Użytkownicy internetu na każdym kroku spotykają się z koniecznością wyrażania różnej maści „zgód” – czy to na treść regulaminu, czy to na dostęp aplikacji do danych profilowych, czy to na wyświetlanie reklam. Nie ma chyba również osoby, która nie wyraziłaby kiedykolwiek zgody na przetwarzanie jej danych osobowych dla celów marketingowych. Dane osobowe, w tym zwłaszcza adres e-mail, są na wagę złota dla firm, które chcą kierować reklamę do swojej grupy docelowej. Wiele rynkowych podmiotów ma jednak spore problemy z pozornie drobną, a w praktyce niezwykle istotną kwestią – jaką dokładnie treść powinno mieć oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych oraz na przesyłanie informacji handlowych. Przepisy prawa reklamy nie podają tutaj gotowych rozwiązań. Warto zatem zwrócić uwagę na kilka istotnych kwestii.
Sformułowanie dobrej klauzuli, zawierającej wszystkie niezbędne oświadczenia, stanowi dla prawników (a co dopiero dla marketerów) nie lada wyzwanie. Z jednej strony klauzula zgody powinna być jak najbardziej rozbudowana – trzeba wszak zabezpieczyć się przed ryzykiem np. nielegalnego przetwarzania danych osobowych naszego klienta. Z drugiej strony długie klauzule odstraszają. Im są dłuższe i bardziej rozbudowane, tym większą budzą nieufność u konsumenta. Należy zatem znaleźć „złoty środek” i tak skonstruować klauzulę, aby w jasny, krótki, a jednocześnie w możliwie szeroki sposób, zabezpieczyła firmę oraz nie zniechęcała klienta do wzięcia udziału w akcji promocyjnej.
Po pierwsze, w klauzuli zgody bezwzględnie musi znaleźć się oświadczenie o zgodzie na przetwarzanie danych osobowych dla celów partycypowania w danej czynności (np. udział w konkursie, udział w ankiecie). Oświadczenie to musi być jasne i wyraźne, a klient musi mieć swobodę jego wyrażenia. Nie powinno być więc tak, że w formularzu elektronicznym dana „opcja” jest zaznaczona automatycznie. Oczywiście, wyrażenie takiej zgody może być warunkiem koniecznym udziału w danej czynności, ale klient musi to zrobić w pełni dobrowolnie poprzez działanie, czyli zaznaczenie danego pola.
Po drugie, nie jest konieczne uzyskiwanie zgody klienta na przetwarzanie jego danych osobowych dla celów marketingu bezpośredniego własnych produktów lub usług, o ile jest się administratorem zbieranych danych osobowych. Zgodnie z art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne wtedy, gdy jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Ustęp 4 tego artykułu za prawnie usprawiedliwiony cel uznaje właśnie marketing bezpośredni własnych produktów lub usług administratora danych.
Jeśli zatem zbieramy dane uczestników promocji jako ich administrator, a potem chcemy wykorzystać te dane dla bezpośredniego marketingu własnych produktów lub usług, to wystarczy, że nasz klient wyrazi zgodę na przetwarzanie danych dla celów udziału w akcji promocyjnej. Osobna zgoda na przetwarzanie danych dla celów marketingowych nie jest już wymagana, o ile cele te obejmą jedynie marketing bezpośredni własnych produktów lub usług. Jeśli chcemy przekazać dane osobowe innemu podmiotowi (np. spółce powiązanej), wówczas niezbędne jest uzyskanie zgody klienta na takie przekazanie i przetwarzanie danych przez ten inny podmiot. Dobrze więc odebrać taką zgodę zawczasu, o ile planujemy późniejsze przekazanie danych osobowych.
Pozostaje jeszcze kwestia zgody na przesyłanie e-mailowej informacji handlowej. W braku takiej zgody informacja handlowa staje się SPAM-em i jej przesyłanie jest karalne. Zgoda ta powinna być odrębna od zgody na przetwarzanie danych osobowych. Połączenie tych „zgód” prowadzi do nieważności oświadczeń z punktu widzenia administracyjnego. Podobnie jak wcześniejsze zgody, także i ta powinna być jasna oraz wyraźna. Nie może być też „automatyczna”, tzn. klient powinien mieć możliwość samodzielnego zaznaczenia danego pola. Tylko wówczas w pełni autonomicznie może on powiedzieć „tak, chcę otrzymywać informacje handlowe”.
Jak pisałem wcześniej, każde oświadczenie o wyrażeniu zgody powinno być odrębne od innych oświadczeń składanych przez klienta. I tu właśnie najczęściej marketerzy popełniają błąd. „Wrzucają” wszystkie zgody do jednej klauzuli sądząc, że jednym oświadczeniem, zawierającym zgodę na:
- treść regulaminu akcji promocyjnej
- przetwarzanie danych osobowych dla celów udziału w akcji promocyjnej
- przetwarzanie danych osobowych dla celów własnego marketingu (choć tu zgoda nie jest konieczna)
- przekazywanie danych osobowych innym podmiotom i ich przetwarzanie przez te podmioty;
- przesyłanie informacji handlowych na podany adres e-mail
– niejako „załatwiają” całą sprawę, bo mają zgodę klienta na wszelkie działania. Nic bardziej mylnego.
Zgodnie z utrwalonym orzecznictwem GIODO i Prezesa UOKiK takie działanie po pierwsze wprowadza w błąd konsumenta, a po drugie jest bezskuteczne, ponieważ zawiera oświadczenia mające swoje źródło w różnych ustawach (czyli m.in. w Kodeksie cywilnym, ustawie o ochronie danych osobowych oraz ustawie o świadczeniu usług drogą elektroniczną). Ponieważ zgoda klienta musi być wyraźna i jednoznaczna, to przyjmuje się, że w takiej sytuacji nie została wyrażona w ogóle. A to rodzi poważne ryzyko po stronie firmy. Przetwarza ona wówczas dane osobowe nielegalnie, przesyła SPAM, a konsumenta nie wiąże regulamin akcji promocyjnej (o potencjalnych skutkach takiej sytuacji pisałem tutaj).
Ze względu na powyższe sformułowanie jednej, uniwersalnej klauzuli jest trudne. W różnych akcjach promocyjnych firma może mieć inne cele, a to wymaga odpowiedniego ich uwzględnienia w treści klauzuli. Niekiedy bowiem zebrane dane firma chce przekazać dalej, innym razem będzie jedynie samodzielnie przesyłać informacje handlowe. Dlatego każdorazowo niezbędnym jest skonsultowanie treści klauzuli z prawnikiem.
Cała kwestia jest charakterystyczna dla prawa reklamy: z pozornej drobnostki może powstać nie lada problem.