Jeśli administrator jest w stanie zidentyfikować danego usługobiorcę, a ten nie życzył sobie takiego profilowania, to przetwarzanie danych osobowych w celach marketingowych jest zakazane. Tak orzekł Naczelny Sąd Administracyjny.
DGP
Klient, który nie zgodził się na przetwarzanie danych osobowych na potrzeby marketingu bezpośredniego (bądź cofnął taką zgodę), po zalogowaniu się na swoje konto u danego przedsiębiorcy nie powinien widzieć żadnych reklam. I to nawet wtedy, gdy są one niesprofilowane, a więc nie są adresowane konkretnie do niego, ale do ogółu klientów. Nie można mu więc wyświetlać nie tylko banerów zachęcających go np. do skorzystania z dodatkowej oferty danego usługodawcy, lecz także jakichkolwiek innych reklam.
Wyrok, w którym NSA rozpatrywał skargę na decyzję organu nadzorczego ds. ochrony danych osobowych nakazującą zaprzestanie przetwarzania danych osobowych abonenta kablówki, zapadł jeszcze na kanwie poprzednio obowiązującej ustawy o ochronie danych osobowych. Ale zdaniem prawników nadal jest ważny (RODO niewiele bowiem zmieniło w zakresie skutków sprzeciwu osoby fizycznej wobec przetwarzania danych osobowych w celach marketingu bezpośredniego). Dotyczy szerokiego kręgu firm – banków, ubezpieczycieli, dostawców prądu, internetu, telewizji kablowej, a także innych przedsiębiorców, którzy realizując jakąś usługę, oferują jednocześnie klientom dostęp do spersonalizowanego konta elektronicznego. Nie ma przy tym znaczenia, że wyświetlany baner reklamowy nie jest w żaden sposób spersonalizowany, tylko wyświetlany wszystkim zalogowanym i niezalogowanym internautom.
Są jednak eksperci, dla których wyrok jest kontrowersyjny. O tym, że NSA poszedł zbyt daleko i niesprawiedliwie potraktował przedsiębiorcę, przekonana jest Izabela Kowalczuk-Pakuła, partner w polskim biurze Bird & Bird, kierująca praktyką ochrony prywatności i danych osobowych. Jej zdaniem, skoro baner reklamowy w portalu usługodawcy był jednakowy dla wszystkich jego użytkowników – zarówno przed, jak i po zalogowaniu się – to trudno mówić, że portal przetwarzał dane osobowe klienta w celach marketingowych.
Pocieszeniem dla przedsiębiorców jest to, że NSA wyraźnie wskazał, iż jeżeli administrator nie jest w stanie wskazać tożsamości danego użytkownika i tym samym zweryfikować, czy sprzeciwił się on wyświetlaniu reklam, to wtedy prezentowanie baneru nie stanowi przetwarzania danych osobowych. Piotr Liwszic, specjalista ds. ochrony danych w spółce ODO 24, mówi, że to dobra wiadomość np. dla portali informacyjnych, które zajmują się wyświetlaniem internautom sprofilowanych reklam. Z kolei dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński, dodaje, że orzeczenie nie będzie dotyczyło także portali społecznościowych, w których, co prawda, użytkownik jest możliwy do zidentyfikowania, ale zakładając konto w serwisie, wyraził zgodę na prezentowanie reklam. – Wycofanie tej zgody może zaś skutkować likwidacją konta użytkownika przez administratora – wyjaśnia dr Paweł Litwiński.
Klienci, którzy walczą z niechcianymi reklamami, zyskali silny oręż. Chodzi o niedawno opublikowane uzasadnienie do wyroku Naczelnego Sądu Administracyjnego z 14 marca 2019 r. (sygn. akt I OSK 1090/17), z którego wynika, że klientowi po zalogowaniu się w danym serwisie, który wcześniej cofnął zgodę na przetwarzanie danych osobowych w celach marketingowych, nie można wyświetlać żadnych reklam ‒ nawet takich, które nie są pod niego profilowane.
Wyrok zapadł w odpowiedzi na skargę dostawcy internetu na decyzję generalnego inspektora ochrony danych osobowych (dziś jest to już Urząd Ochrony Danych Osobowych) wydaną jeszcze na kanwie poprzednich przepisów o ochronie danych osobowych. Sprawa miała początek jeszcze w 2012 r. Klient popularnej sieci kablowej cofnął zgodę na przetwarzanie danych marketingowych. Mimo to, gdy logował się na swój profil, widział baner reklamowy o treści: „Nie masz jeszcze dekodera? Zadzwoń”. Poskarżył się w końcu do GIODO. Ten zaś przyznał mu rację. Uznał bowiem, że otrzymywanie, po zalogowaniu do systemu obsługi klienta, komunikatów marketingowych oraz baneru reklamowego oznacza, że firma nadal przetwarza jego dane.
Spółka w odpowiedzi argumentowała, że abonent nie jest w żaden sposób profilowany, bo wyświetlana mu po zalogowaniu reklama jest „taka sama dla wszystkich”, i że nie kontaktowano się z nim w celach marketingowych ani przy pomocy poczty elektronicznej, ani listownie, ani telefonicznie. Ostatecznie spór trafił do NSA. Ten odparł argumenty kablówki, wskazując, że „jeżeli po zalogowaniu do indywidualnego konta (przypisanego konkretnej osobie) klient ma możliwość zapoznania się z reklamą, to rzeczywiście świadczy to o wykorzystywaniu jego danych osobowych w celach marketingowych, co w przypadku złożenia sprzeciwu nie powinno mieć miejsca”.

Istotne także na gruncie RODO

Zdaniem ekspertów wyrok, choć wydano go na podstawie starych przepisów, jest istotny także na gruncie obowiązującej ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) oraz rozporządzenia RODO. ‒ Niewiele się zmieniło w stanie prawnym, jeżeli chodzi o składanie sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych – wyjaśnia Olgierd Rudak, prawnik oraz redaktor naczelny czasopisma „Lege Artis”. Jego słowa potwierdza Piotr Liwszic, specjalista ds. ochrony danych w spółce ODO 24. Zdaniem eksperta słuszna jest teza NSA, że złożenie sprzeciwu wobec przetwarzania danych osobowych na potrzeby marketingu bezpośredniego obliguje administratora do zaprzestania przetwarzania danych osobowych użytkownika. W konsekwencji oznacza to, że nie powinien on otrzymywać od takiego podmiotu żadnych treści reklamowych w jakiejkolwiek formie. ‒ Jeśli użytkownik zalogował się loginem i hasłem, a administrator może go zidentyfikować, to nie widzę możliwości, aby wyświetlać mu reklamy po złożonym sprzeciwie dotyczącym takiego celu – wskazuje Piotr Liwszic.

Ważne dla usługodawców

Dla kogo ten wyrok jest istotny? Przede wszystkim dla przedsiębiorców świadczących klientom jakąś usługę i udostępniających im, po zalogowaniu, serwis do zarządzania tą usługą. Przykładowo może to być bank, firma ubezpieczeniowa, dostawca prądu, telewizji kablowej. Jeżeli więc np. klient kablówki uprzednio sprzeciwił się marketingowi bezpośredniemu (nie zaznaczył odpowiedniego pola w umowie bądź cofnął uprzednio wydaną zgodę), to – zdaniem NSA ‒ logując się swoim numerem abonenta do serwisu, nie powinien widzieć ani banerów reklamowych konkretnego kanału telewizyjnego, którego jeszcze nie ma w swoim pakiecie, ani też żadnej innej reklamy. Co ciekawe dotyczy to nie tylko reklam własnych, ale również reklam innych firm.
Przedsiębiorcom, którzy się do tego nie zastosują, grożą wysokie kary. – Motywacją dla operatorów portali czy też banków, by szanowały wolę klienta w sprawie wyświetlania reklam, jest na pewno możliwość nałożenia na nich administracyjnej kary pieniężnej w najwyższym możliwym zakresie – wskazuje Piotr Liwszic. Naruszenie przepisów RODO w odniesieniu do praw osób, których dane dotyczą, a więc m.in. prawa do sprzeciwu wobec przetwarzania danych osobowych w celach marketingu bezpośredniego, może skutkować karą 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego lub 20 mln euro.

Za daleko?

Niektórzy eksperci uważają jednak, że NSA poszedł w swoim wyroku za daleko. Izabela Kowalczuk-Pakuła, partner w polskim biurze Bird & Bird, kierująca praktyką ochrony prywatności i danych osobowych, wskazuje, że stan faktyczny orzeczenia sprowadza się do pytania, czy portal wyświetlający baner reklamowy przetwarza dane osobowe. Sąd uznał w komentowanej sprawie, że takie przetwarzanie ma zawsze miejsce. ‒ To zależy jednak od procesów przetwarzania. Bo jeśli portal kieruje konkretną reklamę do użytkownika lub grupy użytkowników na podstawie profilu tych użytkowników, to takiemu portalowi trudno będzie argumentować, że nie przetwarza danych osobowych do celów reklamowych. Ale jeśli ten sam baner reklamowy jest wyświetlany niezależnie od profilu użytkownika, to wbrew tezie orzeczenia próbowałabym argumentować, że portal nie przetwarza danych osobowych – mówi mec. Izabela Kowalczuk-Pakuła.

Pytanie o cookies – na razie bez odpowiedzi

Olgierd Rudak przyznaje, że wiele serwisów zarabiających na reklamach ma dylemat, czy ciasteczka (ang. cookies, czyli pliki zapisywane na urządzeniu użytkownika końcowego, służące do śledzenia jego zachowania w sieci) nie umożliwiają w pewnym stopniu identyfikacji użytkownika. Sprawę skomplikowała ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia RODO (Dz.U. poz. 730), która znowelizowała kilkaset ustaw, w tym ustawę z 16 lipca 2004 r. ‒ Prawo telekomunikacyjne (t.j. Dz.U. z 2018 r. poz. 1954 ze zm.). Znowelizowany art. 4 tej ostatniej ustawy brzmi tak: „jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych”. W art. 174 dotyczącym uzyskania zgody na marketing bezpośredni czytamy zaś: „Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych”.
Piotr Liwszic uspokaja. Wskazuje, że o tym, czy ciasteczka należy uznać za środek umożliwiający identyfikację osoby, przesądzi zasadniczo rozporządzenie ePirivacy. Tymczasem w Brukseli prace nad nim spowolniły. – Wciąż trwają bezowocne dyskusje nad ostatecznym kształtem przepisów, a pod obrady dopiero trafiła nowa wersja rozporządzenia – mówi. Zatem na razie administratorzy powinni literalnie czytać przepisy prawa telekomunikacyjnego. Te zaś w art. 173 ust. 2 stanowią, że abonent lub użytkownik końcowy może wyrazić zgodę na zainstalowanie ciasteczek za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. – Jeżeli więc użytkownik jest odpowiednio poinformowany o fakcie, że strona przetwarza pliki cookies, oraz ma możliwość wyłączenia tych plików, które nie są niezbędne do funkcjonowania serwisu, a także nie modyfikuje w tym celu ustawień swojej przeglądarki internetowej, to administratorzy nie powinni mieć obecnie powodów do obaw – twierdzi Piotr Liwszic.

Niektórzy są bezpieczni

Na koniec mamy dobrą wiadomość dla portali, z których można korzystać bez logowania. Wygląda bowiem na to, że serwisów, które utrzymują się z wyświetlania reklam, np. portali informacyjnych, opisywany wyrok nie dotyczy. Jak wskazuje bowiem mec. Izabela Kowalczuk-Pakuła, sąd przesądził, że bez zalogowania dane są przetwarzane anonimowo. – Jeśli administrator nie jest w stanie ustalić tożsamości klienta (czyli gdy jest on anonimowy), to nie jest w stanie powiązać anonimowej osoby ze złożonym sprzeciwem – potwierdza Piotr Liwszic.
To niejedyny przypadek
Warto wspomnieć, że to nie pierwsze orzeczenie sądu, które idzie w podobnym kierunku. ‒ NSA w wyroku z 5 grudnia 2018 r. (sygn. akt I OSK 53/17) stwierdził np., że jeśli klient banku złożył sprzeciwu w zakresie marketingu bezpośredniego, to po zalogowaniu się przez niego do internetowego systemu transakcyjnego niedopuszczalne jest wyświetlanie mu informacji o możliwych nowych produktach w osobnej zakładce – przypomina Piotr Liwszic. Co więcej, sąd stwierdził, że dla stwierdzenia, że dochodziło do działań marketingowych, nie jest w tym przypadku istotne, iż możliwość zapoznania się przez klienta z informacjami reklamowymi pojawiała się dopiero po kliknięciu we wskazaną zakładkę. NSA wskazał także, że złożony przez klienta sprzeciw oznacza, iż w całym systemie internetowego konta bankowego klient nie powinien otrzymywać jakichkolwiek informacji marketingowych.
Jako ciekawostkę można też przytoczyć wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 16 czerwca 2010 r. (sygn. akt II SA/Wa 556/10), w którym stwierdzono, że wyświetlenie komunikatu o możliwości wygrania auta po zalogowaniu się użytkownika na konto bankowe, po złożeniu sprzeciwu wobec przetwarzania danych osobowych w celach marketingu bezpośredniego, jest niezgodne z obowiązującymi przepisami, gdyż bank wie do kogo należy konto i jest zobowiązany do niewyświetlania tej konkretnej osobie reklam.

opinia eksperta

Media społecznościowe nie muszą się obawiać

Opisywany wyrok NSA oznacza, że na portalach posiadających możliwość zalogowania się, jeśli użytkownik wyraził uprzednio sprzeciw wobec przetwarzania jego danych w celach marketingowych, nie można mu wyświetlać żadnych reklam. To istotne dla tych usługodawców, którzy mają umowę na świadczenie klientowi konkretnej usługi, a wyświetlanie reklam wiąże się bezpośrednio z celem marketingu bezpośredniego.
Co jednak warte podkreślenia, ta zasada nie będzie się tyczyła mediów społecznościowych, które zarabiają na reklamach, bo przetwarzanie danych osobowych w celach marketingowych stanowi dla nich uzasadniony interes administratora. Najczęściej mają one też zgody na prezentowanie reklam i wycofanie takich zgód oznaczać będzie likwidację konta. W mojej ocenie – jeżeli tego typu serwisy chcą pozostać darmowe – to nie ma w ich przypadku innej opcji niż żądanie zapłaty danymi osobowymi od użytkownika.
Coraz częściej właściciele portali zastanawiają się, czy pliki cookies również umożliwiają identyfikację konkretnego użytkownika. I gdybają, czy mogą wyświetlać reklamy użytkownikom, którzy nie wyrazili wyraźnej zgody na zapisywanie w urządzeniu końcowym plików cookies i korzystanie z informacji przez nie zbieranych. Tym samym zaczynają obawiać się poglądu, że serwis zarabiający na reklamach rzeczywiście może oczekiwać od internautów zapłaty danymi. To kwestia, która jest jednak kontrowersyjna – ze względu na wciąż niejasne w tym zakresie przepisy RODO i trudno ją będzie rozstrzygnąć, dopóki nie zostanie przyjęte rozporządzenie ePrivacy.