Zlecenie usług w ramach marketingu bezpośredniego – kto jest kim?
Nie od dziś wiadomo, że fundamentem działalności każdego przedsiębiorcy jest odpowiednia baza klientów. W celu pozyskania klienta podmioty podejmują działania wykorzystując różne formy marketingu bezpośredniego, m.in. wysyłanie wiadomości SMS, czy e-mail, kontakt telefoniczny. Bardzo często, w ramach outsourcingu, zlecenia wykonania zadań z zakresu reklamy przekazywane są wyspecjalizowanym podmiotom.
W takim przypadku nasuwają się pytania – kto ponosi odpowiedzialność za przetwarzanie danych osobowych? Kto jest administratorem danych osobowych, a kto pełni funkcję procesora?
Postępowanie przed szwedzkim organem ochrony danych (IMY)
Odpowiedzi na powyższe zagadnienia udzielił szwedzki organ ochrony danych (IMY) w decyzji z 27 czerwca 2022 r., wydanej w związku ze skargą osoby fizycznej
w przedmiocie naruszeń jej danych osobowych dokonanych przez szwedzki bank - Nordax Bank AB. Zarzuty dotyczyły: braku wykonania prawa dostępu przez Nordax (art. 15 RODO) oraz braku usunięcia danych osobowych podmiotu na jego żądanie (art. 17 RODO).
Nordax Bank korzystał z usług zewnętrznego podmiotu – Iper Direkt AB (Iper), który na zlecenie Nordax i w oparciu o wskazane przez Nordax kryteria, wybierał ze swojego rejestru adresów konkretne pozycje, które następnie były przekazywane innemu pomiotowi przetwarzającemu z ramienia Nordax w celu realizacji marketingu bezpośredniego Nordax. Istotne jest, że to Nordax określał cele oraz środki przetwarzania danych.
Nordax twierdził przy tym, że w umowach zawartych pomiędzy Iper a Nordax uregulowane zostało, że przetwarzania danych osobowych, w ramach marketingu bezpośredniego będzie dokonywał Iper, działając w imieniu Nordax. Nordax twierdził również, że w związku z zawartą z Iper umową, Iper jest administratorem rejestru adresów i jako taki jest on odpowiedzialny za zarządzanie prawami osób, których dane są w tym rejestrze dostępne. Zdaniem Nordax, nie przetwarzał on, ani też nie przechowywał żadnych danych osobowych, ponieważ dane przekazywane Nordax przez Iper pozbawione były tożsamości – były spseudonimizowane.
W celu lepszego zobrazowania prezentowanego tematu warto przytoczyć za IMY przykład, w którym firma ABC zleciła firmie XYZ uzyskanie informacji o tym, jaki rodzaj konsumentów jest najbardziej zainteresowany produktami firmy ABC. Jednocześnie firma ABC poinstruowała firmę XYZ, jakiego rodzaju informacje ją interesują i dostarczyła listę pytań, które należało zadać osobom uczestniczącym w badaniu rynku. Spółka ABC otrzymała od spółki XYZ informacje statystyczne, bez dostępu do danych osobowych osób uczestniczących w badaniu. W przykładzie istotne jest, że to Spółka ABC zadecydowała, że przetwarzanie danych w ogóle powinno mieć miejsce, ponadto przetwarzanie odbywało się we wskazanym przez ABC celu oraz spółka ABC dostarczyła spółce XYZ szczegółowych instrukcji dotyczących tego, jakie informacje należało pozyskać. Z powyższych względów, w opisanym przykładzie Spółkę ABC należy uważać za administratora danych osobowych, natomiast Spółka XYZ jest podmiotem przetwarzającym (działała ona zgodnie z instrukcjami spółki ABC).
Rozpatrując sprawę, szwedzki organ ochrony danych w pierwszej kolejności badał, czy Nordax w ogóle był administratorem danych i czy podmiot ten był zobowiązany do rozpatrzenia wniosków skarżącego o wykonanie jego praw.
Czy administrator danych musi mieć do nich dostęp?
Podczas postępowania Nordax wielokrotnie wskazywał, że nie miał on do czynienia z danymi osobowymi, ponieważ dane przekazywane Nordax przez Iper nie pozwalały na identyfikację osób, których dotyczyły. Co więcej Nordax nie przetwarzał, ani nie przechowywał danych osobowych skarżącego, wobec czego skarżący z wnioskami w zakresie swoich danych osobowych powinien zwrócić się bezpośrednio do Iper.
IMY stwierdził jednak, że aby zostać uznanym za administratora danych osobowych w przypadku przetwarzania, podmiot nie musi mieć do nich dostępu, ani ich przechowywać. Liczy się to, że taki podmiot decyduje o celach i sposobie przetwarzania danych. W przedmiotowej sprawie takie właśnie działanie po stronie Nordax miało miejsce – choć dane przetwarzane były przez Iper, jednak przetwarzanie danych odbywało się w imieniu Nordax i w oparciu o kryteria wyboru ustalone przez ten podmiot. W związku z tym, że Nordax określał cele i środki przetwarzania, to Nordax należało uznać za administratora danych w zakresie przetwarzania. W praktyce oznaczało to, że Nordax był odpowiedzialny za obsługę żądań skarżącego.
Co więcej IMY stwierdził, że okoliczność otrzymywania od Iper danych pozbawionych cech identyfikacyjnych, nie miała żadnego znaczenia dla odpowiedzialności Nordax za rozpatrywanie wniosku skarżącego. IMY wskazał, że nawet informacje, które mogą choć pośrednio zidentyfikować osobę fizyczną, w tym informacje, które są zakodowane, zaszyfrowane lub pseudonimowane, ale które można powiązać z osobą fizyczną, są danymi osobowymi.
Stanowisko IMY
Z uwagi na to, że IMY uznał Nordax za administratora danych w zakresie przetwarzania, którego dotyczyła skarga, to Nordax był odpowiedzialny za zapewnienie, że wnioski Skarżącego o wykonanie praw wynikających z RODO miały zostać rozpatrzone.
IMY w trakcie postępowania stwierdził naruszenia występujące po stronie Nordax względem Skarżącego, polegające na braku udzielenia dostępu Skarżącemu do jego danych osobowych, braku rozpatrzenia wniosku Skarżącego o usunięcie danych oraz braku poinformowania Skarżącego o podjętych przez Nordax środkach w odpowiedzi na wniosek skarżącego dotyczący wykonania jego prawa do sprzeciwu wobec przetwarzania danych dla celów marketingu bezpośredniego. W konsekwencji powyższego IMY udzielił Nordax upomnienia oraz zobowiązał go do podjęcia określonych działań na rzecz Skarżącego.
Odpowiedzialność za brak pozyskania zgody w ramach zlecenia usług marketingu bezpośredniego, na gruncie uchwały Sądu Najwyższego (III SZP 7/15)
W kontekście omawianego tematu, warto przyjrzeć się stanowisku, które w uchwale z dnia 17 lutego 2016 r. zajął Sąd Najwyższy (sygn. akt III SZP 7/15).
W przedmiotowej sprawie, na zlecenie powoda – przedsiębiorcy telekomunikacyjnego, podmiot zewnętrzny przeprowadzał dla klientów powoda loterię. Powód przekazywał temu podmiotowi informacje dotyczące abonentów wraz z wyrażeniem ich zgód dotyczących przekazywania informacji. Komunikaty o loterii były przesyłane z wykorzystaniem infrastruktury powoda. W czasie trwania loterii do abonentów i użytkowników końcowych powoda wysyłano komunikaty tekstowe SMS oraz głosowe IVR, za pośrednictwem automatycznych systemów wywołujących (ASW).
W trakcie prowadzonego przez Prezesa Urzędu Komunikacji Elektronicznej postępowania stwierdzono, że powód uchybił obowiązkom uzyskania od abonentów lub użytkowników końcowych sieci telekomunikacyjnej powoda zgody na używanie ASW dla celów marketingu bezpośredniego i użycie oraz stosowanie w stosunku do tych abonentów lub użytkowników końcowych ASW dla celów marketingu bezpośredniego, w tym na wysyłanie komunikatów tekstowych SMS lub komunikatów głosowych IVR zachęcających do udziału w loterii. Finalnie Prezes UKE nałożył na powoda karę pieniężną, od której to decyzji powód odwołał się.
Na gruncie prowadzonego postępowania Sąd Apelacyjny – rozpatrujący sprawę jako sąd drugiej instancji, wobec pojawienia się zagadnienia prawnego budzącego poważne wątpliwości, zwrócił się do Sądu Najwyższego z zagadnieniem prawnym:
„Czy dopuszczalne jest nałożenie kary pieniężnej, na podstawie art. 209 ust. 1 pkt 25 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (Dz. U. nr 171, poz. 1800 ze zm.) w związku z art. 172 ust. 1 i art. 174 pkt 1 tej ustawy, na przedsiębiorcę telekomunikacyjnego, w sytuacji, gdy zlecił on przeprowadzenie akcji promującej jego usługi innemu podmiotowi, który wykonał to zlecenie, używając dla celów marketingu bezpośredniego automatycznych systemów wywołujących bez uzyskania na to zgody abonentów lub użytkowników końcowych będących adresatami takich działań?".
W celu odpowiedzi na zadane pytanie Sąd Najwyższy obowiązany był w pierwszej kolejności zbadać, czy mimo to, że przedsiębiorca zleca innemu podmiotowi użycie automatycznych systemów wywołujących (ASW) w celach promowania jego usług, dostarczając bazę numerów abonentów lub użytkowników końcowych, na urządzenia których mają być kierowane wiadomości SMS, narusza zakaz używania automatycznych systemów wywołujących bez posiadania zgód marketingowych? Czy też zlecenie tej usługi pomiotowi zewnętrznemu zwalnia tego przedsiębiorcę z obowiązku pozyskania zgód?
Kiedy mówimy o użyciu automatycznych systemów wywołujących
Diagnoza zgodności RODO.
Zrób to sam
Powód decydował o warunkach organizowania i przeprowadzania loterii, w tym także o szczegółach związanych z komunikowaniem się w związku z loterią z abonentami i użytkownikami końcowymi sieci powoda. Nie należy zapominać, że to powód wybrał ASW jako metodę kierowania komunikatów marketingu bezpośredniego, co w ocenie Sądu Najwyższego spowodowało, że w rzeczywistości posługiwał się on ASW dla celów marketingu bezpośredniego.
Sąd Najwyższy podkreślił, że w sytuacji, w której dostawca wskazuje zasady działań marketingowych, grupę docelową, przekazuje numery komórkowe, na które mają być wykonane połączenia przez ASW, dołącza zgody marketingowe, należy uznać, że jest to używanie ASW w rozumieniu ustawy Prawo telekomunikacyjne, a takie używanie wymaga wcześniejszej zgody abonenta czy użytkownika końcowego.
Zatem, pomimo tego, że powód nie wykorzystywał samodzielnie ASW, lecz takie działanie dla celów marketingu bezpośredniego adresowanego do abonentów i użytkowników końcowych zlecił podmiotowi trzeciemu, uważa się, że posługiwał się on ASW.
Z tego względu obowiązek uzyskania zgody abonenta na posługiwanie się ASW obciąża nie tylko podmiot, który faktycznie używa ASW, ale także przedsiębiorcę, który zleca użycie ASW innemu przedsiębiorcy dla celów marketingu bezpośredniego adresowanego do abonentów i użytkowników końcowych, których bazę przekazał temu innemu przedsiębiorcy. W konsekwencji zaś, w związku z uchybieniem obowiązków wynikających z ustawy Prawo telekomunikacyjne, powód również podlegał odpowiedzialności z niej wynikającej.
Stanowisko Sądu Najwyższego
Takie też stanowisko zajął Sąd Najwyższy, który uznał, że nie ma przeszkód, aby nałożyć karę pieniężną na przedsiębiorcę telekomunikacyjnego, który zlecił innemu podmiotowi wykorzystanie ASW dla celów marketingu bezpośredniego usług tego przedsiębiorcy wśród jego abonentów lub użytkowników końcowych na podstawie bazy przekazanych numerów telefonicznych.
Podsumowanie
Odpowiadając na zadane na wstępie pytania:
- kto jest administratorem danych osobowych w ramach zlecania usług marketingu bezpośredniego?
- kto ponosi odpowiedzialność za naruszenia obowiązków w zakresie uzyskiwania zgód w takim przypadku?
uznać należy, że administratorem danych osobowych zwykle będzie ten podmiot, który angażuje jakąkolwiek inną osobę prawną do przetwarzania danych osobowych w jej imieniu. Podmiot przetwarzający to ten, któremu zadania te zostały zlecone. Odpowiedzialność za przetwarzanie danych ponosi ten podmiot, który zlecił takie działanie drugiemu podmiotowi, decydując o środkach przetwarzania danych osobowych, celach oraz metodach ich przetwarzania. Pamiętajmy, że outsourcing marketingu bezpośredniego podmiotowi zewnętrznemu nie zwalnia zleceniodawcy z odpowiedzialności np. za brak pozyskania odpowiednich zgód.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Kto jest administratorem danych osobowych w przypadku ich przetwarzania, w sytuacji zlecenia usług w ramach marketingu bezpośredniego podmiotowi zewnętrznemu: