Każdy przedsiębiorca oferujący usługi lub produkty spotyka się, wcześniej czy później, z zagadnieniem przetwarzania danych osobowych.
Waga pierwszego kontaktu
Praktyka pokazuje, że dla spełnienia wymogów ustawowych związanych z przetwarzaniem danych osobowych oraz ograniczenia ryzyka skarg klientów bądź interwencji generalnego inspektora ochrony danych osobowych, niezwykle istotny jest moment pierwszego „sformalizowanego” kontaktu z klientem.
Podczas niego klient może złożyć oświadczenia regulujące jego dalsze stosunki z przedsiębiorcą. Dotyczy to także przetwarzania danych osobowych bądź przesyłania informacji handlowej drogą elektroniczną.
Bardzo często zdarza się, że błędy popełnione na początkowym etapie kształtowania relacji z klientem są na dalszym etapie trudne bądź też niemożliwe do naprawienia. Z uwagi na zakres danych oraz cel ich przetwarzania kwestia ta może być szczególnie ważna dla podmiotów działających na rynku finansowym.
Potrzebna akceptacja
Kwestia sposobu wyrażania zgody na przetwarzanie danych osobowych i jej zakresu często powraca. Ostatni wyrok Naczelnego Sądu Administracyjnego z 31 stycznia 2012 r. w sprawie I OSK 1317-1318/11 jest tego najlepszym przykładem („Członek OFE ma wiedzieć, co podpisuje” „Rzeczpospolita” z 1 lutego 2012 r.).
Przy okazji tego wyroku warto przeanalizować, jakie wymagania stawiają przepisy, organy nadzoru oraz sądy przedsiębiorcom odbierającym od klientów oświadczenia o wyrażeniu zgody na przetwarzanie ich danych osobowych oraz przesyłanie informacji handlowych drogą elektroniczną.
„TAK” lub „NIE”
Wyrok dotyczył otwartego funduszu emerytalnego oraz spółki prowadzącej rejestr i obsługę członków OFE. W omawianej sprawie GIODO wszczął z urzędu postępowanie w związku z zawieraniem z klientami umowy drogą elektroniczną (za pomocą formularzy dostępnych na stronie internetowej).
W jednej z zakładek umieszczonych na formularzu internetowym była klauzula, przy której przewidziano możliwość wyrażenia zgody na przetwarzanie danych osobowych dla celów marketingowych oraz przesyłanie informacji handlowych drogą elektroniczną poprzez zaznaczenie opcji „TAK” lub „NIE”, przy czym pole „TAK” było zaznaczone automatycznie.
W sytuacji, kiedy osoba wypełniająca deklarację, nie złożyła żadnego oświadczenia w przedmiocie przetwarzania jej danych osobowych, system automatycznie przyjmował opcję „TAK”.
Zarzuty inspektora
GIODO wskazał m.in., że sposób uzyskiwania zgody klienta na przetwarzanie jego danych osobowych oraz przesyłanie informacji handlowych drogą elektroniczną może prowadzić do sytuacji, że system przyjmie zgodę klienta, pomimo że klient nie tylko nie zapoznawał się z treścią klauzuli zgody, ale również nie był świadomy jej istnienia.
Kolejny zarzut GIODO dotyczył połączenia w jednym oświadczeniu zgody na przetwarzanie danych osobowych w celach marketingowych oraz zgody na przesyłanie informacji handlowych drogą elektroniczną, co, zdaniem GIODO, jest niedopuszczalne. Stanowisko GIODO znalazło potwierdzenie w omawianym wyroku NSA.
Oświadczenie musi być wyraźne
Kluczowym przepisem dotyczącym zgody osoby, której dane dotyczą, na przetwarzanie jej danych osobowych jest art. 7 pkt 5) ustawy o ochronie danych osobowych. Przepis ten stanowi, że przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie.
Zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, może być odwołana w każdym czasie. Należy przy tym zwrócić uwagę, iż na mocy art. 16 ust. 1 ustawy o świadczeniu usług drogą elektroniczną definicja zgody w ustawie znajduje także zastosowanie do zgody na otrzymywanie informacji handlowych drogą elektroniczną, która zawiera w sobie element zgody na przetwarzanie danych. Takie stanowisko zaprezentował GIODO w powyższej sprawie.
Nie budzi wątpliwości, w szczególności wobec jasno sprecyzowanego ustawowego obowiązku, że zgoda na przetwarzanie danych osobowych musi być wyraźna. Nie spełnia tego wymogu podpisanie oświadczenia o wyrażeniu zgody na przetwarzanie danych stanowiącego dodatkowy element innego zobowiązania niezawierającego informacji o celach i zakresie przetwarzania tych danych (wyrok NSA z 4 kwietnia 2003 r., II SA 2135/02). Nie wystarczy też samo powiadomienie o zamiarze przetwarzania danych i brak sprzeciwu z drugiej strony.
Jasno określona wola
Chociaż zgoda, co do zasady, nie musi być udzielona na piśmie, to winna jasno i jednoznacznie prezentować wolę zainteresowanego oraz zakres zgody. Wyrażający zgodę musi być przy tym zorientowany, o jakie dane chodzi oraz w jakim zakresie będą one przetwarzane i w jakim celu.
Wcześniejsze wyroki sądów wskazują, że sposób poinformowania zainteresowanego w tym zakresie musi być zrozumiały i nie może dotyczyć bliżej niedookreślonych czynności (wyrok WSA w Warszawie z 11 grudnia 2008 r., II SA/Wa 1061/08).
Wskazuje się, też, że decyzja w sprawie wyrażenia zgody powinna być podjęta przez zainteresowanego swobodnie, jeszcze przed rozpoczęciem przetwarzania danych. Zgoda taka nie może mieć też charakteru „blankietowego” (Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz „Ochrona danych osobowych. Komentarz”, wyd. V).
Wymogi dotyczące zasad wyrażania zgody na przetwarzanie danych osobowych uściśla także GIODO. Przykładowo, zdaniem GIODO, niedopuszczalne jest, z punktu widzenia ustawy o ochronie danych osobowych, pozostawienie w „formularzu zgłoszeniowym” (internetowym) zapisu, iż jego wypełnienie jest jednoznaczne z wyrażeniem zgody na przetwarzanie danych w celach marketingowych, promocyjnych i reklamowych.
Zgoda na takie działania, jak też zgoda klienta na udostępnianie jego danych osobom trzecim, powinna być, zdaniem GIODO, „odrębna” (decyzja GIODO z 26 września 2000 r., Nr GI-DP-DEC-72/00/918). NSA podzielił pogląd GIODO i oddalił skargę na decyzję.
Jakie sankcje
Przetwarzanie danych osobowych bez zgody zainteresowanego może mieć dla przetwarzającego określone konsekwencje. W grę wchodzą tu m.in. sankcje administracyjne (w przypadku niepodporządkowania się decyzji GIODO organ może nałożyć na przedsiębiorcę grzywnę w celu przymuszenia nieprzekraczającą w przypadku osób prawnych jednorazowo kwoty 50 tys. zł, a w przypadku grzywien nakładanych wielokrotnie w ramach jednego postępowania w sumie kwoty 200 tys. zł). Z punktu widzenia cywilnoprawnego zainteresowany może także wystąpić z roszczeniem do przetwarzającego, przede wszystkim w związku z naruszeniem prawa do prywatności (ochrona dóbr osobistych).
Do zagrożeń w przypadku przetwarzania danych osobowych bez zgody zainteresowanego należy także zaliczyć sankcje karne przewidziane w art. 49 ust. 1 ustawy o ochronie danych osobowych. W przypadku przetwarzania danych osobowych w zbiorze, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania podmiot nie jest uprawniony, na przetwarzającego może zostać nałożona kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat dwóch.
Chociaż przepis, na szczęście, nie jest stosowany zbyt często, należy pamiętać o jego istnieniu i potencjalnej odpowiedzialności karnej za przetwarzanie danych osobowych bez odpowiedniej podstawy prawnej.
W stosunku do podmiotów regulowanych, jakimi są np. instytucje finansowe, należy się liczyć z możliwością szczególnych sankcji stosowanych przez organ nadzoru, w tym kar pieniężnych.
Anna Tarasiuk-Flodrowska radca prawny w Hogan Lovells
Komentuje Anna Tarasiuk-Flodrowska, radca prawny w Hogan Lovells
Wspomniany wyrok NSA potwierdza w zasadzie dotychczasowe stanowisko prezentowane przez GIODO. Zatem wyrok zarówno dla funduszy emerytalnych, jak i innych podmiotów działających na polskim rynku finansowym, nie ma przełomowego charakteru. Bez znajomości uzasadnienia wyroku trudno wskazać, jakie argumenty były podnoszone w celu uzasadnienia odrębnych zgód na przetwarzanie danych osobowych w celach marketingowych oraz na odbieranie informacji handlowych drogą elektroniczną w tym przypadku.
Nie ulega wątpliwości, że zgoda na przetwarzanie danych osobowych nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Wydaje się jednak, że bezpośrednio z brzmienia przepisów dotyczących ochrony danych osobowych nie wynika, że zgody na przetwarzanie danych osobowych dla celów marketingowych oraz na otrzymywanie informacji handlowych drogą elektroniczną muszą być wyrażone w odrębnych oświadczeniach.
Obie zgody mają podobny cel i zmierzają do tego samego skutku. Wyrażenie zgody na przetwarzanie danych dla celów marketingowych z punktu widzenia klienta oznacza zwykle także zgodę na otrzymywanie materiałów reklamowych i informowanie o kampaniach i akcjach promocyjnych w zasadzie w dowolnej formie. Jeżeli założyć jednak, że oddzielanie oświadczeń tego typu jest konieczne i chroni zainteresowanego, to czy należy spodziewać się kolejnego kroku i, na przykład, uznania, że każdy odrębny cel przetwarzania danych wymaga odrębnej zgody?
Bartosz Romanowski aplikant adwokacki w Hogan Lovells
Komentuje Bartosz Romanowski, aplikant adwokacki w Hogan Lovells
GIODO oraz sądy administracyjne wskazują na konieczność „odrębnego” charakteru zgody na przetwarzanie danych osobowych. Trudno jednak jednoznacznie stwierdzić, jakie oświadczenie spełnia kryterium „odrębności”, a jakie nie. Ustawa o ochronie danych osobowych nie definiuje tego pojęcia.
Czy wystarczy umieszczenie oświadczeń w odrębnych zdaniach z możliwością skreślenia jednego z nich, czy też przy każdym oświadczeniu klient powinien mieć możliwość zaznaczenia opcji TAK lub NIE? Czy może wreszcie, każde oświadczenie powinno być potwierdzane przez klienta odrębnym kliknięciem lub podpisem?
GIODO, a w ślad za nim sądy, wskazuje, że klient musi mieć swobodę wyboru, tzn. oświadczenie klienta musi być tak skonstruowane, aby klient mógł się zgodzić na przetwarzanie jego danych dla celów marketingowych, a jednocześnie nie zgodzić się na przesyłanie mu informacji handlowej drogą elektroniczną.
Można jednak mieć wątpliwości, czy sytuacja, w której klient może wyrazić zgodę na obie formy przetwarzania danych albo na żadną z nich, jest niezgodna z obowiązującym prawem i czy rzeczywiście jest krzywdząca dla klienta.
Należy także mieć na uwadze kwestie praktyczne – w przypadku zbyt rozbudowanych i sformalizowanych formularzy udzielania zgody na przetwarzanie danych wymagających aktywnego zachowania po stronie klientów należy zakładać, że klienci nie będą skłonni poświęcać swojego czasu ani uwagi tym kwestiom.
