FreshMail.pl

Tekst dotyczyć będzie relacji pojęć uzasadniony interes oraz zgoda na przetwarzanie danych osobowych jako dwie konkurencyjne i alternatywne podstawy do przetwarzania danych osobowych. Na przykładach praktycznych pochodzących ze świata offline i online.

3 miesiące do RODO – kluczowe problemy

Do 25 maja 2018 r. i rozpoczęcia stosowania RODO pozostało 11 tygodni. Nie dziwi więc, że kolejne podmioty zaczynają zbierać na nowo różnego rodzaju zgody: marketingowe, na przekazywanie danych czy też np. na transfer poza EOG. To, co może wydawać się proste i oczywiste – czyli same zgody – jest w istocie dość skomplikowanym mechanizmem prawnym. Ponieważ wiele osób i organizacji skupia na nich szczególną uwagę, chcielibyśmy rozpocząć dyskusję, jak i kiedy je zbierać robić.

Zgoda czy uzasadniony interes – tu mnie ma prostych rozwiązań

Nie proponujemy żadnej prostej recepty ani tym bardziej tajemnej wiedzy. Mamy natomiast sporo takich przypadków w praktyce, sporo przemyśleń i przekonanie, że wymiana wiedzy jest konieczna. Będziemy operować na zdarzeniach i klauzulach zauważonych na rynku, w szczególności w Internecie. Z góry bardzo wyraźnie zaznaczamy – nie jest naszym celem krytyka żadnego konkretnego rozwiązania.  Krytykować można tych, co nic nie robią, aktywnych należy chwalić i wspierać. Wolimy dyskutować na prawdziwych przykładach, bardziej plastycznych i ukazujących istotę zadania..

Zgody marketingowe RODO w praktyce – case Tauron i Wirtualnej Polski

Pierwszym spektakularnym przypadkiem zbierania zgód była akcja wysyłkowa Tauronu. Biorąc jednak pod uwagę zainteresowanie GIODO akcją energetyków, widać jak wiele problemów może to przysporzyć.

Kolejny warty odnotowania przykład to Wirtualna Polska. Przykład o tyle ciekawy, że chyba każdy z nas natknął się na komunikaty WP. Od początku marca w swoich serwisach jako pierwszy z dużych wydawców internetowych WP rozpoczęła testy banera wyjaśniającego mechanizmy RODO i zbierającego zgody użytkowników portalu. Inicjatywa jest bardzo zacna, a fakt jej podjęcia zasługuje na pełne uznanie. Niestety, samo wykonanie pozostawia wiele kluczowych pytań RODO wciąż bez odpowiedzi.

ZAKRES ZGODY

Po pierwsze, nie bardzo wiadomo, na co zbierana jest zgoda. Komunikat zaczyna się od słów „Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie zgody”. I od razu pytanie – czy można odmówić, a nie tylko kliknąć „nie teraz”?

Czytajmy dalej: komunikat dotyczy „przetwarzania (…) danych osobowych zbieranych w ramach korzystania (…) ze stron internetowych, serwisów i innych funkcjonalności Wirtualnej Polski, w tym zapisywanych w plikach cookies”. Nie jest to więc tzw. zgoda na cookies (art. 173 PT), a jedynie zgoda wynikająca z RODO.

Zgoda? Dualizm RODO i Prawa Telekomunikacyjnego

Trudno powiedzieć, czy zgoda na cookies będzie przez WP zbierana i w jaki sposób – z obecnego modelu to nie wynika. A przecież zgodnie z wymogami prawa zbierana być powinna. Nie rozwiązano więc jednego z głównych problemów, dualizmu przepisów RODO oraz Prawa Telekomunikacyjnego, z którym prawnicy i branża internetowa mierzą się od jakiegoś czasu.

Łączne zbieranie wielu zgód (rozłączność zgód i dobrowolność)

Po drugie, wątpliwe jest łączenie wielu zgód. Wg komunikatu zgody zbierane są na rzecz: (1) WP Holding SA, (2) spółek powiązanych z WP Holding SA oraz (3) „Zaufanych Partnerów” (kimkolwiek oni są – nie zostali bowiem nigdzie zdefiniowani).

GIODO wielokrotnie kwestionował sam fakt łącznego zbierania zgód. RODO niewiele tu zmienia – również tu jest to co najmniej wątpliwe (kwestia dobrowolności zgody). Wątpliwości wywołuje też zbieranie zgód dla wszystkich podmiotów z Grupy WP.  Takie działanie jest bardzo rzadko uzasadnione we wszystkich spółkach dużych grup kapitałowych. W praktyce użytkownik nie ma tu żadnej swobody. Nie może udzielić zgody wyłącznie jednemu lub kilku podmiotom, obowiązuje zasada „wszystkim albo nikomu”. Dlatego właśnie to rozwiązanie jest bardzo dyskusyjne, bo sprzeczne z istotą autonomii woli.

Uzasadniony interes czy zgoda RODO?

Po trzecie, klauzula zgody dotyczy różnych celów przetwarzania danych osobowych: celu marketingowego (wydaje się, że tzw. „marketingu cudzego”, choć nie jest to oczywiste) oraz celu analitycznego.

Przewagi praktyczne uzasadnionego interesu nad zgodami

Zastanawia nas, dlaczego WP wybrała zgodę jako podstawę prawną zamiast oprzeć się na prawnie uzasadnionym interesie administratora (w tym kontekście polecamy też ten artykuł). Wydaje się, że uzasadniony interes byłby o wiele bardziej czytelny dla użytkowników. Co więcej –  organizacyjnie jest on też o wiele bardziej korzystny dla administratora. Uzasadnia to merytorycznie art. 6 ust. 1 lit. f RODO. Przepis ten przewiduje wyraźnie, że prawnie uzasadniony interes realizowany przez stronę trzecią (czyli inny podmiot niż administrator oraz jego podwykonawca) uprawnia administratora do przetwarzania danych osobowych.

Uzasadniony interes osoby trzeciej czy administratora?

Ta podstawa prawna pasuje właśnie do takich sytuacji jak „cudzy marketing”, kiedy interes leży po stronie reklamodawcy zlecającego kampanię, natomiast podstawę przetwarzania danych posiada wydawca serwisu. Ewentualny brakujący link pomiędzy przetwarzaniem danych a działalnością administratora można uzupełnić w prosty sposób. Jaki? Np. poprzez uzyskanie przez administratora zgody na cookies. Tym samym w miejsce dwóch zgód pojawia się jedna (niezwiązana z RODO, wynikająca z PT). Jednocześnie nie występuje problem zgód połączonych (czyli niedobrowolnych), gdyż zgody nie są zbierane.

Zebrane zgody a kwestie wymagające rozstrzygnięcia

Propozycję Wirtualnej Polski, mimo że w naszej ocenie niedoskonałą, uznajemy mimo wszystko za cenną inicjatywę i przyczynek do kluczowej dla branży dyskusji. W kolejnych dniach spróbujemy skomentować i omówić problemy prawne, które pojawiły się na gruncie akcji WP. Z pewnością odniesiemy się do takich zagadnień jak:

  • kto jest administratorem, kto procesorem, a kto stroną trzecią w procesie przetwarzania danych przez uczestników reklamowego ekosystemu programmatic – wydawców, reklamodawców i dostawców technologii SSP, DSP czy narzędzi typu DMP?
  • w jaki sposób zbierać zgody na cookies po wejściu w życie RODO? Czy nadal można opierać się na zgodach zbieranych w banerach? Jak się to przełoży na praktyczne konsekwencje proponowanych rozwiązań?
  • w jaki sposób wykorzystywać interes administratora jako podstawę prawną przetwarzania danych w środowisku internetowym (w tym w przypadku profilowania marketingowego)?
  • jak powinien skonstruować swoją politykę prywatności wydawca serwisu, aby w sposób zgodny z RODO poinformować użytkowników o przetwarzaniu ich danych? Czy konieczne jest wymienianie z nazwy wszystkich podmiotów zapisujących tzw. 3rd party cookies na urządzeniach użytkowników? Czy może należy określić je rodzajowo? A może w ogóle zrezygnować z ich opisywania?

Artykuł został pierwotnie opublikowany na Linkedin, gdzie spotkał się z bardzo dobrym przyjęciem i wzbudził ciekawą dyskusję. Ma on też część drugą (O zgodzie i braku zgody na marketing w Internecie cd.), która jest dostępna na naszym blogu.

Ciekawa dla Ciebie może być też retrospekcja dot. realizacji praw podmiotów danych zawarta w artykule Usunięcie danych vs wycofanie zgód marketingowych w praktyce.

Podoba Ci się ten artykuł?
Nawiąż z nami kontakt lub zapisz się do Newslettera



Jesteś u nas już chwilę, co bardzo nas cieszy.
A może chcesz być na bieżąco i czasami dostawać informacje o nowościach na stronie?
Obiecujemy nie spamować :)

Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od Maruta Wachta sp.j., z siedzibą w Warszawie (00-684) przy ul. Wspólnej 62, (Kancelaria) informacji dotyczących oferty Kancelarii drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest Kancelaria. Dane osobowe osób zapisujących się na newsletter są przetwarzane w celu przesyłania informacji dotyczących oferty Kancelarii drogą e-mailową. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w naszej Polityce Prywatności.

FreshMail.pl