Nowy numer telefonu, kredyt prawie za darmo, a może bezzwrotna dotacja unijna? Wystarczy godzina od zarejestrowania firmy w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG), a telefony już się urywają. Przepisy jednak nie pozwalają na dowolne wykorzystanie danych z tego rejestru.
RODO, czyli co to jest uzasadniony interes
Do oceny wykorzystywania danych z CEIDG-u w celu marketingowym stosuje się bowiem dwa różne reżimy prawne, a mianowicie: prawo ochrony danych osobowych, czyli RODO oraz przepisy chroniące przed niechcianą komunikacją marketingową, czyli w praktyce: prawo telekomunikacyjne. I RODO pozwala na dużo, a prawo telekomunikacyjne – już niekoniecznie.
- Fakt wpisania jednoosobowej działalności gospodarczej do bazy CEIDG i upublicznienia jej nie jest podstawą prawną dla innych podmiotów gospodarczych do przetwarzania tych danych we własnych celach np. w celu prowadzenia marketingu swoich produktów i usług - wyjaśnia Katarzyna Ellerik, lider zespołu ds. ochrony danych LexDigital, Inspektor Ochrony Danych, audytor i szkoleniowiec.
Czytaj w LEX: Okiem IOD-a: marketing bezpośredni a RODO >
Art. 6 ust. 1 lit f RODO pozwala wykorzystywać do własnych celów marketingowych dane pozyskane z CEIDG, takie jak: adres, nazwisko, e-mail czy numer telefonu. - Z perspektywy RODO nie ma więc w tym nic złego, gdy do firmy widniejącej w CEIDG zadzwoni z propozycją nowego numeru telefonu operator sieci komórkowej, czy bank z ofertą pożyczki. RODO na to pozwala. Pod jednym warunkiem: przedsiębiorca musi wykonać tzw. test nadrzędności interesów i ocenić, czy jego uzasadniony interes w wykorzystaniu tych danych przeważa nad interesem przedsiębiorcy, żeby być pozostawionym w spokoju. I tutaj prezes UODO coraz częściej staje po stronie przedsiębiorców – przykładem może być decyzja (SPR.440.1194.2019 z 24 września 2020 r.), gdzie potwierdzono legalność wykorzystania – na gruncie RODO – adresu email do celów marketingowych, pozyskanego właśnie z CEIDG - tłumaczy Paweł Litwński, adwokat, partner w Kancelarii Prawnej Barta Litwiński.
Podobnie jest w wypadku, gdy pozyskuje się dane do stworzenia bazy danych w celu jej sprzedaży. Tutaj jednak to nabywca bazy musi ocenić, czy może powołać się na swój uzasadniony interes, bo jak uznał Prezes UODO w innej swojej decyzji, „sama umowa sprzedaży bazy danych nie jest bowiem przesłanką legalizującą proces przetwarzania”.
Katarzyna Ellerik podkreśla, że wykorzystanie podstawy legalizującej przetwarzanie w ramach prawnie uzasadnionego interesu administratora powoduje, że nie trzeba uzyskiwać zgody na to działanie.
- Niemniej jednak, w momencie gromadzenia danych, firma ma obowiązek informacyjny wobec osoby - bez znaczenia z jakiej podstawy prawnej korzysta. To nic innego, jak przedstawienie osobie zakresu informacji dotyczących procesu przetwarzania danych realizowanego przez daną organizację, jest to m.in. podanie tożsamości organizacji, celu przetwarzania danych, informacji o odbiorcach danych czy przekazywania danych poza Europejski Obszar Gospodarczy - wylicza Katarzyna Ellerik.
I dodaje: - W przypadku pozyskania danych z CEIDG spełnia się obowiązek informacyjny opisany w art. 14 RODO, który wskazuje zakres informacji podawany w momencie, gdy dane pozyskane zostały z innego źródła, niż od osoby, której te dane dotyczą. W tym przypadku należy przekazać osobie informacji o źródle pochodzenia danych tj. CEIDG. Takie stanowisko potwierdził również krajowy organ nadzorczy – Urząd Ochrony Danych Osobowych, który w marcu 2019r. nałożył pierwszą w Polsce karę administracyjną (decyzja ZSPR.421.3.2019) w zakresie m.in. niedopełnienia obowiązku podania informacji określonych w art. 14 RODO osobom fizycznym, w tym jednoosobowym działalnościom gospodarczym pozyskanych z ogólnie dostępnych rejestrów firm.
Zobacz LEX NEWS: Chwila na RODO: Zgoda na marketing w pigułce >
Inne zasady w Prawie telekomunikacyjnym
Zupełnie inaczej sytuacja wygląda w przypadku Prawa telekomunikacyjnego. Kwestie te reguluje słynny art. 172. Zakazuje on używania telekomunikacyjnych urządzeń końcowych (telefonów, komputerów, tabletów itp.) i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
W wypadku RODO przestrzeganie przepisów kontroluje prezes UODO. Natomiast niechcianą komunikacją marketingową zajmuje się prezes UKE i prezes UOKiK. I obydwa te organy są znacznie mniej przychylne przedsiębiorcom chcącym korzystać z jawnych danych w celach marketingowych.
Czytaj w LEX: RODO a ustawa o świadczeniu usług drogą elektroniczną i prawo telekomunikacyjne >
Surowy, jak prezes UOKiK
Prezes UOKiK wydał kilka decyzji, wśród nich np. decyzję z 30 maja 2019 r. (sygn. DOZIK-8.610.20.2017.KA/MO), w których uznał, że kontakt, który ma na celu uzyskanie zgody na marketing bezpośredni, może już sam w sobie być uznany za „marketing bezpośredni” w rozumieniu art. 172 ust. 1 Prawa telekomunikacyjnego – a więc bez uprzedniej zgody narusza prawo.
Chodziło o decyzję w sprawie operatora telekomunikacyjnego – Netii. Urząd przeanalizował zgłoszenia od konsumentów i rozmowy sprzedażowe, które prowadzili z nimi konsultanci. Wynikało z nich, że operator dzwonił z propozycją zawarcia umowy, mimo że nie miała zgód abonentów na kontakt w celach marketingu bezpośredniego. Co jest w opinii UOKiK niezgodne z prawem telekomunikacyjnym. Netia kupiła gotowe bazy z numerami telefonów, ale to nie zwalnia jej z odpowiedzialności. Netia uniknęła kary finansowej, ponieważ zobowiązała się do zmiany zasad współpracy z partnerami. Mianowicie jeżeli będzie korzystała w przyszłości z gotowych baz, to zobowiąże partnerów do tego, żeby pozyskiwali zgody zgodnie z prawem i będzie to weryfikował. Ponadto określi warunki prawidłowo udzielonej zgody, tak aby konsument wiedział kto i w jakim celu do niego może zadzwonić.
Czytaj też: Jest pierwszy w UE kodeks do ochrony danych w chmurze
- O ile więc na gruncie RODO można pozyskać dane osobowe z CEIDG i je wykorzystać w celu marketingowym, o tyle na gruncie Prawa telekomunikacyjnego nie można tego zrobić wykorzystując do tego telefon, czy e-mail - wyjaśnia mec. Paweł Litwiński.
Co pozostaje? Pozostaje tradycyjny, papierowy list, bo tu nie ma możliwości naruszenia art. 172 Prawa telekomunikacyjnego. Z drugiej strony wiele wskazuje na to, że firmy wolą udawać, że prawa telekomunikacyjnego nie ma i bazować jedynie po przychylniejszym im RODO. Jest tak dlatego, ponieważ prawdopodobieństwo tego, że UOKiK zainteresuje się konkretną kampanią marketingową, jednak jest bardzo niewielkie. Prawda jest więc na dzisiaj taka, że wiele firm godzi się na ryzyko, jakie niesie ze sobą potencjalne naruszenie art. 172 Prawa telekomunikacyjnego i prowadzi marketing elektroniczny w oparciu o dane z CEIDG.
Jest projekt, ale zmian nie będzie
Obecnie trwają prace nad nowym prawie komunikacji elektronicznej. Zajmuje się nim obecnie Komitet do Spraw Europejskich. Okazuje się, że tak jak dotychczas zakazane będzie wysyłanie informacji handlowych, w tym marketing bezpośredni, bez uzyskania uprzedniej zgody abonenta lub użytkownika końcowego, i to nawet gdy jest to nasz kontrahent. Co więcej prawnicy podkreślają, że polskie przepisy są i nadal będą ostrzejsze od unijnych. Obowiązująca dyrektywa 2002/58 dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej jak i projekt nowego rozporządzenia w tej sprawie, tzw. e-privacy pozwala wyłączyć obowiązek uzyskania zgody od klientów handlowych, o ile zostali oni poinformowani o możliwości zgłoszenia sprzeciwu. Do tego w projekcie ego rozporządzenia o ochronie prywatności w komunikacji elektronicznej (e-privacy) nie trzeba mieć zgody na kontakty z własnymi klientami.
