Czy badanie satysfakcji klienta, którego celem jest poprawienie jakości obsługi, jest działaniem marketingowym? Czy przesłanie prośby o udział w ankiecie jest marketingiem bezpośrednim przedsiębiorcy? Czy przetwarzanie danych osobowych może opierać się na przesłance uzasadnionych interesów — czy jednak wymaga wyrażenia przez odbiorcę wyraźnej zgody? I, wcale nie na marginesie: czy ocena zależy od tego, czy rozmówca udzieli odpowiedzi i przekaże dane osobowe? (nieprawomocny wyrok WSA w Warszawie z 17 lipca 2024 r., II SA/Wa 2287/23).
Orzeczenie pozwala odnaleźć ciekawe argumenty do dyskusji o podstawie prawnej przetwarzania danych przy zaproszeniu do udziału w ankiecie badającej poziom satysfakcji klientów oraz innych mniej lub bardziej angażujących wiadomości, którymi są zasypywane nasze telefony i skrzynki poczty elektronicznej.
opis stanu faktycznego:
- sprawa zaczęła się od przedzwonienia przez bankowy automat do klienta z prośbą o udział w badaniu satysfakcji klienta;
- wkurzony klient natychmiast się rozłączył, po czym złożył w banku sprzeciw wobec przetwarzania jego danych w celach marketingowych;
- w odpowiedzi bank potwierdził wycofanie zgód marketingowych i poinformował, że nie będzie już się kontaktował w innych celach niż związanych z obsługą rachunku;
- jednak jakiś czas później bank wyświetlił w aplikacji mobilnej ofertę lokaty, więc mężczyzna wniósł skargę do PUODO…
- …zaś po tym jak bank znów wysłał mu esemesa o treści „Chcesz jeszcze lepiej kontrolować finanse? Włącz powiadomienia w aplikacji. Dowiesz się od razu, że na konto wpłynęła pensja czy przelew od znajomego. Przejdź do Ustawień>Ustawienia aplikacji > Powiadomienia i włącz powiadomienia”, skargę ponowił;
art. 6 ust. 1 RODO
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; […]
f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora […]
- w wydanej decyzji PUODO stwierdził, iż bank w żadnym momencie nie dysponował zezwoleniem na przesyłanie informacji marketingowych, a więc udzielił mu upomnienia za bezprawne przetwarzanie danych polegające na wykorzystywaniu urządzeń telekomunikacyjnych w celu marketingu bezpośredniego bez zgody odbiorcy;
skarga na decyzję PUODO:
- zdaniem banku kontakt w celu przeprowadzenia badania satysfakcji klienta nie oznacza przetwarzania danych w celach marketingowych — nie jest reklamą lub ofertą, lecz elementem wykonania umowy;
- analogicznie ocenić należy wyświetlenie niespersonalizowanego komunikatu w aplikacji mobilnej, jak też komunikatów dotyczących obsługi rachunku — stąd też przetwarzanie danych opiera się na przesłance niezbędności dla celów administratora (a więc nie wymaga zgody odbiorcy), podczas gdy marketing bezpośredni opierałby się na uzasadnionym interesie administratora;
- zaś tak czy inaczej PUODO nie jest kompetentny do oceny stosowania się przez podmioty do przepisów prawa telekomunikacyjnego i ustawy o świadczeniu usług drogą elektroniczną;
orzeczenie WSA:
- skoro działania służące promocji lub rozwojowi własnych usług traktuje się jako element marketingu firmy — do czego służy także badanie satysfakcji klienta — to wysłanie do klienta prośby o udział w ankiecie jest marketingiem bezpośrednim, a więc wymaga wyraźnej, odrębnej zgody odbiorcy wiadomości;
- skoro marketing bezpośredni wymaga udzielenia zgody, to przetwarzanie danych osobowych nie może opierać się na przesłance niezbędności („zwłaszcza w kontekście użytego [w art. 6 ust. 1 lit. b RODO] określenia „prawnie uzasadnione””);
- nie ma przy tym znaczenia, że rozmówca natychmiast się rozłączył, a więc nie udzielił żadnej informacji — bo bezprawne było już zainicjowanie rozmowy, a nie zbieranie danych osobowych;
- działaniem promocyjnym było także przesłanie do użytkownika wiadomości o funkcjonalności serwisu bankowego — i chociaż istnieje powiązanie z umową o prowadzenie rachunku, a bank ma prawo uświadamiać swych klientów i popularyzować kwestie związane z bezpieczeństwem środków, to jednak taki esemes w oczywisty sposób ma charakter informacji handlowej;
- analogicznie podejść należy do wyświetlenia klientowi oferty lokaty, która pojawiła się w określonym okresie, co znów (z bliżej niesprecyzowanych przyczyn) wymagało przetwarzania m.in. danych o dacie urodzenia klienta;
- w konsekwencji można przyjąć, że nadawca nie dysponował zgodą odbiorcy na otrzymywanie komunikatów marketingowych i handlowych — a więc nie miał prawa do przetwarzania danych osobowych w celach marketingowych.
Stwierdzając, iż oceniając marketingowe przetwarzanie danych PUODO może badać realizację przez administratora wykonanie obowiązków wynikających z innych, „zachodzących” na siebie przepisów (co nie oznacza wejścia w buty innych organów, np. UKE) uznał, że decyzja o upomnieniu banku była prawidłowa i oddalił skargę.