Dopuszczalność cold calling i cold mailing na gruncie RODO

Dopuszczalność cold mailing i cold calling w świetle przepisów o ochronie danych osobowych przysparza wielu problemów, a tym samym ryzyk związanych z prowadzoną działalnością gospodarczą. Artykuł określa przesłanki dopuszczalności takiego działania oraz wskazuje jak realizować marketing zgodnie z prawem.

Cold mailing i cold calling

Terminy cold mailing i cold calling stosowane są dla określenia metody sprzedażowej w ramach której nawiązywany jest kontakt marketingowy z klientem, który nie miał wcześniej kontaktu ze sprzedającym i nie wyrażał zainteresowania jego usługami czy produktami. Celem takiego kontaktu jest właśnie zainteresowanie potencjalnego klienta i przedstawienie mu oferty.

Praktyki takie wiążą się z masowym wykorzystywaniem pozyskanych numerów telefonów czy adresów poczty e-mail do przekazywania niezamówionej informacji handlowej. W przypadku e-maili na tego typu komunikaty przejęło się określenie spam – wiadomości masowo wysyłanej do szerokiego lub wręcz przypadkowego kręgu odbiorców.

Dla ukrócenia takich praktyk i ochrony prywatności osób przed niezamówionymi informacjami handlowymi, organy Unii Europejskiej w przyjętej Dyrektywie 2002/58/WE dotyczącej przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) – w tzw. dyrektywie e-privacy – zakazały wykorzystywania urządzeń telekomunikacyjnych do kierowania informacji handlowej bez uprzedniej zgody odbiorcy.

Dyrektywa została implementowana do polskiego porządku prawnego w dwóch aktach prawnych – ustawie prawo telekomunikacyjne oraz ustawie o świadczeniu usług drogą elektroniczną.

Polskie przepisy telekomunikacyjne

Zgodnie z art. 172 prawa telekomunikacyjnego zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę.

Zgodnie z art. 174 do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych. Oświadczenie powinno być zatem świadome, jednoznaczne konkretne i dobrowolne. Drugą konsekwencją jest, jak się wydaje, stosowanie wytycznych dotyczycących takiej zgody, opracowanych na gruncie rozporządzenia 2016/679 (dalej RODO).

Aby w pełni rozumieć zakres przepisu należy wskazać czym jest:

• Telekomunikacyjne urządzenie końcowe – urządzenie telekomunikacyjne przeznaczone do podłączenia bezpośrednio lub pośrednio do zakończeń sieci (np. telefon, smartfon, laptop).
• Zakończenie sieci – fizyczny punkt, w którym abonent otrzymuje dostęp do publicznej sieci telekomunikacyjnej; w przypadku sieci stosujących komutację lub przekierowywanie, zakończenie sieci identyfikuje się za pomocą konkretnego adresu sieciowego (IP), który może być przypisany do numeru lub nazwy abonenta.

Prawo telekomunikacyjne nie różnicuje osobowości abonentów (dotyczy również np. osób prawnych), więc z punktu widzenia przepisów zgoda jest wymagana zarówno w przypadku marketingu skierowanego do osób fizycznych, jak i innych podmiotów – inaczej niż w przypadku RODO, które chroni wyłącznie osoby fizyczne.

Zgodnie z art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną, zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Zgodnie z ust. 2 wspomnianej wyżej ustawy informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

W związku z implementacją dyrektywy i zmian w przepisach telekomunikacyjnych, cold mailing czy cold calling zaczęły być zatem również rozumiane jako forma komunikacji z potencjalnym klientem, w sytuacji gdy nadawca komunikatu nie posiada zgody wymaganej prawem telekomunikacyjnym lub ustawą o świadczeniu usług drogą elektroniczną na kontakt marketingowy, a sama komunikacja ma na celu jej pozyskanie.

Przepisy o ochronie danych osobowych

Przetwarzanie danych osobowych osób fizycznych w celach marketingowych z punktu widzenia RODO nie zawsze wymaga zgody, o której mowa w tym akcie i może być oparte na prawnie uzasadnionym interesie administratora (ang. legitimate interests). Podstawą do takiego twierdzenia jest treść motywu 47 RODO, w którym zostało wskazane, że za działanie wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego.

Różnica między zgodą jako podstawą prawną przetwarzania a prawnie uzasadnionym interesem jest zasadnicza, ponieważ działanie na podstawie prawnie uzasadnionego interesu administratora nie wymaga uprzedniej zgody osoby do której marketing jest kierowany. Jeśli więc marketing dotyczyłby np. wysyłki pocztą tradycyjną to po spełnieniu pewnych wymogów marketing może zostać przekazany bez uprzedniej zgody. W przypadku cold callingu możliwość zastosowania prawnie uzasadnionego interesu będzie kluczowa dla całego procesu, a nie tylko dla jego etapu, jakim jest przedstawienie informacji handlowej.

Test prawnie uzasadnionego interesu

Prawnie uzasadniony interes może być podstawą przetwarzania, ale dla jego potwierdzenia należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu (motyw 47 RODO).

Oceniając zatem możliwość oparcia przetwarzania na prawnie uzasadnionym interesie, należy również uwzględnić okoliczności pozyskania danych i świadomość danej osoby o potencjalnym ich wykorzystaniu. Prawnie uzasadniony interes nie może być również działaniem sprzecznym z prawem. Nie jest zatem możliwe przyjęcie tej przesłanki jeśli nie są spełnione wymogi innych regulacji – np. nie ma zgody na kontakt marketingowy, o której mowa w art. 174 ustawy prawo telekomunikacyjne.

Dla kwestii dopuszczalności cold callingu, czy mailingu istotnym jest fakt zgodności z przepisami, ponieważ jeśli nie można oprzeć się na przesłance prawnie uzasadnionego interesu administratora, to konieczna jest uprzednia zgoda odbiorcy na przetwarzanie jego danych – a zatem już na wybranie numeru, czy wysłanie e-mail (o ile oczywiście jego zgromadzenie było legalne). Nie można więc wykonać połączenia i zapytać o zgodę, ponieważ następuje przetwarzanie danych konkretnego celu – zanim zostało wystosowane zapytanie.

Stanowiska organów nadzorczych

Kwestia dopuszczalności pozyskiwania zgód z wykorzystaniem środków porozumiewania się na odległość była przedmiotem szeregu decyzji organów regulacyjnych. Stanowiska te zasadniczo różnią się co do dopuszczalności stosowania cold callingu i cold mailingu.

W decyzji Prezesa Urzędu Komunikacji Elektronicznej z 18 czerwca 2019 r. (DK.WPA.46.197.2018.15) marketing bezpośredni jest definiowany jako działalność polegająca na dostarczaniu bezpośrednio klientom informacji lub propozycji dotyczących sprzedaży towarów lub usług, promujących konkretną działalność gospodarczą.

Z decyzji płynie również konkluzja, iż komunikacja pocztą elektroniczną i sms mniej ingeruje w prywatność odbiorcy, jest mniej uciążliwa (a zatem jak można przypuszczać, wiąże się z mniejszym ryzykiem naruszenia praw podmiotu danych).

W tym kontekście treść art. 172 prawa telekomunikacyjnego (zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę) można wykładać w ten sposób, iż nie ogranicza on jakichkolwiek połączeń kierowanych do klientów, a jedynie taką komunikację, która za przedmiot ma informację o produktach lub ofertę. Zgoda musi być udzielona przed dostarczeniem komunikatów marketingowych. Wymóg utrwalenia zgody obciąża podmiot zobowiązany do jej uzyskania.

Podobne konkluzje płynął z decyzji z 31 października 2019 r. (DK.WPA.46.8.2019.11), w której Prezes UKE zdaje się dopuszczać wprost możliwość zapytana o zgodę po wykonaniu połączenia pod warunkiem jej utrwalenia i niezawierania treści o charakterze marketingowym do czasu uzyskania zgody. Podkreślenia wymaga fakt konieczności dochowania wysokiej staranności w formułowaniu komunikatów, tak aby w interpretacji organu nie zawierały informacji handlowej.

Stanowisko Urzędu Ochrony Konkurencji i Konsumentów

Przez marketing w decyzji UOKIK (RPZ 14/2018) określa się działania przedsiębiorców dotyczące sprzedaży, dystrybucji, reklamy, planowania, produkcji, badań rynku. Przez marketing definiuje się również sztukę zdobywania, utrzymywania, rozwijania klienta poprzez tworzenie, dawanie, komunikowanie mu wartości, które mają dla niego największe znaczenie. Działania te mają także na celu poznanie potrzeb konsumentów, ustalenie wielkości produkcji oraz metod dystrybucji, sprzedaży i reklamy towarów lub usług. Bezpośredniość zaś oznacza skierowanie komunikatu do konkretnej osoby (choćby nadawca nie dysponował jej danymi), celem uzyskania bezpośredniej reakcji (odpowiedzi). Z uwagi na to, że cechą działań podejmowanych w celach marketingu bezpośredniego jest nakierowanie na osiągnięcie efektu handlowego, najczęściej w postaci zwiększenia popytu na towary lub usługi przedsiębiorcy, marketing bezpośredni obejmuje nie tylko działania o charakterze sprzedażowym, ale również jakiekolwiek działania, które służą dostarczaniu informacji, jeśli ich końcowym efektem jest zainteresowanie adresata ofertą przedsiębiorcy.

W ocenie Prezesa Urzędu, konsument winien mieć możliwość wpływania na to jakie podmioty i w jakich okolicznościach mogą się z nim bezpośrednio kontaktować w celach handlowych, tym bardziej, że w konsekwencji takiego kontaktu, zagrożone mogą być bezpośrednio ekonomiczne interesy konsumentów. W kontekście przyjętego modelu ochrony konsumentów równie ważne jest szeroko rozumiane zabezpieczenie konsumenta przed niechcianą ingerencją w jego prywatność. Wskazane założenia znajdują swoje odzwierciedlenie w przyjętej na gruncie art. 172 ust. 1 u.p.t. konstrukcji wyrażania zgód marketingowych w tzw. modelu opt – in, który zakłada konieczność uzyskania uprzedniej zgody abonenta lub użytkownika końcowego na kontakt w celach marketingowych. W związku z powyższym, w ocenie Prezesa UOKiK, uzyskanie uprzedniej zgody na kontakt marketingowy oznacza, że działanie przedsiębiorcy w celu pozyskania takiej zgody konsumenta powinno poprzedzać zarówno sam kontakt marketingowy, jak również wykorzystanie danego telekomunikacyjnego urządzenia końcowego lub automatycznego systemu wywołującego dla celów marketingu bezpośredniego.

Cold calling i cold mailing na gruncie przepisów o ochronie danych osobowych

Jak zostało wskazane, marketing bezpośredni na gruncie Rozporządzenia może mieć oparcie o przesłankę prawnie uzasadnionego interesu administratora i takie stanowisko potwierdza również UODO. Z punktu widzenia RODO, warto zwrócić uwagę przede wszystkim na treść motywu 47 – podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Przystępując do analizy dopuszczalności przetwarzania w oparciu o prawnie uzasadniony interes administratora, nie można pomijać kwestii legalności pozyskania danych osobowych – bazy numerów telefonów, czy adresów e-mail. Źródło danych będzie mieć istotne znaczenie przy ocenie, czy nie dojdzie do naruszenia istotnych interesów osoby, której dane dotyczą.

Jeśli baza danych jest udostępniana przez innego administratora, warto dokładnie przeanalizować legalność przetwarzanych w niej danych oraz jej udostępnienia – w szczególności, jeśli podstawą udostępnienia bazy jest zgoda podmiotu danych, jej treści oraz rozliczalności wyrażenia, ponieważ będzie to istotna okoliczność przy ocenie dopuszczalności dalszego przetwarzania.

Podsumowanie

W oparciu o przedstawione decyzje dopuszczalne jest przyjęcie dwóch głównych stanowisk – stanowiska UOKIK, które co do zasady nie zezwala na cold coling i cold mailing skierowany do konsumentów oraz stanowiska UKE – bardziej liberalnego, pozwalającego na wykonanie kontaktu, ale przedstawienie informacji handlowej jest dopuszczalne dopiero po pozyskaniu zgody.

Przyjęcie jednej z tych koncepcji będzie mieć również wpływ na dopuszczalność przetwarzania danych kontaktowych odbiorcy na gruncie RODO, ponieważ jeśli przyjmiemy stanowisko UOKiK, cold calling czy cold mailing będzie niedopuszczalny, a zatem nie będziemy mogli wykorzystać prawnie uzasadnionego interesu jako podstawy prawnej do nawiązania połączenia i zapytania o zgodę marketingową.

Administrator musi jednak, jak w każdym przypadku przetwarzania w oparciu o prawnie uzasadniony interes dokonać dokładnej analizy, czy w konkretnych okolicznościach ta podstawa może mieć zastosowanie, a przetwarzanie danych osobowych nie naruszy nadrzędnych interesów lub podstawowych praw i wolności osoby, której dane dotyczą. W wielu przypadkach wymagana będzie zgoda podmiotu danych na nawiązanie kontaktu, niezależnie od tego czy zostaną mu przekazane informacje handlowe, czy też nie.

Autor: Szymon Wróbel