Czy sprzeciw wobec przetwarzania danych osobowych w celach marketingowych oznacza, że zalogowanemu klientowi nie wolno wyświetlać reklam?

Czy prezentowanie niespersonalizowanej reklamy użytkownikowi zalogowanemu do serwisu internetowego, który wniósł sprzeciw wobec przetwarzania danych osobowych w celach marketingowych, oznacza, że usługodawca dane te jednak przetwarza?

wyrok NSA z 14 marca 2019 r. (I OSK 1090/17)
Jeżeli po zalogowaniu do indywidualnego konta (przypisanego konkretnej osobie) klient ma możliwość zapoznania się z reklamą to świadczy to o wykorzystywaniu jego danych osobowych w celach marketingowych, co w przypadku złożenia sprzeciwu nie powinno mieć miejsca.

Wyrok wydano ze skargi przedsiębiorcy na decyzję GIODO, w której uznano, że otrzymywanie, po zalogowaniu do systemu obsługi abonenta, komunikatów marketingowych i baneru reklamowego („Nie masz jeszcze dekodera? Zadzwoń”) — po wniesieniu sprzeciwu co do przetwarzania danych osobowych w celach marketingowych — oznacza, że firma nadal przetwarza dane osobowe abonenta.
Zdaniem spółki klient nie był objęty żadnymi działaniami o charakterze marketingu bezpośredniego, nic mu bowiem nie wysyłano na pocztę elektroniczną, nie telefonowano i nie wysyłano papierowych materiałów reklamowych. Podstawową funkcją systemu informatycznego jest zarządzanie usługami, dostęp do faktur, etc., zaś reklamy są funkcjonalnie związane z systemem i nie są w żaden sposób przesyłane do abonenta, w sposób, który nie polega na przetwarzaniu danych osobowych.

Zdaniem GIODO kierowanie do użytkownika oferty marketingowej produktów własnych mimo cofnięcia zgody na przetwarzanie danych osobowych w celach marketingowych naruszyło przepisy ustawy z 1997 r. o ochronie danych osobowych stanowi przetwarzanie danych w celach marketingowych, zatem w wydanej decyzji zakazał dalszego przetwarzania. Usługodawca może przetwarzać dane osobowe użytkownika w związku i w celu wykonania zawartej umowy, ale po wniesieniu sprzeciwu dalsze przetwarzanie związane z marketingiem własnej oferty jest niedopuszczalne. Nie ma przy tym znaczenia, że treść tych reklam jest taka sama dla wszystkich (czyli nie jest indywidualnie dostosowywana dla konkretnego abonenta) — po zalogowaniu się na indywidualne konto jego treść musi uwzględniać jego indywidualne potrzeby, a zatem także odzwierciedlać ów sprzeciw (klient „logując się do indywidualnego konta, które oferuje mu Spółka po złożonym sprzeciwie, nie powinien dostawać żadnych informacji marketingowych. Spółka nie powinna kierować do Skarżącego żadnej formy marketingu”).

Pogląd ten podzielił WSA: administrator danych może przetwarzać dane osobowe jeśli jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów, pod warunkiem, że nie narusza to praw i wolności zainteresowanej osoby (art. 23 ust. 1 pkt 5 d.uodo); usprawiedliwionym celem jest także marketing bezpośredni własnych produktów lub usług (art. 23 ust. 4 d.uodo) — jednak po wniesieniu sprzeciwu przez zainteresowaną osobę dalsze przetwarzanie danych osobowych jest niedopuszczalne (art. 32 ust. 3 d.uodo). Jednakże skoro baner reklamowy jest wyświetlany w identycznej formie przed i po zalogowaniu do systemu obsługi klienta — czyli w indywidualnej dla abonenta strefie — to spółka nie zastosowała się do wniesionego sprzeciwu, albowiem po zalogowaniu w serwisie „nie powinno być żadnych form marketingu”. Usługodawca, kierując do klienta reklamy nadawanych programów, przetwarza jego dane osobowe, czego w świetle sprzeciwu nie powinna była robić. Owszem, spółka ma prawo wyświetlać reklamy klientowi, który wniósł sprzeciw wobec wykorzystywania jego danych osobowych w celach marketingu — ale tylko do momentu, dopóki użytkownik jest dla niej anonimowy; po zalogowaniu się w systemie użytkownik nie jest anonimowy, zatem żadna reklama nie powinna być prezentowana. Co więcej są rozbieżności między regulaminem serwisu i jego polityką prywatności, zaś w takim przypadku negatywnymi konsekwencjami niedopatrzenia nie może być obciążony użytownik (wyrok WSA w Warszawie z 9 stycznia 2017 r., II SA/Wa 878/16).

W skardze kasacyjnej spółka podtrzymała wcześniejszy pogląd: skoro informacja wyświetlana uczestnikowi w serwisie obsługowym była w niezmiennej formie zarówno przed, jak i po zalogowaniu się na konto abonenckie, to nie można jej traktować jako spersonalizowanej reklamy, a zatem nie można mówić o przetwarzaniu danych osobowych.

Taka argumentacja nie spotkała się z aprobatą ze strony NSA. Celem i skutkiem wniesienia sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych jest to, by administrator zaprzestał ich reklamowego przetwarzania. Usługodawca może wyświetlać mu reklamy, jednak wyłącznie do czasu, dopóki anonimowo korzysta on ze strony internetowej — natomiast po zalogowaniu się dochodzi do identyfikacji konkretnej osoby, zatem powinien on mieć dostęp wyłącznie do informacji spersonalizowanych — uwzględniających wniesiony sprzeciw. Nie ma przy tym znaczenia, że reklama ma taką samą treść przed i po zalogowaniu — skoro klient sprzeciwił się przetwarzaniu danych osobowych w celach marketingowych, to żadna reklama nie powinna być mu emitowana na indywidualnym koncie abonenckim.

Dla tych, którym było TL;DR, krótkie streszczenie: tak, wyświetlanie niespersonalizowanej reklamy zalogowanemu użytkownikowi, który złożył sprzeciw wobec przetwarzania jego danych osobowych w celach marketingowych, jest niedopuszczalne, albowiem narusza przepisy o ochronie danych osobowych.

16
Dodaj komentarz

avatar
3 Comment threads
13 Thread replies
1 Followers
 
Most reacted comment
Hottest comment thread

This site uses Akismet to reduce spam. Learn how your comment data is processed.

  Subscribe  
najnowszy najstarszy
Powiadom o
RYBY
Gość
RYBY

No to już widzę popłoch w firmach informatycznych (a w zasadzie u ich klientów biznesowych).
Jak dostosować systemy (tzn. ile wziąć za to kasy, skoro kary z tytułu RODO mogą iść w miliony)?

sjs
Gość
sjs

Ciekawe, bo zgody marketingowe zwykle są zbierane tylko na kontakt mailowy lub telefoniczny, a tu się okazuje, że trzeba jeszcze zbierać na wyświetlanie bannerów w serwisie.

Nottenick
Gość
Nottenick

Marketing usług własnych jest prawnie usprawiedliwionym celem administratora danych i do wyświetlanie banerów żadna dodatkowa zgoda nie jest konieczna. Chyba że wniesie się sprzeciw, wtedy nie wolno także i banerów wyświetlać.

Imię
Gość
Imię

Brawo, chociaż wiele serwisów i banków i tak to oleje, bo „co mi zrobicie”.

RYBY
Gość
RYBY

Co mi zrobicie?
Skarga do PUODO, postępowanie wyjaśniające, kara 5mln PLN.
Wystarczy?

Shu
Gość
Shu

Nie wiem co powie większość banków ale wiem co mówi Orange. Na każdej umowie odręcznie dopisuję, że „nie wyrażam … w celach marketingowych”. Pomimo to raz w tygodniu dzwonią proponując nową umowę. Na pytanie czy wiedzą o sprzeciwie odpowiedzieli, że „według ich polityki to nie są informacje marketingowe”.