„Przetwarzanie danych osobowych w działalności marketingowej zgodnie z prawem- obowiązki i zagrożenia” – artykuł Tomasza Grzybowskiego w „Marketerze+”

W najnowszym „Marketerze +” redaktor naszego bloga – Tomasz Grzybowski  partner w Kancelarii Konieczny, Grzybowski, Polak opisuje prawne aspekty przetwarzania danych osobowych w działalności marketingowej http://marketerplus.pl/teksty/poprawnie/przetwarzanie-danych-osobowych-dzialalnosci-marketingowej-zgodnie-prawem-obowiazki-zagrozenia/. Zapraszamy do lektury!

Z artykułu dowiesz się m.in.:

  • kiedy ma miejsce przetwarzanie danych osobowych,
  • kim jest administrator danych osobowych a kim podmiot przetwarzający te dane na zlecenie,
  • jakie obowiązki formalne ciążą na podmiocie przetwarzającym dane osobowe,
  • jakie mogą być konsekwencje naruszenia zasad przetwarzania danych osobowych,
  • jakie błędy popełniane są najczęściej w branży przy przetwarzaniu danych osobowych.

Przetwarzanie danych osobowych w ujęciu prawnym odbywa się niemal na każdym kroku. Przetwarzaniem danych osobowych jest prowadzenie akt pracowniczych czy też gromadzenie faktur, na których widnieją dane osobowe kontrahentów – osób fizycznych. W branży marketingowej przetwarzanie danych osobowych ma jednak często znacznie szerszy i ważniejszy wymiar. Tworzenie baz danych zawierających setki lub tysiące rekordów jest stałym elementem działalności wielu przedsiębiorców z branży marketingowej lub mających własne działy marketingu. Czynności te należy wykonywać zgodnie z prawem i przy zastosowaniu odpowiednich środków technicznych.

CO STANOWI DANE OSOBOWE W UJĘCIU PRAWNYM

Zazwyczaj nie budzi wątpliwości określenie, czym są dane osobowe. Są to dane dotyczące określonej osoby, w tym np. jej imię i nazwisko, wiek, adres, numer telefonu, e-mail, hobby, miejsce pracy, preferencje konsumenckie, wyznanie, przynależność polityczna i wiele innych. Tym, co budzi wątpliwości, to określenie tego, kiedy zbiór posiadanych informacji o danej osobie nie stanowi jeszcze danych osobowych w rozumieniu prawnym, a kiedy informacje te to już dane osobowe. Czy informacja o Agacie Nowak, lat 15, pochodzącej z Wrocławia, o której wiemy, że dobrze się uczy, woli kupować sukienki a nie dżinsy, pija colę i chce w przyszłości pójść na medycynę, to już dane osobowe w rozumieniu prawnym? Na tak zadane pytanie zasadniczo należy udzielić odpowiedzi przeczącej. Dlaczego? Ponieważ na podstawie tych danych nie jesteśmy generalnie w stanie zidentyfikować (dotrzeć do) osoby fizycznej, której one dotyczą. To, co wyróżnia dane osobowe w ujęciu formalnym od informacji stanowiących informacje nieuznawane za dane osobowe, to możliwość identyfikacji na ich podstawie osoby fizycznej, której te dane dotyczą. Tym samym w powyższym przykładzie mamy do czynienia ze zbiorem danych mogących być źródłem wiedzy marketingowej (preferencje konsumenckie), ale nie są to z pewnością dane osobowe.

W takim razie jaki zespół danych może być już uznany za dane osobowe? Praktyka wskazuje, że sytuacji takich może być bardzo wiele. Tytułem przykładu: danymi osobowymi w ujęciu formalnym są już:

  1. a) imię, nazwisko i adres zamieszkania;
  2. b) numer PESEL i adres zamieszkania;
  3. c) imię, nazwisko i miejsce zatrudnienia;
  4. d) numer NIP przedsiębiorcy – osoby fizycznej;
  5. e) adres e-mail.

Wątpliwości czytelnika może budzić ujęcie w powyższym zestawieniu adresu e-mail jako samodzielnej danej osobowej (tzn. że tylko ta jedna dana samodzielnie może być już uznana za dane osobowe w ujęciu prawnym). W tym miejscu konieczne są dodatkowe objaśnienia. Adres e-mail może być uznawany za samodzielną daną osobową, ponieważ w praktyce umożliwia on bezpośredni kontakt z oznaczoną osobą fizyczną. I chociaż w chwili nawiązywania kontaktu mailowego nie wiemy o danej osobie nic więcej (poza adresem jej poczty elektronicznej), to jednak możemy tę wiedzę zdobyć poprzez właśnie kontakt z tą osobą (bez inwestowania w to nadmiernych kosztów, czasu lub działań). Z podobnych przyczyn za samodzielną daną osobową mógłby być uznawany numer prywatnego telefonu – bez innych danych towarzyszących. W praktyce stosowania prawa, w przypadku numerów telefonów sprawa nie jest jednak taka prosta. Bo co do zasady, przy wykorzystaniu odpowiednich algorytmów numer telefonu można np. wylosować – co stanowi aktualnie jedną z najpowszechniejszych linii obrony różnej maści call center. Jednocześnie trudno uznać za dane osobowe losowo wybrany zespół cyfr, gdy w chwili wylosowania nawet nie wiemy, czy to numer biura, urzędu, placówki publicznej, czy osoby prywatnej. Z podobnych przyczyn nie jest daną osobową adres e-mail będący adresem ogólnej skrzynki pocztowej jakiejś firmy lub instytucji, która z założenia nie jest adresem oznaczonej indywidualnie osoby.

W praktyce promocji typu B2B nierzadko budzi wątpliwości, czy przetwarzanie danych osobowych przedsiębiorców podlega regulacjom Ustawy o ochronie danych osobowych. Wyjaśniając te ewentualne wątpliwości, należy odpowiedzieć, że tak – dane przedsiębiorców stanowią dane osobowe i podlegają reżimowi ochrony danych osobowych, o ile dotyczą oznaczonych osób fizycznych. Innymi słowy, dane firm prowadzonych w formie jednoosobowej działalności gospodarczej są danymi osobowymi. Z kolei nie stanowią danych osobowych nazwy i dane spółek cywilnych, osobowych lub kapitałowych (nawet gdyby w nazwie spółki występowały imię lub nazwisko jej właściciela). Warto wiedzieć, że nie zawsze tak było. Generalnie dane osobowe przedsiębiorców podlegają reżimowi ochrony danych osobowych dopiero od 1 lipca 2011 roku. Wcześniej, na podstawie szczególnego wyłączenia określonego w art. 7a ust. 2 ustawy z dnia 19 listopada 1999 roku – Prawo działalności gospodarczej, w związku z art. 66 pkt 3 ustawy z dnia 2 lipca 2004 roku – Przepisy wprowadzające ustawę o swobodzie  działalności gospodarczej, dane osobowe zawarte w ewidencji działalności gospodarczej były jawne i nie podlegały przepisom Ustawy o ochronie danych osobowych. Obecnie dane te w dalszym ciągu są jawne, jednak podlegają już przepisom Ustawy o ochronie danych osobowych i przetwarzanie tych informacji we własnym zakresie wiąże się z koniecznością stosowania określonych procedur przewidzianych prawem.

 ADMINISTRATOR DANYCH A POWIERZANIE PRZETWARZANIA DANYCH – PRAKTYKA W MARKETINGU

Dla osób działających w branży marketingowej istotna jest wiedza, że dane osobowe mogą być przetwarzane we własnym imieniu, gdzie przetwarzający dane występuje jako administrator danych, albo niejako w cudzym imieniu, działając na zlecenie administratora danych jako podmiot, któremu powierzono przetwarzanie danych osobowych w trybie art. 31 Ustawy o ochronie danych osobowych. Umiejętne rozróżnienie i przypisanie prawidłowych funkcji określonym podmiotom działającym wspólnie przy realizacji działań marketingowych może być niezwykle istotne dla trwałości i przydatności bazy danych zbieranych w trakcie prowadzonych działań promocyjnych. Administratorem danych osobowych generalnie powinien być ten podmiot, który zamierza te informacje przetwarzać w dłuższym okresie i jest zainteresowany zebraniem możliwie największej liczby najbardziej wartościowych rekordów na potrzeby swojej działalności gospodarczej. Podmiotem przetwarzającym dane na zlecenie administratora (podmiotem, któremu „powierzono przetwarzanie danych osobowych”) powinien być taki, który pełni funkcje wykonawcze, zbiera dane w terenie, przyjmuje deklaracje uczestnictwa w akcjach, zbiera w imieniu administratora zgody na przetwarzanie danych itp. W praktyce obrotu gospodarczego podmiotami przetwarzającymi dane osobowe na zlecenie są zazwyczaj agencje marketingowe lub agencje bazodanowe. Administratorami danych osobowych są natomiast ich klienci.

Jeśli chodzi o kwestie proceduralne, to należy pamiętać, że administratora danych osobowych oraz podmiot przetwarzający te informacje na jego zlecenie zawsze powinna łączyć pisemna umowa, zawarta w trybie art. 31 Ustawy o ochronie danych osobowych. Umowa ta powinna określać co najmniej zakres danych, których przetwarzanie powierzono zleceniobiorcy, oraz cel ich przetwarzania. W żywotnym interesie Administratora leży upewnienie się, że zleceniobiorca w ramach swojej organizacji będzie przestrzegał wszystkich reguł i zabezpieczeń wymaganych przez przepisy regulujące ochronę danych osobowych, ponieważ na administratorze spoczywa odpowiedzialność prawna za wszelkie naruszenia, których ten zleceniobiorca się dopuści (art. 31 ust. 4 ustawy). Za naruszenie reguł przetwarzania danych osobowych po stronie zleceniobiorcy Generalny Inspektor Ochrony Danych Osobowych (GIODO) może nałożyć sankcje bezpośrednio na tego zleceniobiorcę, ale również na jego zleceniodawcę (administratora danych osobowych). W związku z powyższym w umowach o przetwarzanie danych osobowych stosunkowo często wprowadza się zapisy dotyczące zasad przetwarzania danych przez zleceniobiorcę, jak również określające jego odpowiedzialność majątkową względem administratora danych za wszelkie przypadki naruszeń stwierdzone przez administratora lub GIODO.

 OBOWIĄZKI FORMALNE ZWIĄZANE Z PRZETWARZANIEM DANYCH

Oprócz tego, że administrator danych osobowych zobowiązany jest przestrzegać reguł prawnych przetwarzania danych osobowych, jest on także obarczony obowiązkiem przestrzegania i stosowania określonych procedur związanych z przetwarzaniem danych osobowych, w tym:

  • rejestrowania bazy danych w GIODO;
  • wyznaczenia w ramach swojej struktury organizacyjnej administratora bezpieczeństwa;
  • prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych, która powinna zawierać: (1) imię i nazwisko osoby upoważnionej, (2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, (3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym;
  • przygotowania dokumentu pt. „Polityka bezpieczeństwa”;
  • przygotowania dokumentu pt. „Instrukcja przetwarzania danych osobowych w systemach informatycznych” (jeżeli dane na jakimkolwiek etapie przetwarzane są za pomocą urządzeń elektronicznych);
  • wprowadzenia procedur oraz zapewnienia technicznych warunków przetwarzania danych osobowych zgodnych z powyższymi dokumentami oraz ze stosownymi przepisami art. 36-39 Ustawy o ochronie danych osobowych, jak również z przepisami Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W większych organizacjach powyższymi sprawami zajmuje się często odrębnie zatrudniona do tego osoba, ewentualnie wchodzi to w zakres obowiązków któregoś z pracowników odpowiedzialnych za bazy danych. Nierzadko jest to firmowy informatyk, co wiąże się z obecną praktyką przetwarzania danych raczej w systemach informatycznych niż w trybie osobowym oraz obserwowaną postępującą automatyzacją procesów marketingowych. W mniejszych organizacjach obowiązek zapewnienia przestrzegania procedur spoczywa często na właścicielach firmy lub członkach zarządu. I w tym miejscu należy wskazać, że Ustawa o ochronie danych osobowych nie różnicuje procedur i związanych z tym obowiązków w zależności od wielkości podmiotu przetwarzającego dane osobowe. Każdy podmiot zobowiązany jest realizować wszystkie procedury na tym samym poziomie zabezpieczenia danych.

NARUSZENIE ZASAD PRZETWARZANIA DANYCH OSOBOWYCH – KONSEKWENCJE PRAWNE

GIODO wykrywa naruszenia u przedsiębiorców przetwarzających dane osobowe na podstawie kontroli przeprowadzanych z własnej inicjatywy, jak również na wniosek/zawiadomienie osoby, która uważa, że jest pokrzywdzona działaniem danego podmiotu. W przypadku stwierdzenia naruszeń GIODO generalnie wyda decyzję, w której zobowiąże administratora do przywrócenia procedur przetwarzania danych osobowych do stanu zgodnego z prawem, a w szczególności do:

  1. usunięcia uchybień;
  2. uzupełnienia, uaktualnienia, sprostowania, udostępnienia lub nieudostępnienia danych osobowych;
  3. zastosowania dodatkowych środków zabezpieczających zgromadzone dane osobowe;
  4. wstrzymania przekazywania danych osobowych do państwa trzeciego;
  5. zabezpieczenia danych lub przekazania ich innym podmiotom;
  6. usunięcia danych osobowych.

GIODO w swojej decyzji zazwyczaj określa termin wykonania danego działania przez przedsiębiorcę. Jeżeli ten nie dostosuje się do ostatecznej decyzji GIODO i nie wykona nałożonego na niego obowiązku, organ ten skorzysta z jednego z przysługujących mu środków egzekucji: nałożenia grzywny w celu przymuszenia do realizacji działania, wykonania zastępczego, a także przymus bezpośredni (opisane są w dziale III Ustawy o postępowaniu egzekucyjnym w administracji). Przed ich zastosowaniem GIODO będzie obowiązany jednak przesłać jeszcze dodatkowe upomnienie z siedmiodniowym terminem do realizacji. Dla osób fizycznych jednorazowa grzywna nie może przekraczać 10 tys. zł. Kary finansowe nakładane na osoby prawne lub jednostki organizacyjne niemające osobowości prawnej mogą sięgać jednorazowo do 50 tys. zł. W przypadku braku reakcji lub braku należytej staranności zobowiązanego przy usuwaniu naruszeń grzywna może być nałożona przez GIODO wielokrotnie, maks. do 50 tys. zł w przypadku osób fizycznych oraz 200 tys. zł w przypadku osób prawnych oraz jednostek organizacyjnych niemających osobowości prawnej.

Co do zasady, zanim dojdzie do jakiejkolwiek egzekucji, przedsiębiorca może doprowadzić do wstrzymania wykonalności decyzji Generalnego Inspektora, jeżeli zdecyduje się złożyć od niej odwołanie. Procedurę składania odwołania regulują przepisy Kodeksu postępowania administracyjnego.

W przypadku uznania przez GIODO, że administrator danych, administrator bezpieczeństwa lub pracownik administratora ponoszą znaczną winę za powstałe i wykryte naruszenia w zakresie przetwarzania danych osobowych, urzędnicy mogą złożyć dodatkowo zawiadomienie do prokuratury o podejrzeniu popełnienia jednego z przestępstw określonych w art. 49-54 Ustawy o ochronie danych osobowych. W takim przypadku danej osobie odpowiedzialnej za te naruszenia może grozić kara grzywny, kara ograniczenia wolności albo kara pozbawienia wolności maksymalnie do 3 lat. Największe sankcje karne przewidziane są za przetwarzanie danych osobowych bez podstawy prawnej oraz za bezprawne udostępnianie lub umożliwianie dostępu do tych informacji nieuprawnionym osobom trzecim.

NAJCZĘSTSZE BŁĘDY I WĄTPLIWOŚCI PRZY PRZETWARZANIU DANYCH OSOBOWYCH – OKIEM PRAKTYKA

Doświadczenie w branży prawa marketingu wskazuje, że na rynku największe problemy związane są z:

  • jedną zgodą na kilka klauzul – przedstawiciele branży wiedzą, że zbieranie danych osobowych na rynku wymaga uzyskania zgody osoby, od której takie informacje są zbierane. Niestety, bardzo często zdarza się, że klauzule takiej zgody są źle przygotowane, sformułowane zostały bez znajomości reguł i praktyki interpretacyjnej GIODO oraz sądów, co skutkuje tym, że bardzo często są one (także i zgody) nieważne. Najczęstszym błędem jest zawieranie w treści jednej klauzuli od razu kilku oświadczeń („zgód”) – na przetwarzanie danych do celów promocyjnych, marketingowych, na wysyłanie korespondencji drogą elektroniczną – gdzie pod taką przygotowaną szeroką klauzulą zainteresowana osoba składa jeden podpis (jedną „zgodę”). Takie działanie jest nieprawidłowe i skutkuje nieważnością tak uzyskanej zgody (przynajmniej w kwestii pozyskania zgody do celów marketingowych i wysyłania informacji drogą elektroniczną), co niejednokrotnie potwierdzały w swoich orzeczeniach GIODO i sądy administracyjne. Aby klauzula zgody była poprawna pod względem formalnym, osoba ją podpisująca powinna mieć możliwość wyrażenia zgody na niektóre aspekty klauzuli, a na inne już nie (np. cele promocji – tak, ale przesyłanie informacji – już nie). Nie stoi przy tym na przeszkodzie, aby jeżeli jest to uzasadnione założeniami biznesowymi i warunkami realizowanej promocji, określić w regulaminie, że jeżeli dana osoba nie wyrazi zgody odrębnie na wszystkie takie klauzule, to nie może brać udziału w promocji lub nie otrzyma obiecanego upominku;
  • ze zgodą uzyskaną dla przetwarzania danych dla celów marketingowych – z taką zgodą wiąże się chyba najwięcej nieporozumień. Podmioty organizujące akcje promocyjne lub inne działania marketingowe czynią to często przede wszystkim po to, aby zebrać rekordy osób zainteresowanych ich produktami lub usługami i móc je przetwarzać dla celów marketingowych (na potrzeby własnych badań, ale również w celu przesyłania ulotek, ofert itp.). W związku z powyższym takie podmioty za wszelką cenę w klauzulach zgody zamieszczają także tę na przetwarzanie danych „dla celów marketingowych”. Wyjaśnić trzeba, że taka praktyka jest, po pierwsze, niepotrzebna, a po wtóre, jest podważana przez GIODO jako ograniczająca swobodę co do zasad wyrażania zgody przez zainteresowane osoby. Rezultat – tego typu klauzule mogą być uznane za nieważne w razie ewentualnej kontroli GIODO i tym samym podmiot utraci w ogóle możliwość przetwarzania zebranych danych, w tym dla celów marketingowych. Jest to wiedza o tyle istotna, że na gruncie przepisów Ustawy o ochronie danych osobowych uzyskiwanie zgody na przetwarzanie danych „dla celów marketingowych” nie jest w ogóle potrzebne, aby administrator danych mógł je przetwarzać dla takich właśnie celów. Zgodnie z art. 23 ust. 1 pkt 5 Ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne, niezależnie od uzyskania zgody lub jej braku, gdy jest to „niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą”. Z kolei zgodnie z art. 23 ust. 4 pkt 1 ustawy „za prawnie usprawiedliwiony cel, o którym mowa w ust. 1 pkt 5, uważa się w szczególności marketing bezpośredni własnych produktów lub usług administratora danych”. Innymi słowy, jeżeli administrator danych wszedł w posiadanie określonych danych osobowych w sposób legalny (np. uzyskał dane przy podpisaniu umowy handlowej albo uzyskał zgodę na wykorzystanie ich w celu realizacji danej akcji promocyjnej), to może bez odrębnej zgody przetwarzać je również w dalszym trybie dla swoich celów marketingowych. W takim przypadku podstawą prawną przetwarzania jest nie zgoda osoby, której dane dotyczą, lecz sama ustawa. Co jest jeszcze istotne w tym temacie, to aktualnie GIODO stoi na stanowisku, że jeżeli już jednak administrator danych zapyta daną osobę o zgodę na przetwarzanie jej danych „dla celów marketingowych” i nie wyrazi ona na to odrębnej zgody, to administrator nie może skorzystać ze swojego ustawowego uprawnienia, o którym mowa powyżej, ponieważ doszłoby wówczas do naruszenia praw i wolności osoby, która w sposób jednoznaczny nie wyraziła zgody na przetwarzanie jej danych. W konsekwencji – paradoksalnie – podmioty chcące przetwarzać dane osobowe dla celów marketingowych dla swojego bezpieczeństwa prawnego nie powinny pytać zainteresowanych osób o wyrażenie zgody na przetwarzanie ich danych w tym właśnie celu. Oczywiście jeżeli dana osoba prześle do administratora wyraźne żądanie do zaprzestania przetwarzania jej danych dla celów marketingowych – administrator ma prawny obowiązek zaprzestania przetwarzania danych tej osoby w tym celu (art. 32 ust. 1 pkt 7 Ustawy o ochronie danych osobowych);
  • z zakupem danych od przedsiębiorstwa zajmującego się obrotem bazami danych – kupując bazę danych osobowych od podmiotu trzeciego, należy w pierwszej kolejności upewnić się, że ma on i sprzedaje te dane legalnie (w tym celu można go poprosić o przesłanie dla losowo przez siebie wybranych rekordów „zgód”, z których jasno wynika prawo podmiotu sprzedającego dane do ich przetwarzania, ale również – co bardziej istotne – do ich przekazywania podmiotom trzecim). Zakup danych z naruszeniem prawa doprowadzi do bezprawności przetwarzania tych informacji przez nabywcę ze wszelkimi tego skutkami. Jeżeli jednak zostały one nabyte legalnie, to wbrew spotykanemu niekiedy poglądowi nabywca bazy nie musi uzyskiwać dodatkowo odrębnej zgody od każdej z osób z zakupionej bazy na przetwarzanie jej danych dla celów marketingowych. Tak jak wskazano w uwagach w punkcie powyżej, nabywca może przetwarzać zakupione dane dla celów marketingowych wprost na podstawie ustawy, bez zgody osoby, której one dotyczą. Jednocześnie jednak na nabywcy danych osobowych ciąży inny istotny obowiązek – poinformowania wszystkich osób, których dane zostały nabyte oraz są przetwarzane, o fakcie przetwarzania przez siebie tych danych, tj. o:
  1. adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
  2. celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
  3. źródle danych,
  4. prawie dostępu do treści swoich danych oraz ich poprawiania,
  5. prawie żądania zaprzestania przetwarzania danych oraz prawie sprzeciwu wobec ich przetwarzania.

Niestety, w praktyce nierzadko obowiązek ten jest zaniedbywany, co może się wiązać z określoną odpowiedzialnością prawną administratora. Jeżeli już jednak obowiązek ten jest wykonywany, to najczęściej stosowne informacje są podawane zainteresowanym osobom przy okazji pierwszego kontaktu handlowego, np. w stopce przesyłanej oferty lub na osobnej kartce załączonej do gazetki lub ulotki.