Jolanta Ojczyk: Czy różne branże, które wykorzystują dane osobowe potrzebują tzw. kodeksów branżowych, wskazujących jak stosować RODO?

Tomasz Grzybowski: Kodeksy branżowe są potrzebne z kilku przyczyn. Po pierwsze, RODO jest regulacją prawną nowego typu. Określa cele do osiągnięcia (ma być bezpiecznie i transparentnie), ale nie mówi już jednoznacznie co dokładnie trzeba zrobić. Kodeks postępowania pozwoli danej branży ustalić konkretne sposoby i środki do realizowania takich celów i bycia zgodnym z RODO.

Po drugie, kodeksy tworzone wspólnie z Urzędem Ochrony Danych Osobowych pozwolą danej branży rozstrzygnąć różne wątpliwości prawne, które występują od początku obowiązywania RODO. Dla przykładu: w jakim zakresie mogę przetwarzać dane w celach marketingowych z powołaniem na swój prawnie uzasadniony interes (czyli bez zgody osoby, której dane dotyczą)? Jakie narzędzia monitoringu w miejscu pracy mogę stosować, aby nie wejść nadmiernie w sferę prywatności moich pracowników? Czy w stosunku do konsumentów trzeba stosować wyższy poziom ochrony danych niż w relacji do przedsiębiorców?

Po trzecie, kodeksy to narzędzie koregulacji. Rynek, który tworzy kodeks będzie jednocześnie zobowiązany i uprawniony do kontrolowania, czy sygnatariusze działają zgodnie z postanowieniami kodeksu. Urząd Ochrony Danych Osobowych nadal będzie miał pełne uprawnienia nadzorcze, ale w założeniu część ciężaru dbania o zgodność z przepisami przesunie się na podmioty rynkowe.

Czytaj również: Unijne przepisy o telemarketingu łagodniejsze od polskich >>

Pan pomaga w przygotowaniu kodeksu dla branży telemarketingu, która kojarzy się głównie ze sprzedawcami garnków. Kogo jeszcze, jakie sytuacje obejmie taki kodeks?

Kojarzenie branży telemarketingu ze „sprzedawcami garnków” to zła droga. To tylko drobny, choć wyrazisty wycinek rynku. Ci sprzedawcy, których wszyscy mają na myśli, najczęściej w założeniu balansują na granicy prawa, albo działają nawet poza prawem, naruszając przy tym dane osobowe oraz prawa konsumentów. Odcinamy się jednoznacznie od działań takich firm i od wielu lat walczymy z nimi oraz z niewłaściwym wizerunkiem branży. W ramach Kodeksu chcemy dalej walczyć – już we współpracy z regulatorami.

Kodeks będzie obejmował jednak nie tylko telemarketing, ale cały marketing bezpośredni, czyli również e-mail marketing, marketing za pośrednictwem przesyłek tradycyjnych (tzw. direct mailing), czy też marketing w bezpośrednim kontakcie z klientem. Czyli cały obszar, w którym występuje jakiś rodzaj bezpośredniego kontaktu pomiędzy firmą a klientem lub potencjalnym klientem. Przykładowo będzie to: oferta e-mail od klubu fitness na przedłużenie abonamentu na kolejny rok, telefon od naszego doradcy finansowego w sprawie oferty kredytowej, list albo ulotka w naszej skrzynce pocztowej informująca o nowej promocji konsumenckiej producenta chipsów.
Bieżąca obsługa klienta, która nie wiąże się ze sprzedażą (np. reklamacja usługi), nie jest generalnie marketingiem bezpośrednim. Przy czym w ramach Kodeksu adresujemy również i te zagadnienia, aby wyraźnie je od siebie odróżnić. Chodzi o to, aby firma, która przyjęła daną reklamację, mogła normalnie skontaktować się z klientem telefonicznie lub mailowo bez uzyskiwania odrębnych zgód na komunikację marketingową (co jest pewnym absurdem, który jednak pojawia się na rynku).
Kodeks nie będzie poruszał zagadnień związanych ze stosowaniem tzw. ciasteczek, tworzeniem profili marketingowych w sieci, czy reklamy kontekstowej – to nie jest marketing bezpośredni.

Jakie zagadnienia są najbardziej kluczowe dla całej  branży marketingu bezpośredniego?

Najważniejsza jest pewność, że realizowane przez firmy z branży działania są zgodne z nowymi regulacjami. Marketing bezpośredni to działanie w relacji z ludźmi – konsumentami, przedsiębiorcami. Te relacje nieodzownie wiążą się z pozyskiwaniem i przetwarzaniem danych osobowych. Rynek marketingu wypracował w tym obszarze swoje rozwiązania. Pewność co do tego, czy są one prawidłowe ma dla tego rynku kluczowe znaczenie. Chodzi o to, aby nie przekroczyć cienkiej granicy pomiędzy udaną promocją a naruszeniem prywatności klienta. W przypadku telemarketingu dodatkowo ważne jest to, aby pokazać przyszłym i obecnym klientom, że branża aktywnie działa, aby chronić ich prywatność.

Tyle, że w przestrzeni publicznej panuje przekonanie, że telemarketing to samo zło, to telefony, które zabierają nam nasz cenny czas.

Przeciętnemu konsumentowi telemarketing niestety nie kojarzy się dobrze. Wykorzystywanie telefonu do promowania swoich produktów to działania, które niektóre podmioty podejmują w sposób naruszający wszelkie możliwe regulacje. Właśnie tacy dzwoniący budzą słuszną irytację, marnują nasz czas, a niekiedy – i to chyba jest najgorsze – wprowadzając nas w błąd i wykorzystując naszą podatność próbują nas doprowadzić do niekorzystnych transakcji. Nie znam osoby, która pochwalałaby tego rodzaju działania „promocyjne”. Są one po prostu złe.

Osoby, które działają w ten sposób, już teraz naruszają wiele regulacji  – prawo do prywatności, czy do informacji o regułach przetwarzania danych. Naruszają zbiorowe interesy konsumentów oraz stosują niedozwolone klauzule. Istnieją przepisy, które pozwalają takie osoby surowo ukarać. Problem jednak w tym, że często trudno je namierzyć i wszcząć wobec nich odpowiednie postępowanie. W trakcie rozmowy nie informują jaką firmę reprezentują, a zapytani o to, albo dają wymijającą odpowiedź albo odkładają od razu słuchawkę. Wbrew pozorom, istniejące regulacje prawne nie dają regulatorom skutecznych narzędzi, aby w takich sprawach przeprowadzać sprawne dochodzenie prowadzące do ustalenia, kto dzwonił i ukarania go.   

Czytaj również: Spółka Koksztys ukarana za telefony do firm, bo dezorganizują pracę >>
 

Czy kodeks branżowy ułatwi walkę z nimi?

Wszystkie osoby zaangażowane w prace nad kodeksem postępowania w branży marketingu bezpośredniego wierzą, że zatwierdzenie kodeksu ułatwi walkę z takimi nadużyciami. Poprzez wyznaczenie określonych standardów pozwoli on organom nadzoru jednoznacznie odróżnić tę część rynku, która działa zgodnie z prawem i interesem odbiorców komunikacji od osób, które świadomie działają z naruszeniem prawa. Przy okazji kodeksu chcielibyśmy wprowadzić rozwiązania, które pomogłyby to organom nadzoru bardzo sprawnie realizować. Mamy kilka pomysłów w tym obszarze, które obecnie omawiamy z regulatorami.

Proszę podać konkretne przykłady.

Jednym z takich pomysłów jest stosowanie tzw. Listy Robinsonów – rozwiązania, którego szczegóły mogłyby być przedmiotem odrębnej rozmowy, ale znanego i sprawdzonego w wielu krajach Unii Europejskiej i na świecie. SBM od 1996 roku prowadzi tzw. Listę Robinsona. Osoby fizyczne rejestrują na niej swoje pełne dane kontaktowe (adres pocztowy, adres e-mail, numer telefonu stacjonarnego i komórkowego), by nie otrzymywać ofert. Tyle, że obecnie tylko od firm, które biorą udział w programie. Kolejne rozwiązanie to przyjmowanie i rozpatrywanie przez organ monitorujący skarg od konsumentów również na podmioty, które nie są sygnatariuszami Kodeksu.

Czy w kodeksie można określić sposób postępowania w określonych sytuacjach, np. gdy telemarketer dzwoni do konsumenta z ofertą, gdy numer wybiera system automatyczny, gdy po drugiej stronie jest przedsiębiorca?

Oczywiście. RODO nie przewiduje ograniczeń co do tego, jakie zagadnienia mogą być uregulowane w kodeksie. W kodeksie dla marketingu bezpośredniego zdecydowaliśmy się na konstrukcję wytycznych według schematu: zasada – norma – przykłady. Innymi słowy, określamy pewne podstawowe zasady jakimi powinien kierować się marketer, następnie precyzujemy je w ramach konkretnych norm adresujących bardziej szczegółowe obszary. Wyjaśniamy te normy poprzez bardzo konkretne przykłady – również takie, które opisują, jak w danych relacjach wykonywać połączenie do konsumenta, jak wysyłać e-mail, jak zareagować na negatywny odbiór klienta w stosunku do takiej komunikacji. W rozmowach z Urzędem Ochrony Danych Osobowych widzimy, że to właśnie te przykłady z perspektywy urzędu mają bardzo duże znaczenie i wartość dodaną. Dlatego obecnie dodajemy kolejne podobne treści do kodeksu.

Kto będzie podmiotem monitorującym, czyli weryfikującym, czy zasady określone w kodeksie są przestrzegane?

Zarząd Polskiego Stowarzyszenia Marketingu SMB cały czas rozważa to zagadnienie. Realne są dwie możliwości – albo będzie to wyodrębniona komórka wewnątrz struktur samego Stowarzyszenia, albo podmiot zewnętrzny. Pierwsze rozwiązanie jest możliwe przy zapewnieniu narzędzi dających takiej komórce odpowiednią niezależność. Z kolei jeśli będzie to podmiot zewnętrzny, Stowarzyszenie zawrze z nim odpowiednią umowę o monitorowanie kodeksu. Powinien być to podmiot posiadający wiedzę i doświadczenie w obszarze ochrony danych osobowych oraz rynku marketingu.

W jaki sposób firmy będą decydować o przystąpieniu do kodeksu? Czy z założenia jego sygnatariuszami będą wszyscy członkowie SMB?

Założeniem jest, że wszyscy członkowie Polskiego Stowarzyszenia Marketingu SMB będą członkami kodeksu, aczkolwiek zarząd jeszcze nie podjął decyzji, czy będzie to obowiązek wpisany wyraźnie do statutu Stowarzyszenia. Przystąpienie do kodeksu będzie się jednak wiązać z koniecznością bycia członkiem Stowarzyszenia.

Kary na firmy z branży może nałożyć nie tylko prezes UODO, ale także UKE i UOKiK. Czy kodeks będzie też stanowił ochronę przed  wszystkimi urzędami?

Określenie, że kodeks będzie stanowił żelazną ochronę przed jakimkolwiek organem nie jest do końca szczęśliwe. Kodeks jest narzędziem koregulacyjnym, co oznacza że jego obowiązywanie nie odbiera żadnym organom ich uprawnień nadzorczych i kontrolnych. Dotyczy to zarówno UODO, UOKiK, czy UKE. Jeżeli ktoś myśli, że będąc członkiem kodeksu będzie mógł naruszać obowiązujące regulacje i żaden z organów nadzoru nie będzie mógł wszcząć przeciwko niemu postępowania i nałożyć kary, to jest w błędzie.
Kodeks daje jednak nową jakość w relacjach z regulatorami. Po pierwsze, urzędy mogą określone zagadnienia scedować na organ monitorujący kodeks, z obowiązkiem pełnego raportowania im działań w tym obszarze. Kodeks to także miejsce wymiany doświadczeń pomiędzy rynkiem a regulatorami, pozwalające na wzajemne zrozumienie występujących po danej stronie problemów, potrzeb i oczekiwań. Na pewno przystąpienie do Kodeksu i stosowanie się do jego regulacji będzie dla firmy argumentem in plus w relacjach z regulatorami.

Kiedy kodeks zostanie przyjęty?

W przypadku tak dużych projektów bardzo trudno jest prognozować. Według naszych informacji polski Urząd Ochrony Danych Osobowych pracuje nad największą liczbą Kodeksów w Unii Europejskiej. To duże wyzwanie po stronie organu. Mamy jednak nadzieję, że uda się przyjąć kodeks do stosowania wraz z akredytacją dla podmiotu monitorującego w pierwszej połowie 2020 roku.

Dla branży ważna jest też dyrektywa o ochronie prywatności, która będzie dotyczyć e-mail marketingu oraz telemarketingu, jak również reguł stosowania plików cookies. Dlaczego?

Obecnie obowiązująca dyrektywa o prywatności i łączności elektronicznej miała zostać zastąpiona rozporządzeniem w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej (rozporządzenie o e-prywatności). Nie wydarzyło się to jednak z powodu bardzo silnych różnic w stanowiskach pomiędzy organami unijnymi. Gdyby nowe rozporządzenie o e-prywatności już funkcjonowało, niektóre części Kodeksu byłoby łatwiej redagować. Nie jest jednak tak, że obecne regulacje i te planowane są od siebie zupełnie różne.  Nie występują żadne drastyczne sprzeczności. Jesteśmy po prostu zobowiązani poświęcić więcej uwagi i ostrożnie adresować te zagadnienia, które na poziomie unijnym mogą zmienić się w czasie, wraz ze zmianą regulacji.

Czy RODO i obowiązująca dyrektywa są kompatybilne?

Obecnie obowiązująca dyrektywa nie jest do końca dostosowana do RODO, co stwarza problemy interpretacyjne. Sposób wdrożenia dyrektywy do polskiego prawa również nie jest do końca zgodny z regulacjami unijnymi. W Polsce brakuje w ogóle wdrożenia tzw. „soft opt-in” w e-mail marketingu (art. 13 ust. 2 Dyrektywy oraz art. 16 ust. 2 planowanego Rozporządzenia). Zgodnie z tą regulacją firmy mogą wysyłać marketingowe wiadomości przez e-mail bez odrębnej zgody w relacjach ze swoimi klientami. Są jednak zobowiązane umożliwić klientom wyrażenie sprzeciwu wobec takiej formy komunikacji.

Dyrektywa została również wdrożona w Polsce w taki sposób, że zagadnienia ochrony danych osobowych są pod nadzorem Urzędu Ochrony Danych Osobowych, marketing w relacjach z konsumentami pod nadzorem Urzędu Ochrony Konkurencji i Konsumentów, a cały telemarketing pod nadzorem Urzędu Komunikacji Elektronicznej oraz UOKiK (w zależności od tego, do kogo był kierowany). Jest to niestety bardzo niejasna sytuacja. Z pewnością po stronie rynku powoduje to dużo wątpliwości i różnic co do praktyki stosowania prawa.