Czy w wiadomościach marketingowych trzeba umieścić informację o możliwości rezygnacji z ich otrzymywania?

Photo by Joanna Kosinska on Unsplash

 

Czy marketing to prawnie uzasadniony interes?

Stowarzyszenie wysyłało gadżety reklamowe swoim byłym darczyńcom, ponieważ chciało pozyskać od nich w przyszłości fundusze. Wysyłając informacje marketingowych (gadżety reklamowe) stowarzyszenie uznało, że jest to jego prawnie uzasadniony interes. I rzeczywiście, jak wynika z motywu 47) RODO, za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego. Marketing jest więc wprost wskazany jako działanie, które może być podejmowane w ramach prawnie uzasadnionego interesu administratora.

Niezależnie od tego – aby móc realizować taki marketing – administrator musi wziąć pod uwagę treść art. 6 ust. 1 lit. f) RODO, a w szczególności ma obowiązek przeprowadzić tzw. test równowagi. Prowadzenie działań marketingowych w oparciu o taką podstawę nie jest bowiem dozwolone, jeśli interesy osób przeważają nad interesami administratora.

Opisując test równowagi, belgijski organ powołał się na wyrok TSUE z dnia 4 maja 2017 r., sygn. C‑13/16 (sprawa Rigas), w myśl którego istnieją trzy elementy legalności przetwarzania danych osobowych w oparciu o prawnie uzasadniony interes:

• chodzi o realizację interesów, które są uzasadnione (test celu),
• dla realizacji tych interesów przetwarzanie danych jest konieczne (test konieczności),
• prawa i wolności osoby objętej ochroną danych nie mają pierwszeństwa nad interesami administratora (test bilansu).

Przeprowadzenie testu równowagi

Jak wynika z przytoczonego motywu 47) RODO, marketing bezpośredni może być prawnie uzasadnionym interesem administratora – podmiot zdał więc test celu, bo takie uprawnienie wynika bezpośrednio z treści RODO.

Test konieczności wymaga, aby ocenić, czy da się zrealizować zamierzony cel bez przetwarzania danych. Tu odpowiedź również była prosta – wysyłka listów z gadżetami reklamowymi nie byłaby możliwa, gdyby podmiot nie wykorzystał w tym celu danych osobowych odbiorców (imion, nazwisk, adresów). Oznacza to, że test konieczności również został zaliczony.

Pozostał punkt ostatni – a tu należy zastanowić się, czy w danych okolicznościach osoba może zasadnie oczekiwać, że jej dane będą przetwarzane w takim celu. Jeśli nie ma rozsądnych przesłanek, aby spodziewała się takiego przetwarzania – test bilansu wyjdzie negatywnie.

Co więcej, poza uzasadnionymi oczekiwaniami należy zapewnić osobie dodatkowe gwarancje, które złagodzą niepożądane skutki, jakie mogą się w stosunku do niej pojawić. Gwarancją taką jest między innymi zapewnienie skutecznego prawa do sprzeciwu.

Podkreśla to też motyw 70) RODO, zgodnie z którym, jeżeli dane są przetwarzane w celach marketingowych, osobie należy zapewnić prawo do wniesienia w dowolnym momencie i bezpłatnego sprzeciwu wobec takich działań. Prawo to należy podać wyraźnie do wiadomości i przedstawić jasno i oddzielnie od wszelkich innych informacji. Po tym, jak administrator otrzyma sprzeciw, nie wolno mu już przetwarzać danych w takim celu.

I tu pojawił się problem, ponieważ – po pierwsze, dane były wykorzystane dla potrzeb marketingowych po ponad siedmiu latach od ich zgromadzenia, a po drugie – jak wskazał organ – zabrakło wyraźnych komunikatów o prawie do wniesienia sprzeciwu.

Nie chcę otrzymywać wiadomości

Belgijski organ dużą wagę przywiązał do informacji o prawie do sprzeciwu. Wskazał on przede wszystkim, że samo zapewnienie możliwości realizacji tego prawa to za mało. Nie wystarczy też, że uwzględnimy informację o takim uprawnieniu w klauzuli informacyjnej czy polityce prywatności, do czego jesteśmy przecież i tak zobowiązani – to za mało. W każdym komunikacie marketingu bezpośredniego – począwszy od pierwszej takiej wiadomości – należy wyraźnie wskazać, że takie prawo przysługuje osobie. Takie podejście ma umożliwić i ułatwić osobie skorzystanie z prawa do sprzeciwu. Dopiero po zapewnieniu takich komunikatów test bilansu może wyjść pozytywnie.

W wiadomościach marketingowych przesyłanych przez stowarzyszenie nie było informacji o możliwości skorzystania z prawa do sprzeciwu. Z tego powodu organ uznał, że stowarzyszenie nie podchodzi do tematu tak, jak należy, a więc nie gwarantuje osobom możliwości skutecznego wniesienia sprzeciwu. Stowarzyszenie oblało przez to trzecią część testu równowagi.

Co ważne, decyzja dotyczyła działań podejmowanych w formie listownej. Nie chodziło więc o dołączenie informacji „Wypisz mnie z newslettera” do stopki w mailu, ale o poinformowanie odbiorcy przesyłki listowej o tym, że może nie chcieć ich otrzymywać.

Wprawdzie w omawianej sytuacji organ nie nałożył wysokiej kary – wyniosła ona 1000 EUR – ale wziął pod uwagę szereg okoliczności łagodzących, w tym niski obrót stowarzyszenia.

Jak wysyłać marketing zgodnie z prawem?

Mimo że marketing bezpośredni może stanowić prawnie uzasadniony interes administratora, co wprost wynika z RODO, nie w każdym przypadku tak będzie. Wszystko zależy od wyników testu równowagi – jeśli go przeprowadzimy (i uwzględnimy w nim wszystkie wymagane elementy), a jego wynik wyjdzie pozytywnie, to możemy realizować marketing w oparciu o taką podstawę prawną. Co ważne, test równowagi jest konieczny w odniesieniu do każdej postaci działań marketingowych – a więc nie tylko w przypadku, gdy chcemy wysyłać maile marketingowe, ale też np. w przypadku wysyłki paczek z gadżetami reklamowymi. Nie ma więc znaczenia forma marketingu, a sam fakt, że w danym procesie zamierzamy wykorzystywać dane osobowe.

Aby zapewnić osobom możliwość skorzystania z prawa do sprzeciwu, należy osoby o tym wyraźnie informować. Opcja „Wypisz mnie”, „Nie chcę więcej otrzymywać wiadomości” czy „Zrezygnuj z otrzymywania maili” powinna więc na stałe zagościć w treści korespondencji wysyłanej w oparciu o prawnie uzasadniony interes. Nie możemy też zapomnieć o wymogach wynikających z przepisów krajowych, a więc ustawy o świadczeniu usług drogą elektroniczną czy ustawy Prawo telekomunikacyjne.

 

Radca prawny

Małgorzata Topyła