Czy wyrażenie zgody na przetwarzanie swych danych osobowych w celach marketingowych, wraz z profilowaniem, w zamian za otrzymanie darmowej usługi jest zgodne z RODO? Czy w takim przypadku osoba powinna mieć możliwość odwołania już udzielonej zgody? Czy RODO zakreśla warunki wyrażenia zgody na przetwarzanie danych osobowych? I, last but not least: czy PZU miało prawo zbierać dane osobowe rodziców w zamian za wakacyjne ubezpieczenie dzieci? (nieprawomocny wyrok WSA w Warszawie z 7 lipca 2022 r., II SA/Wa 3670/21).
Orzeczenie dotyczyło prowadzonej przez PZU Pomoc S.A. kampanii „Wakacje z PZU. Bezpieczne Dziecko”, w ramach której wszystkie dzieci w Polsce mogły otrzymać, na okres wakacji 2019 r., bezpłatną polisę NNW — o ile rodzice wypełnili internetowy formularz przystąpienia do ubezpieczenia. Jednakże Fundacja Panoptykon zauważyła, że warunkiem uzyskania bezpłatnego ubezpieczenia grupowego było zaznaczenie na formularzu kilku zgód na przetwarzanie danych osobowych w celach marketingowych i ich profilowanie przez szereg podmiotów z grupy PZU, co można traktować jako swoiste świadczenie wzajemne, zatem zwróciła się ze sprawą do PUODO.
W wydanej decyzji PUODO stwierdził, że podstawą przetwarzania danych w celach marketingowych była — dobrowolna, konkretna, jednoznaczna i świadoma — a także odwoływalna (o czym PZU wyraźnie informowało) — zgoda pełnoletnich rodziców — bo to ich dane podlegały przetwarzaniu. Wycofanie zgody nie skutkowało utratą ochrony ubezpieczeniowej, zatem nie można twierdzić, by jej udzielenie stanowiło formę świadczenia wzajemnego (sposób zapłaty za polisę). Zgoda nie jest dobrowolna, jeśli jest nieodłączną i niepodlegającą negocjacji częścią warunków narzuconych przez administratora, jednak w spornej sytuacji nie sposób zarzucać, by ubezpieczyciel zgodę wymuszał i pozbawiał klientów możliwości wyboru.
art. 7 rozporządzenia 679/2016 o ochronie danych osobowych
1. Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. (…)
3. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie.
4. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia się, czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeśli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.
Co więcej każdy miał możliwość skorzystania z alternatywnej ścieżki zawarcia umowy — to samo ubezpieczenie było dostępne w zwykłych kanałach sprzedaży.
Badając skargę wniesioną przez Fundację Panoptykon Wojewódzki Sąd Administracyjny podkreślił, że przetwarzanie danych osobowych może mieć miejsce na podstawie zgody, acz RODO precyzyjnie zakreśla warunki jej wyrażenia: zgoda powinna mieć charakter oświadczenia złożonego w sposób dobrowolny, świadomy i jednoznaczny, przy czym może przyjąć postać zaznaczenia okienka wyboru. Administrator musi umieć udowodnić, że zainteresowana osoba udzieliła takiej zgody, a każdy powinien mieć prawo wycofania zgody, o czym powinien być wyraźnie poinformowany przed jej wyrażeniem. Dobrowolność zgody ocenia się m.in. pod kątem ewentualnego uzależnienia wykonania umowy, także dotyczącej świadczenia usług, od przetwarzania danych, które nie jest niezbędne do spełnienia świadczenia i wykonania umowy (dla jasności: cel marketingowy nigdy nie ma związku z wykonaniem umowy). Stąd też kwestia dobrowolności wyrażenia zgody na przetwarzanie danych osobowych nie może być łączona z prawidłowym informowaniem o możliwości wycofania zgody. Nie można zatem powiedzieć, iż zgoda jest dobrowolna tylko przez to, że klient wie, że zgodę może cofnąć.
Odnosząc powyższe uwagi do stanu faktycznego WSA zauważył, że treść formularza przystąpienia do ubezpieczenia nie była taka sama przez cały czas trwania akcji — PZU dokonało korekty w zakresie „jeszcze bardziej przejrzystego informowania uczestników Akcji o prawie do wycofania zgody” oraz informowania o możliwości odpłatnego ubezpieczenia dopiero po otrzymaniu pisma PUODO. Tymczasem organ dostrzegł tę okoliczność i opisał w decyzji, ale nijak nie odniósł się w swym rozstrzygnięciu, a przecież skoro ktoś coś koryguje, to nasuwa się przypuszczenie, że wcześniej było inne, być może nieprawidłowe, rozwiązanie.. Wątpliwości mogą dotyczyć także sformułowania, że wyrażenie zgód było „wymagane”, a także ich liczba i zakres (zgody dotyczyły (i) przetwarzania danych osobowych w celach marketingowych, w tym profilowania; (ii) przetwarzania danych w celach marketingowych za pośrednictwem rozmowy telefonicznej, komunikatów głosowych, IVR; (ii) przetwarzania danych w celach marketingowych za pośrednictwem email, sms, mms).
Biorąc zatem pod uwagę, że prawidłowe rozstrzygnięcie sporu wymaga analizy całokształtu praktyki pozyskiwania zgód na przetwarzanie danych osobowych przez spółki PZU, a więc PUODO powinien był wszechstronnie rozważyć materiał dowodowy, sąd zdecydował o uchyleniu zaskarżonej decyzji.