Czy sprzeciw wobec przetwarzania danych osobowych w celach marketingowych oznacza, że zalogowanemu klientowi nie wolno wyświetlać reklam?

Czy prezentowanie niespersonalizowanej reklamy użytkownikowi zalogowanemu do serwisu internetowego, który wniósł sprzeciw wobec przetwarzania danych osobowych w celach marketingowych, oznacza, że usługodawca dane te jednak przetwarza?

wyrok NSA z 14 marca 2019 r. (I OSK 1090/17)
Jeżeli po zalogowaniu do indywidualnego konta (przypisanego konkretnej osobie) klient ma możliwość zapoznania się z reklamą to świadczy to o wykorzystywaniu jego danych osobowych w celach marketingowych, co w przypadku złożenia sprzeciwu nie powinno mieć miejsca.

Wyrok wydano ze skargi przedsiębiorcy na decyzję GIODO, w której uznano, że otrzymywanie, po zalogowaniu do systemu obsługi abonenta, komunikatów marketingowych i baneru reklamowego („Nie masz jeszcze dekodera? Zadzwoń”) — po wniesieniu sprzeciwu co do przetwarzania danych osobowych w celach marketingowych — oznacza, że firma nadal przetwarza dane osobowe abonenta.
Zdaniem spółki klient nie był objęty żadnymi działaniami o charakterze marketingu bezpośredniego, nic mu bowiem nie wysyłano na pocztę elektroniczną, nie telefonowano i nie wysyłano papierowych materiałów reklamowych. Podstawową funkcją systemu informatycznego jest zarządzanie usługami, dostęp do faktur, etc., zaś reklamy są funkcjonalnie związane z systemem i nie są w żaden sposób przesyłane do abonenta, w sposób, który nie polega na przetwarzaniu danych osobowych.

Zdaniem GIODO kierowanie do użytkownika oferty marketingowej produktów własnych mimo cofnięcia zgody na przetwarzanie danych osobowych w celach marketingowych naruszyło przepisy ustawy z 1997 r. o ochronie danych osobowych stanowi przetwarzanie danych w celach marketingowych, zatem w wydanej decyzji zakazał dalszego przetwarzania. Usługodawca może przetwarzać dane osobowe użytkownika w związku i w celu wykonania zawartej umowy, ale po wniesieniu sprzeciwu dalsze przetwarzanie związane z marketingiem własnej oferty jest niedopuszczalne. Nie ma przy tym znaczenia, że treść tych reklam jest taka sama dla wszystkich (czyli nie jest indywidualnie dostosowywana dla konkretnego abonenta) — po zalogowaniu się na indywidualne konto jego treść musi uwzględniać jego indywidualne potrzeby, a zatem także odzwierciedlać ów sprzeciw (klient „logując się do indywidualnego konta, które oferuje mu Spółka po złożonym sprzeciwie, nie powinien dostawać żadnych informacji marketingowych. Spółka nie powinna kierować do Skarżącego żadnej formy marketingu”).

Pogląd ten podzielił WSA: administrator danych może przetwarzać dane osobowe jeśli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, pod warunkiem, że nie narusza to praw i wolności zainteresowanej osoby (art. 23 ust. 1 pkt 5 d.uodo); usprawiedliwionym celem jest także marketing bezpośredni własnych produktów lub usług (art. 23 ust. 4 d.uodo) — jednak po wniesieniu sprzeciwu przez zainteresowaną osobę dalsze przetwarzanie danych osobowych jest niedopuszczalne (art. 32 ust. 3 d.uodo). Jednakże skoro baner reklamowy jest wyświetlany w identycznej formie przed i po zalogowaniu do systemu obsługi klienta — czyli w indywidualnej dla abonenta strefie — to spółka nie zastosowała się do wniesionego sprzeciwu, albowiem po zalogowaniu w serwisie „nie powinno być żadnych form marketingu”. Usługodawca, kierując do klienta reklamy nadawanych programów, przetwarza jego dane osobowe, czego w świetle sprzeciwu nie powinna była robić. Owszem, spółka ma prawo wyświetlać reklamy klientowi, który wniósł sprzeciw wobec wykorzystywania jego danych osobowych w celach marketingu — ale tylko do momentu, dopóki użytkownik jest dla niej anonimowy; po zalogowaniu się w systemie użytkownik nie jest anonimowy, zatem żadna reklama nie powinna być prezentowana. Co więcej są rozbieżności między regulaminem serwisu i jego polityką prywatności, zaś w takim przypadku negatywnymi konsekwencjami niedopatrzenia nie może być obciążony użytownik (wyrok WSA w Warszawie z 9 stycznia 2017 r., II SA/Wa 878/16).

W skardze kasacyjnej spółka podtrzymała wcześniejszy pogląd: skoro informacja wyświetlana uczestnikowi w serwisie obsługowym była w niezmiennej formie zarówno przed, jak i po zalogowaniu się na konto abonenckie, to nie można jej traktować jako spersonalizowanej reklamy, a zatem nie można mówić o przetwarzaniu danych osobowych.

Taka argumentacja nie spotkała się z aprobatą ze strony NSA. Celem i skutkiem wniesienia sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych jest to, by administrator zaprzestał ich reklamowego przetwarzania. Usługodawca może wyświetlać mu reklamy, jednak wyłącznie do czasu, dopóki anonimowo korzysta on ze strony internetowej — natomiast po zalogowaniu się dochodzi do identyfikacji konkretnej osoby, zatem powinien on mieć dostęp wyłącznie do informacji spersonalizowanych — uwzględniających wniesiony sprzeciw. Nie ma przy tym znaczenia, że reklama ma taką samą treść przed i po zalogowaniu — skoro klient sprzeciwił się przetwarzaniu danych osobowych w celach marketingowych, to żadna reklama nie powinna być mu emitowana na indywidualnym koncie abonenckim.

Dla tych, którym było TL;DR, krótkie streszczenie: tak, wyświetlanie niespersonalizowanej reklamy zalogowanemu użytkownikowi, który złożył sprzeciw wobec przetwarzania jego danych osobowych w celach marketingowych, jest niedopuszczalne, albowiem narusza przepisy o ochronie danych osobowych.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

16 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze