Ile zgód potrzeba na wysłanie e-maila marketingowego?
radca prawny Mateusz Franke, FinTaxLegal
Agenda
W gąszczu nakładających się na siebie regulacji – wadliwe wdrożenie prawa UE.
Jedna, dwie, a może trzy zgody? Podejście oparte na jednym oświadczeniu woli.
Zgoda na e-mail marketingowy a RODO – czy łączyć zgodę z prawnie uzasadnionym interesem?
Kluczowe regulacje unijne
Rozporządzenie 2016/679 (ogólne rozporządzenie o ochronie danych) Dyrektywa 2000/31/WE (dyrektywa o handlu elektronicznym)
Dyrektywa
2002/58/WEzmieniona dyrektywą
2009/136/WE(dyrektywa o prywatności i łączności elektronicznej)
Dyrektywa 2002/65/WE (dotycząca sprzedaży konsumentom usług
finansowych na odległość)E-mail marketing – opt-in w prawie unijnym
• Dyrektywa 2002/58/WE zmieniona dyrektywą 2009/136/WE:
– Artykuł 13 ust. 1: Używanie automatycznych systemów wywołujących i systemów łączności bez ludzkiej ingerencji (automatyczne urządzenia wywołujące), faksów lub poczty elektronicznej do celów marketingu bezpośredniego może być dozwolone jedynie wobec abonentów lub użytkowników, którzy uprzednio wyrazili na to zgodę.
– Art. 13 ust. 2: wyjątek od obowiązku uzyskania zgody: tzw. soft opt-in w odniesieniu do istniejących relacji klienckich możliwość marketingu e-mailowego własnych produktów lub usług bez zgody klienta.
– Art. 2 lit. f: „zgoda” użytkownika lub abonenta odpowiada zgodzie podmiotu danych określonej w dyrektywie 95/46/WE (obecnie RODO – zob. art. 94 ust. 2) – uwaga na wymogi z art. 4 pkt 11 i art. 7 RODO!
– Ochrona dotyczy osób fizycznych (art. 13 ust. 5).
Zgoda na e-mail marketing w prawie UE
Dyrektywa 2000/31 (dyrektywa o handlu
elektronicznym)
Dyrektywa 2002/58 zmieniona dyrektywą 2009/136 (dyrektywa o prywatności i
łączności elektronicznej
Dyrektywa 2002/65 (sprzedaż usług finansowych na
odległość) poczta
elektroniczna (e-mail, SMS, MMS itp.)
opt-out (sprzeciw) jako minimalny poziom ochrony przed niezamówionymi informacjami handlowymi („listy Robinsonów”)
opt-in (uprzednia zgoda) i
wyjątkowo soft-opt-in (sprzeciw) dotyczące używania dla celów marketingu bezpośredniego
opt-in (uprzednia zgoda) albo opt-out (sprzeciw) – wybór państw członkowskich
kto jest chroniony
osoby fizyczne osoby fizyczne
(abonenci/użytkownicy)
osoby fizyczne (konsumenci) ochrona
podmiotów innych niż osoby fizyczne (np. spółek)
- ochrona uzasadnionych
interesów w związku z uciążliwymi komunikatami
(sposób ochrony w gestii państw członkowskich)
-
Ustawa o świadczeniu usług drogą elektroniczną
• Art. 10 UŚUDE (nominalnie implementuje dyrektywę 2000/31/WE)
– Zakaz przesyłania niezamówionej informacji handlowej skierowanej do odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej
– Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny
• Art. 4: do uzyskania zgody stosuje się przepisy o ochronie danych osobowych
• Środki komunikacji elektronicznej (art. 2 pkt 5): rozwiązania techniczne, w tym urządzenia teleinformatyczne i współpracujące z nimi narzędzia programowe, umożliwiające indywidualne porozumiewanie się na odległość przy wykorzystaniu transmisji danych między systemami teleinformatycznymi, a w szczególności poczta elektroniczna
Prawo telekomunikacyjne
• Art. 172 PT (nominalnie implementuje dyrektywę 2002/58/WE i 2002/65/WE):
– Zakaz używania telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.
– Powyższy zakaz „nie narusza zakazów i ograniczeń dotyczących przesyłania niezamówionej informacji handlowej wynikających z odrębnych ustaw” (UŚUDE)
• Art. 174: „Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.”
• Telekomunikacyjne urządzenie końcowe (art. 2 pkt 43 PT): „urządzenie telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci”
Zgoda na e-mail marketing w prawie polskim
UŚUDE Prawo telekomunikacyjne
model ochrony opt-in (zgoda) opt-in (zgoda)
kto jest chroniony? osoby fizyczne wszyscy użytkownicy i abonenci (osoby fizyczne, prawne i inne podmioty)
jakich działań dotyczy?
wysyłanie informacji handlowej marketing bezpośredni
jakich narzędzi komunikacji dotyczy?
środki komunikacji
elektronicznej, w szczególności poczta elektroniczna (e-mail, SMS/MMS, komunikatory internetowe itp.)
automatyczne systemy wywołujące, telekomunikacyjne urządzenia
końcowe (np. telefon, faks, tablet, komputer, konsola itp.)
Problemy e-mail marketingu w Polsce
• Nakładające się na siebie przepisy:
– Art. 10 UŚUDE i art. 172 PT nakładają się na siebie w zakresie e-maili, SMS, MMS i innych podobnych środków, stanowiących w prawie unijnym pocztę elektroniczną.
• Wielość regulatorów:
– W zakresie RODO – Prezes UODO
– W zakresie Prawa telekomunikacyjnego – Prezes UKE – W zakresie ochrony konsumentów – Prezes UOKiK
• wypowiedzi Ministerstwa Cyfryzacji (nie jest to „oficjalny regulator”)
• Brak jasności odnośnie do podstawy przetwarzania danych osobowych – zgoda czy prawnie uzasadniony interes?
• Chaos terminologiczny i trudności w wykonaniu obowiązków
informacyjnych.
E-mail marketing a RODO
Możliwe podstawy prawne przetwarzania danych osobowych w celu wysyłki e-mailingu marketingowego:
Zgoda Prawnie uzasadniony interes
Art. 6 ust. 1 lit. a RODO
• dobrowolna
• konkretna
• świadoma
• jednoznaczna
• odwołalna
• należycie poinformowana
Art. 6 ust. 1 lit. f RODO
• motyw 44: „Za działanie wykonywane w prawnie
uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.”
• prawo do sprzeciwu wobec
marketingu bezpośredniego (art. 21 ust. 2-3)
• podobieństwo do soft opt-in z dyrektywy 2002/58/WE
Jedna, dwie a może trzy zgody?
• Dawne stanowisko GIODO: zakaz łączenia zgody na przetwarzanie danych osobowych dla celów marketingowych ze zgodą na otrzymywanie informacji handlowych.
• Podejście Prezesa UKE: pojęcie automatycznych systemów wywołujących obejmuje nie tylko systemy głosowe, ale także narzędzia do automatycznej wysyłki SMS, MMS, faksów czy e-maili.
– Dodatkowa zgoda z art. 172 PT, jeśli e-mail jest rozsyłany przez automat?
• Brak jednolitej praktyki
– spotyka się nawet 3 osobne zgody „w pakiecie” (RODO, art. 10 UŚUDE, art. 172 PT)
Czy łączyć zgodę na e-mail marketing z prawnie uzasadnionym interesem?
• Ministerstwo Cyfryzacji (RODO – Poradnik dla sektora fintech, 2018 r.):
zgoda z art. 10 UŚUDE/art. 172 PT jest „łącznikiem” pozwalającym powołać się na prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) w przetwarzaniu danych osobowych w celu wysyłki e-maila (SMS/MMS itp.) marketingowego.
– Czy takie podejście naprawdę jest przejrzyste?
• ICO: „Jeśli uzyskałeś zgodę zgodnie z PECR [ustawa wdrażająca Dyrektywę 2002/58 w Zjednoczonym Królestwie], zgoda jest również najwłaściwszą podstawą przetwarzania w myśl RODO. Próba zastosowania innej podstawy prawnej, takiej jak uzasadniony interes, gdy masz już zgodę spełniającą wymogi RODO, byłaby działaniem całkowicie niepotrzebnym, mogącym spowodować dezorientację użytkowników.”
Koncepcja jednego oświadczenia woli (jednej zgody)
• Jeśli wysyłka e-maila marketingowego podlega łącznie kilku regulacjom (w tym UŚUDE i PT), to nie jest konieczne odbieranie odrębnych zgód dotyczących każdej z tych regulacji.
• Zgoda na otrzymywanie e-mailingu marketingowego jest jednym oświadczeniem woli osoby, która tej zgody udziela.
– Jedno oświadczenie, podlegające łącznie kilku regulacjom (RODO, UŚUDE, PT).
– Jeden cel – marketing bezpośredni za pomocą konkretnego kanału komunikacji (e-mail).
– Kluczowa jest wola osoby i spełnienie standardów zgody z RODO, a nie użycie skomplikowanej terminologii prawnej z poszczególnych ustaw (prosty, zrozumiały język).
• Zgoda na e-mail marketing obejmująca zgodę na przetwarzanie danych osobowych (np. adres e-mail) niezbędnych do wysyłki komunikacji.
• Koncepcja jednej zgody, a obowiązki informacyjne i prawa osób, których dane dotyczą.
Dziękuję za uwagę
Mateusz Franke, radca prawny mateusz.franke@fintaxlegal.com