Jak wygląda obecny stan prawny łączenia zgód? Trzy odrębne i niezależne zgody wynikające z trzech odrębnych ustaw. Jaka jest wzajemna relacja pomiędzy zgodami z uodo i uśude?
Słownik:
uodo – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
uśude – ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
prawo telekomunikacyjne – ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne
pakiet legislacyjny – projekt ustawy z dnia 12 września 2017 roku „Przepisy wprowadzające ustawę o ochronie danych osobowych” w brzmieniu sformułowanym przez Ministerstwo Cyfryzacji
RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
GIODO – Generalny Inspektor Ochrony Danych Osobowych
UKE – Urząd Komunikacji Elektronicznej
NSA – Naczelny Sąd Administracyjny
WSA – Wojewódzki Sąd Administracyjny
Autor: Karol Cieniak, prawnik, Dyrektor Działu Prawnego RBDO | Specjalista ds. ochrony danych osobowych
Copyright. Opracowanie autorskie. Wydawnictwo RBDO.PL
Wszelkie prawa zastrzeżone. Cytowanie i publikowanie bez zgody wydawcy RBDO.PL zabronione. Prośby o zgodę na wykorzystanie materiału prosimy wysyłać na adres: biuro@rbdo.pl
Trzy odrębne i niezależne zgody wynikające z trzech odrębnych ustaw
W obecnym stanie prawnym istnieją trzy niezależne od siebie przepisy dotyczące pozyskiwania zgód, z których związany jest z odrębnymi i niezależnymi od siebie sankcjami:
- Ustawa o ochronie danych osobowych, co zostało omówione w części I niniejszego dokumentu, ustanawia zgodę na przetwarzanie danych osobowych jako jedną z podstaw prawnych do przetwarzania danych osobowych w art. 23 ust. 1 pkt 1.
– brak prawidłowo pozyskanej zgody w sytuacji, w której nie istnieje żadna inna podstawa prawna do przetwarzania danych osobowych w obecnym stanie prawnym może prowadzić do odpowiedzialności karnej na podstawie art. 49 ust. 1 uodo (Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.)
– od 25 maja 2018 roku, w sytuacji opisanej będzie możliwe zastosowanie na podstawie art. 83 ust. 5 lit. a RODO kary pieniężnej przez organ nadzorczy właściwy do ochrony danych osobowych, nakładanej w trybie administracyjnym, w maksymalnej wysokości do 20 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
- Ustawa o świadczeniu usług drogą elektroniczną w art. 10 nakłada obowiązek uzyskania zgody na otrzymywanie informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej -brak prawidłowo pozyskanej zgody w sytuacji, w której doszło do wysłania niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną, na adres poczty elektronicznej tej osoby może prowadzić do odpowiedzialności wykroczeniowej na podstawie art. 24 ust. 1 uśude, co może skutkować nałożeniem grzywny w wysokości do 5000 zł.- działanie to może być także zakwalifikowane jako „czyn nieuczciwej konkurencji”, co może skutkować odpowiedzialnością wynikającą z ustawy o zwalczaniu nieuczciwej konkurencji.
– brak zgody w rozumieniu art. 172 w przypadku np. wysłania wiadomości na adres poczty elektronicznej, która będzie realizowała cel marketingu bezpośredniego może, jako użycie urządzenia końcowego użytkownika końcowego skutkować nałożeniem w drodze decyzji administracyjnej przez Prezesa UKE w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym.W przypadku czynności polegającej na wysyłce na adres poczty elektronicznej użytkowników serwisu internetowego będących osobami fizycznymi wiadomości posiadających charakter informacji handlowej, dotyczących podmiotów innych niż operator serwisu, podlega ona pod zakres zastosowania wszystkich przytoczonych w pkt 1-3 przepisów.- Wzajemna relacja pomiędzy zgodami z uodo i uśude
W związku z powyższym konieczne jest rozstrzygnięcie, czy w istocie chodzi o trzy odrębne zgody, które muszą być pozyskane odrębnie, i niezalenie od siebie, czy też zachodzą pomiędzy nimi relacje pozwalające na przyjęcie, że do uzyskania zgodności z przytoczonymi przepisami nie jest konieczne składanie trzech odrębnych oświadczeń woli.
W stosunku do każdej w przytoczonych zgód odrębne przepisy przewidują, że „nie może być ona domniemana lub dorozumiana z oświadczenia woli o innej treści”. Literalna wykładnia wyżej przytoczonych przepisów wskazywałaby, że przy takiej czynności jak wysyłanie maili zwierających np. reklamy innych podmiotów niż wysyłający, powinny być pozyskiwane trzy od siebie odrębne i niezależne oświadczenia woli, w jednym użytkownik oświadczałby, że wyraża zgodę w rozumieniu uodo, w drugim oświadczałby, ze wyraża zgodę w rozumieniu uśude, a w trzecim oświadczałby, że wyraża zgodę w rozumieniu prawa telekomunikacyjnego.
Jeżeli chodzi o rozpatrywanie możliwości połączenia zgody z uśude ze zgodą z uodo, to w tej kwestii GIODO jasno wyraził swoje stanowisko (http://www.giodo.gov.pl/pl/259/10003), przesądzając, że: „Naruszeniem prawa jest też jednoczesne pozyskiwanie zgody na przetwarzanie danych osobowych w celach marketingowych ze zgodą na otrzymywanie informacji i ofert w rozumieniu ustawy o świadczeniu usług drogą elektroniczną. Zgody na przetwarzanie danych osobowych w celach marketingowych nie można bowiem mylić ze zgodą na otrzymywanie informacji handlowych drogą elektroniczną. Są to dwie różne zgody, których uregulowanie znajduje się w dwóch różnych aktach prawnych. Konieczność pozyskiwania zgody na otrzymywanie informacji handlowych drogą elektroniczną wynika z ustawy o świadczeniu usług drogą elektroniczną. Z kolei w określonych sytuacjach, kiedy dane osobowe klientów chce się wykorzystywać w celach marketingowych, to na takie działanie należy pozyskać ich zgodę wyrażoną na podstawie ustawy o ochronie danych osobowych. I choć obie wymienione ustawy przewidują, że zgody nie można domniemywać z oświadczenia woli o innej treści, to jednak przesyłanie informacji handlowych drogą elektroniczną jest innym działaniem niż wykorzystywanie danych osobowych w celach marketingowych inną drogą, niż elektroniczna.”
Pozornie podobna jest argumentacja zwarta w NSA (I OSK 1317/11: „W przypadku sformułowania jednego oświadczenia woli zawierającego w swej treści zgodę, o której mowa w przepisach ustawy o ochronie danych osobowych oraz tą wskazaną w ustawie o świadczeniu usług drogą elektroniczną, trudno mówić o spełnieniu przez administratora danych określonego w ustawie o ochronie danych osobowych wymogu zapewnienia osobie, której dane dotyczą, swobodnego i nieskrępowanego podjęcia decyzji i wyrażenia woli w sprawie zgody na przetwarzanie jej danych osobowych. Podmiot danych wyrażając chęć otrzymywania informacji handlowych na adres poczty elektronicznej musi jednocześnie złożyć oświadczenie woli w przedmiocie zgody na przetwarzanie jego danych osobowych w celach marketingowych wynikającą z przepisów ustawy o ochronie danych osobowych. Osoba, której dane dotyczą, zainteresowana otrzymywaniem materiałów reklamowych dotyczących usług i produktów oferowanych przez inne niż administrator danych podmioty, wyłącznie tzw. „pocztą tradycyjną”, zobowiązana jest jednocześnie do wyrażenia woli na przesyłanie na jej adres poczty elektronicznej informacji handlowych.”
W przytaczanym wyroku NSA dokonano jednak rozróżnienia odnośnie kanałów komunikacji z odbiorcą, w cytowanym wyroku chodziło o dwa kanały komunikacji wykorzystywane do działań marketingowych administratora danych – tradycyjny i mailowy, użytkownik wyrażając zgodę mógł zgodzić się wyłącznie na oba te kanały jednocześnie, ponieważ zgoda nie różnicowała tych kanałów komunikacji.
Z dokonanego rozróżnienia wynika że możliwy jest wniosek, że inaczej należy interpretować sytuację, w której administrator danych zamierza pozyskiwać dane wyłącznie do jednej czynności, w postaci wysyłania wiadomości na adres poczty elektronicznej, nie wykorzystując przy tym żadnych innych kanałów komunikacji z klientem (tradycyjnego, telefonicznego, smsowego). Nie ulega wątpliwościom, że przypadku wykorzystywania do marketingu różnych kanałów komunikacji, zgoda powinna być wyodrębniona w stosunku do każdego z tych kanałów.
Jednak z utrwalonej linii orzeczniczej zarówno GIODO oraz sądów administracyjnych, a także z przyjętej do dotychczasowo praktyki wynika, że zasadą działania powinno być odrębne udzielnie zgód na przetwarzanie danych osobowych w celu marketingu bezpośredniego produktów i usług innych podmiotów niż administrator danych oraz otrzymywanie informacji handlowej na wskazany adres poczty elektronicznej, a każde odstępstwo od tej zasady, nawet w przypadku wykorzystywania wyłącznie jednego kanału komunikacji wiąże się z ryzykiem zakwestionowania prawidłowości takiego postępowania na gruncie dotychczasowych przepisów.
Przyjęcie do stosowania RODO (a tym bardziej rozporządzenia „e-privacy” w formie z projektu, gdzie definicja zgody powiązana jest z definicją z RODO) będzie oznaczało liberalizację wymogu związanego z formalnym wyodrębnianiem zgód – ponieważ zniknie przepis stanowiący, że zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści – wręcz przeciwnie, RODO w swej treści (art. 4 pkt 11) przewiduje wprost, że zgoda na przetwarzanie danych będzie mogła być udzielona „w formie oświadczenia lub wyraźnego działania potwierdzającego”, zaś w motywie 32 preambuły przywołuje się „(…)inne oświadczenie bądź zachowanie, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych.(…).
- Wzajemna relacja pomiędzy zgodami z uśude i prawa telekomunikacyjnego
Dnia 21 października 2015 roku, Prezes UKE wydał pismo stanowiące odpowiedź na zapytanie Stowarzyszenia Administratorów Bezpieczeństwa Informacji, dotyczące między innymi dopuszczalności łączenia zgody na ”używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego” oraz zgody na ,,otrzymywanie informacji handlowych drogą elektroniczną” w jednej klauzuli.
W odpowiedzi na te pytanie, Prezes UKE stwierdził:
(…)klauzule o wyrażeniu zgody znajdują swoją podstawę prawną w różnych przepisach prawa i nie mogą być stosowane zamiennie. W tym zakresie należy wyraźnie podkreślić, Że zakaz ustanowiony na mocy art. 172 ust. 1 Pt nie narusza zakazów i ograniczeń dotyczących przesyłania niezamówionej informacji handlowej wynikających z odrębnych ustaw (art. I72 ust. 2 Pt).(…)
Co samo w sobie nie zawiera żadnych przełomowych wskazówek interpretacyjnych, jest to jedynie przytoczenie treści zawartej w art. 172 prawa telekomunikacyjnego. W dalszej części pisma przytaczane jest jednak stanowisko doktryny:
(…)w przypadku uzyskiwania zgody abonenta na różne działania przedsiębiorcy telekomunikacyjnego wymagane jest wyraźne wyodrębnienie czynności objętych zgodą, które ustawodawca uregulował odrębnymi przepisami, w szczególności na przetwarzanie danych dla różnych celów” (tak. S. Piątek, Prawo telekomunikacyjne. Komentarz, Wyd. C.H. Beck, Warszawa 2013 str. 1019).(…)
W powyższym fragmencie, na który powołał się Prezes UKE wymieniono „różne działania”, „wyodrębnione czynności” oraz „przetwarzanie danych dla różnych celów” – jest to potwierdzenie tezy, że zgoda powinna być wyodrębniona dla każdej czynności, dla każdego działania, dla każdego celu – wciąż jednak nie została udzielona odpowiedź na pytanie, co w sytuacji, w której jeden cel, jedno działanie, jedna czynność (wysyłanie wiadomości z reklamą) może być rozpatrywane w kontekście trzech ustaw – inna jest sytuacja, gdy rozpatrywana jest konieczność pozyskania dwóch zgód przy dwóch odrębnych czynnościach, a inna gdy chodzi jedną czynność, do której zastosowanie mają przepisy (nakładające obowiązek pozyskania zgód) dwóch ustaw.
W ostatniej części pisma Prezesa UKE wskazano:
(…)podmiot dokonujący czynności wymagających zgody (…) użytkownika końcowego powinien uzyskać wyraźną zgodę i nie może być ona domniemana lub dorozumiana z oświadczenia woli o innej treści. Z tychże powodów za zasadny należy uznać wniosek, że zgoda (…)użytkownika końcowego na otrzymywanie informacji drogą elektroniczną jak i zgoda na używanie telekomunikacyjnych urządzeń końcowych (…) dla celów marketingu bezpośredniego powinny być udzielone w sposób, który pozwalałby na jednoznaczne rozstrzygnięcie co do faktycznej, odrębnej akceptacji po stronie tych osób możliwości dokonywania względem nich powyższych czynności(…)
O ile zarówno w orzecznictwie jak i doktrynie dominuje pogląd o absolutnej konieczności rozdzielania zgód na przetwarzanie danych osobowych i na otrzymywanie informacji handlowej drogą elektroniczną, o tyle w przypadku łączenia zgód na otrzymywanie informacji handlowej drogą elektroniczną ze zgodą wymaganą przez art. 172 prawa telekomunikacyjnego wskazuje się na ilość kanałów komunikacyjnych jako przesłankę, od której powinno się uzależniać liczbę oświadczeń woli:
(…)podmiot pozyskujący zgodę powinien zapewnić opcjonalność jej wyrażenia, co oznacza w szczególności zakaz łączenia zgód na przesyłanie komunikatów poprzez różne kanały przekazu informacji.(…) (tak: D. Wociór, Ochrona danych osobowych i informacji niejawnych z uwzględnieniem ogólnego rozporządzenia unijnego, Wyd. C.H. Beck, Warszawa 2016 str.9).
A zatem, jeżeli komunikacja związana z celem marketingowym ma być prowadzona wyłącznie przez jeden kanał przekazywania informacji, to od odbiorcy powinno się uzyskać jedną konkretną zgodę na ten kanał – niezależnie od uzyskania zgody na przetwarzanie danych osobowych w celach marketingowych, co powinno być potwierdzone odrębną zgodą.
Masz indywidualne pytanie do prawnika?
Pisz na biuro@rbdo.pl
Autor: Karol Cieniak, prawnik, Dyrektor Działu Prawnego RBDO | Specjalista ds. ochrony danych osobowychPrawo telekomunikacyjne nakłada w art. 172 obowiązek pozyskania uprzedniej zgody na abonenta lub użytkownika końcowego na użycie telekomunikacyjnego urządzenia końcowego dla celów marketingu bezpośredniego.
Copyright. Opracowanie autorskie. Wydawnictwo RBDO.PL
Wszelkie prawa zastrzeżone. Cytowanie i publikowanie bez zgody wydawcy RBDO.PL zabronione. Prośby o zgodę na wykorzystanie materiału prosimy wysyłać na adres: biuro@rbdo.pl