowadzenia takiego marketingu następuje bez podstawy prawnej, a więc z naruszeniem RODO. Trudno bowiem argumentować, że działanie z naruszeniem prawa może jednocześnie stanowić działanie w ramach prawnie uzasadnionego interesu administratora, o którym mowa w RODO.

Kluczowe nie tylko RODO, ale także prawo telekomunikacyjne

Na domiar złego, naruszenie RODO może nie być jedynym problemem przedsiębiorcy. Albowiem w przypadku, gdyby analogiczna interpretacja wymogów zgody na komunikację marketingową z wykorzystaniem urządzeń telekomunikacyjnych była podzielana przez Prezesa UKE, a sprawa dotyczyłyby na przykład komunikatów smsowych, podmiot prowadzący taką działalność byłby narażony również na kary pieniężne, o których mowa w prawie telekomunikacyjnym. Jak dotkliwe mogą być to sankcje, przekonała się ostatnio Orange Polska S.A., na którą w listopadzie 2018 r. Prezes UKE nałożył karę pieniężną w łącznej wysokości 9,1 mln zł za wysyłanie smsów bez zgody klientów.

Jak ograniczyć ryzyko?

Jakie zatem działania mogą podjąć podmioty prowadzące marketing bezpośredni drogą elektroniczną, aby minimalizować ryzyka?
Wydaje się, że niezależnie od podjętych środków, każda taka sytuacja będzie wiązać się z mniejszym lub większym zagrożeniem prawnym. Niezależnie od tego, sposobem minimalizowania tych zagrożeń jest dążenie do maksymalnej konkretności i czytelności treści zgód. Niezmiernie ważne jest wymienienie w czytelny i łatwo dostępny sposób wszystkich podmiotów na rzecz, których wyrażana jest zgoda, dążenie do „rozdrobnienia” zgód, tj. zapewnienia osobom wyrażającym zgodę możliwości udzielenia zgody na rzecz tylko niektórych z proponowanych podmiotów czy też dążenie do zapewnienia technicznych możliwości udokumentowania treści i momentu udzielenia zgody. W grę wchodzi również monitorowanie treści i sposobu uzyskiwania zgód przez partnerów w celu zapewnienia, że powyższe warunki są spełniane.

Firmy prowadzące marketing bezpośredni drogą elektroniczną powinny mieć zawsze na uwadze, że przepisy dotyczące prowadzenia tego rodzaju działań przenikają się z przepisami RODO, a potencjalnie również prawa telekomunikacyjnego. Dodatkowo, powyższa decyzja ICO powinna skłaniać do ostrożnego podejścia w prowadzeniu działań marketingowych w oparciu o zgody zbierane przez podmioty trzecie.

Łukasz Rutkowski, radca prawny, Managing Associate, Deloitte Legal