Wykonywanie połączeń na numer wygenerowany losowo przez komputer nie stanowi przetwarzania danych osobowych. Ale mimo to trzeba wziąć pod uwagę przepisy prawa telekomunikacyjnego.
„Dzień dobry, informuję, że wygrał pan odkurzacz. Może go Pan odebrać w pana mieście. Czy mógłby pan powiedzieć, do jakiej miejscowości się dodzwoniłem?” – tak mniej więcej zaczynają rozmowy niektórzy telemarketerzy. Konsumenci skarżą się nam, że podobnych połączeń odbierają w ostatnim czasie coraz więcej. Gdy pytają, skąd dzwoniący mają numer, ci odpowiadają spokojnym tonem, że wygenerował go losowo komputer. Identyczne wyjaśnienie podaje coraz więcej firm.
Przedsiębiorcy z branży marketingowej są przekonani, że znaleźli lukę pozwalającą ominąć przepisy unijnego rozporządzenia o ochronie danych osobowych (RODO). Idąc ich tokiem rozumowania: skoro numer jest generowany przez komputer – to nie ma danych osobowych i nie ma ich przetwarzania. A skoro tak, to mogą zadzwonić bez uzyskania zgody osoby zainteresowanej, a rozmowę potraktować jako okazję do jej zdobycia.
Zgodność z RODO
Eksperci w większości zgodnie przyznają: faktycznie, jeżeli numer wygenerowano losowo, to na tym etapie nie mamy jeszcze do czynienia z danymi osobowymi. – Takie połączenie na losowo wygenerowany numer nie stanowi przetwarzania danych osobowych i jako takie nie podlega w ogóle RODO – twierdzi dr Paweł Litwiński, adwokat z kancelarii Barta Litwiński, związany z Instytutem Allerhanda. Wtóruje mu adwokat Dominik Jędrzejko, partner w Kancelarii Kaszubiak Jędrzejko i autor bloga NieuczciwePraktykiRynkowe.pl. Według niego, jeżeli wygenerowany numer nie prowadzi do ustalenia tożsamości abonenta (jest przetwarzany anonimowo), to trudno mówić np. o konieczności realizacji obowiązku informacyjnego z RODO. – W przeciwnym razie musielibyśmy dojść do wniosku, że zapisanie na kartce papieru dowolnego numeru, np. dziewięciocyfrowego, zmusza przedsiębiorcę do poszukiwania potencjalnego abonenta, by zgodnie z wymogami RODO dostarczyć mu klauzulę informacyjną. W mojej ocenie kontakt na taki numer w celu ustalenia, czy jego użytkownik wyraża zgodę na przekazywanie informacji handlowej, powinien być dopuszczalny. Podobnie jak ewentualne utrwalenie tej zgody – wyjaśnia mec. Jędrzejko.
Pamiętać o detalach
Jednak korzystając z tej metody, trzeba pamiętać o kilku kwestiach. Katarzyna Klimczak, radca prawny z kancelarii prawnej Wierzbowski Eversheds Sutherland, podkreśla, że od chwili kiedy telemarketer zaczyna rozmawiać z klientem, ten wygenerowany losowo ciąg liczb także może przeobrazić się w dane osobowe. Telemarketer w rozmowie uzyskuje np. dane o płci, adresie zamieszkania. A zatem, o ile samo wygenerowanie losowo numeru niepowiązanego z dodatkowymi informacjami nie podlega RODO, to sama rozmowa i zbierane na jej podstawie informacje – już tak. – To oznacza, że telemarketer na wstępie rozmowy powinien spełnić obowiązek informacyjny z RODO, m.in. mówiąc o tym, kto jest administratorem danych i w jakim celu są one przetwarzane. Musi również respektować prawa osoby fizycznej, np. do wyrażenia sprzeciwu wobec tego przetwarzania – mówi mec. Klimczak.
Adwokat Monika Hughes z kancelarii Wierzbowski Eversheds Sutherland dodaje, że istotne jest to, czy przedsiębiorca faktycznie nie ma bazy. Jeżeli jedynie twierdzi, że numer wygenerował, a w praktyce korzysta z bazy, w której zgromadził także inne informacje o osobie fizycznej, to w istocie przetwarza jej dane osobowe. Aby zatem mógł się z nią kontaktować, potrzebuje ku temu podstawy prawnej. Może to być np. zgoda osoby fizycznej bądź uzasadniony interes administratora (art. 6 ust. 1 RODO).
Kontrowersyjna uprzedniość
Ale jest jeszcze inny przepis, o który potknąć mogą się firmy telemarketingowe. Chodzi o art. 172 ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (t.j. Dz.U. z 2017 r. poz. 1907 ze zm.; dalej: u.p.t.). O jego interpretację od lat toczą się batalie pomiędzy przedsiębiorcami (i ich prawnikami) a organami nadzorczymi. Przepis ten w ust. 1 stanowi, że „zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę”. I tutaj toczy się spór o to, co oznacza termin „uprzednia zgoda”.
Stanowiska interpretacyjne są dwa. Pierwsze zakłada, że o zgodę na zaprezentowanie oferty marketingowej można zapytać podczas tej samej rozmowy. Zwolennicy tej intepretacji uważają, że można zadzwonić też pod innym pretekstem (czyli w celu niemarketingowym). Najczęściej w praktyce wykorzystuje się pretekst w postaci informacji o wygranej (którą klient odbiera potem na specjalnym pokazie, w praktyce stanowiącym próbę sprzedaży bezpośredniej).
Odmienną interpretację stosuje Urząd Ochrony Konkurencji i Konsumentów (UOKiK). Uważa, że jeżeli przedsiębiorca chce zaprezentować ofertę przez telefon, to bezwzględnie musi już przed wykonaniem połączenia mieć zgodę konsumenta na kontakt w celach marketingu bezpośredniego.
Spór trwa. Wielu prawników wskazuje, że choć intencja twórców przepisu faktycznie mogła stawiać interes konsumenta ponad interesy przedsiębiorców, to jednak brzmienie art. 172 u.p.t. jest niejasne i można je interpretować na korzyść firm. – Sam kontakt telemarketingowy w celu ustalenia zgody na ewentualne przekazywanie informacji handlowych powinien być zatem dopuszczalny i nie narusza on 172 u.p.t. Ale nawet wtedy, zgodnie z art. 174 u.p.t., sprzeciw konsumenta co do kontaktu musi być uszanowany zawsze, o ile nie wiąże się z celem takim jak np. konieczność windykacji należności – podkreśla mec. Jędrzejko.
Zmierzch call center
Eksperci zaznaczają: najbezpieczniejszym rozwiązaniem jest kontaktowanie się tylko z tymi konsumentami, których zgody przedsiębiorca posiada albo gdy ma inną podstawę prawną przetwarzania ich danych. Przyjmowanie liberalnych interpretacji zawsze będzie ryzykowne.
I rzeczywiście, Urząd Ochrony Danych Osobowych w rozmowie z nami zapowiada przeprowadzenie działań mających doprowadzić do tego, aby osoby fizyczne nie były nękane niechcianymi ofertami i niepokojone telefonami, na które nie wyraziły zgody. Przedstawiciele UODO nie chcą jednak zdradzić szczegółów. [stanowisko]
Stanowisko Urzędu Ochrony Danych Osobowych z 27 czerwca 2018 r.
W opinii organu ds. ochrony danych osobowych numer telefonu należy uważać za dane osobowe. Zgodnie bowiem z definicją tego pojęcia są to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Zatem wykorzystując go, przestrzegać należy m.in. przysługującego każdemu z nas prawa do ochrony naszych danych osobowych. Niezależnie od tego firmy kontaktujące się z nami w celu przedstawienia oferty handlowej muszą też respektować postanowienia art. 172 prawa telekomunikacyjnego. W praktyce bywa z tym jednak różnie, a do organu nadzorczego wciąż docierają sygnały świadczące o naruszaniu praw klientów. Dlatego prezes UODO planuje podjęcie w najbliższym czasie kompleksowych działań mających doprowadzić do tego, byśmy przestali być nękani niechcianymi ofertami i niepokojeni telefonami, na które nie wyrażaliśmy zgody. Na tym etapie jest jeszcze za wcześnie, by mówić o konkretach. Wszystkie szczegóły planowanych działań są właśnie doprecyzowywane. Gdy tylko będą ustalone, zostaną przekazane opinii publicznej, w tym mediom. Jednocześnie warto podkreślić, że ogólne rozporządzenie o ochronie danych (RODO) ciężar odpowiedzialności za przetwarzanie danych zgodnie z prawem przenosi na administratora. Zatem jeśli poskarżymy się na stosowane przez niego metody marketingowe, to musi on udowodnić, że ma prawo, by się z nami kontaktować.
Także UOKiK informuje, że do końca tego roku zakończy prowadzone od 2015 r. postępowanie w sprawie spółki Radika Polska SA (wcześniej Philipiak Polska SA). Malwina Buszko z biura prasowego UOKiK tłumaczy, że sprawa trwa tak długo, ponieważ jej wynik będzie miał istotne znaczenie dla rynku, w związku z czym konieczna jest wnikliwa analiza. – Urząd otrzymywał sygnały, że konsumenci, którzy nie wyrazili uprzedniej zgody na kontakt w celach sprzedażowych, otrzymywali telefoniczne zaproszenia na pokazy naczyń do gotowania. Sprawdzamy, czy mogło dojść do naruszenia zbiorowych interesów konsumentów. Jeśli zarzuty się potwierdzą, spółce może grozić kara do 10 proc. obrotów – mówi Malwina Buszko i przypomina, że postępowanie w podobnej sprawie toczy się również wobec firmy Netia SA.
Mecenas Monika Hughes zauważa, że kontrowersje związane zarówno z RODO, jak i u.p.t. mogą zostać w niedługim czasie zastąpione interpretacjami projektowanego właśnie tzw. unijnego rozporządzenia e-Privacy. Będzie ono m.in. regulować kwestię uzyskiwania zgód na kontakt z konsumentami w celach marketingowych.
Po interwencji UOKiK i UODO oraz implementacji dyrektywy e-Privacy większość firm będzie musiała poszukać nowych pomysłów na dalszą działalność. Według ekspertów może się wówczas rozwinąć rynek baz danych zgodnych z RODO i e-Privacy, które będą umożliwiały kontakt z konsumentami.