GIODO podsumował właśnie wyniki sprawdzeń, jakie na jego wniosek przeprowadzili administratorzy bezpieczeństwa informacji (ABI) z 20 banków. Sprawdzenia dotyczyły kwestii związanych z prowadzeniem marketingu kierowanego do klientów oraz osób niebędących klientami banku. Z badania wynika, że łączenie w jednym oświadczeniu zgód na różne cele przetwarzania danych to jedno z najczęstszych uchybień banków.
W 2016 r. administratorzy bezpieczeństwa informacji (ABI) z 20 banków, w tym 9 spółdzielczych, na wniosek Generalnego Inspektora Ochrony Danych Osobowych (GIODO) przeprowadzili sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Objęto nimi kwestie związane z prowadzeniem marketingu kierowanego do klientów oraz osób niebędących klientami banku.
Kilka oświadczeń woli w jednym to błąd
Na podstawie informacji zawartych w sprawozdaniach ze sprawdzeń ustalono, iż osiem banków pozyskuje zgodę na przetwarzanie danych osobowych w celach marketingowych, stosując klauzule zawierające łącznie dwie lub więcej z następujących zgód:
- zgodę na przetwarzanie w celach marketingu własnych produktów lub usług,
- zgodę na przetwarzanie w celach marketingu produktów lub usług innych podmiotów,
- zgodę na używanie telekomunikacyjnych urządzeń końcowych w celu prowadzenia marketingu bezpośredniego,
- zgodę na otrzymywanie informacji handlowej drogą elektroniczną.
Jak zauważa GIODO, zawarcie kilku zgód w treści jednego oświadczenia skutkuje brakiem możliwości wyboru zgody, którą zamierza się wyrazić. Oznacza to, że osoba, której dane dotyczą, nie ma swobody w dysponowaniu swoimi danymi osobowymi.
Jak poprawnie pozyskiwać zgody?
Generalny Inspektor Ochrony Danych Osobowych informuje, że zgodnie zaś z art. 7 pkt 5 ustawy o ochronie danych osobowych, przez zgodę osoby, której dane dotyczą, rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; zgoda może być odwołana w każdym czasie. Formuła zgody na przetwarzanie danych osobowych powinna zatem stanowić odrębne oświadczenie od innych oświadczeń osoby, której dane dotyczą, zaś z jej treści w sposób niebudzący wątpliwości powinno wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Przy odbieraniu zgody zagwarantowana powinna być opcjonalność, tj. osoba składająca oświadczenie powinna mieć możliwość wyrażenia zgody na określone działania, albo jej niewyrażenia.
Naruszeniem prawa jest też jednoczesne pozyskiwanie zgody na przetwarzanie danych osobowych w celach marketingowych ze zgodą na otrzymywanie informacji i ofert w rozumieniu ustawy o świadczeniu usług drogą elektroniczną. Zgody na przetwarzanie danych osobowych w celach marketingowych nie można bowiem mylić ze zgodą na otrzymywanie informacji handlowych drogą elektroniczną. Są to dwie różne zgody, których uregulowanie znajduje się w dwóch różnych aktach prawnych. Konieczność pozyskiwania zgody na otrzymywanie informacji handlowych drogą elektroniczną wynika z ustawy o świadczeniu usług drogą elektroniczną. Z kolei w określonych sytuacjach, kiedy dane osobowe klientów chce się wykorzystywać w celach marketingowych, to na takie działanie należy pozyskać ich zgodę wyrażoną na podstawie ustawy o ochronie danych osobowych. I choć obie wymienione ustawy przewidują, że zgody nie można domniemywać z oświadczenia woli o innej treści, to jednak przesyłanie informacji handlowych drogą elektroniczną jest innym działaniem niż wykorzystywanie danych osobowych w celach marketingowych inną drogą, niż elektroniczna.
Dowiedz się więcej z książki | |
Polska i europejska reforma ochrony danych osobowych
|
Gdy jest umowa, oświadczenie niepotrzebne
Zdaniem GIODO z inną sytuacją mamy jednak do czynienia wówczas, gdy klienta z firmą, z usług której korzysta, łączy umowa. Wówczas na przetwarzanie jego danych osobowych w celach marketingu własnych produktów i usług tej firmy nie jest potrzebna jego zgoda. W tym przypadku podstawą uprawniającą do wykorzystywania danych osobowych jest bowiem prawnie usprawiedliwiony cel administratora danych, o którym mowa w art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Oznacza to, że bank - w celu promowania własnych produktów i usług - może wykorzystywać dane osobowe swoich klientów bez konieczności pozyskiwania na to ich zgody, pod warunkiem że takie działanie nie narusza praw i wolności osób, których dane dotyczą.
GIODO podkreśla, że przedsiębiorcy prowadzący swoją działalność marketingową z powołaniem się na ich prawnie usprawiedliwiony cel muszą jednak pamiętać, że ustawa o ochronie danych osobowych zezwala na takie działanie do czasu, gdy klient nie wniesie sprzeciwu w tym zakresie. Od tego momentu wykorzystywanie jego danych w celach marketingowych jest zakazane. Również przetwarzanie danych w celach marketingowych po wygaśnięciu umowy łączącej przedsiębiorcę z klientem jest niedopuszczalne, chyba że wyraził on na to zgodę.
Jeśli zaś przedsiębiorca chce przesyłać swoim klientom oferty innych podmiotów, to na takie działanie musi uzyskać ich zgodę. Nie istnieją bowiem przepisy prawa, które pozwalałyby na przesyłanie oferty marketingowej innego podmiotu bez zgody osoby, której dane dotyczą. Nawet zawarcie przez oba pomioty umowy w sprawie wzajemnej promocji nie jest wystarczającą podstawą do uznania, że wysyłanie oferty marketingowej podmiotu współpracującego jest prawnie usprawiedliwionym celem administratora danych.
Umorzenia i decyzje nakazujące
Wobec banków, w których stwierdzono stosowanie wadliwych klauzul zgód, wszczęto postępowania administracyjne. Cztery banki usunęły wykazane uchybienia w toku prowadzonych postępowań administracyjnych i z tych względów postępowania te zostały umorzone. Wobec trzech innych banków Generalny Inspektor Ochrony Danych Osobowych wydał decyzje nakazujące usunięcie naruszeń poprzez zapewnienie swobody w wyrażaniu przez klientów zgody na przetwarzanie danych osobowych w celach marketingu produktów banku.
Błędy administratorów
Jak informuje GIODO, wszyscy ABI, do których zwrócono się o przeprowadzenie sprawdzenia, wywiązali się z tego obowiązku. Jednak zdaniem Inspektora poziom sprawdzeń co do ich jakości i kompletności był bardzo zróżnicowany. Niektórzy ABI mieli trudności w dokumentowaniu sprawdzeń, co powodowało konieczność wnioskowania przez organ o przedstawianie dodatkowych wyjaśnień i innych dowodów. Brak wyczerpującego opisu stanu faktycznego lub niezbędnych dowodów uniemożliwia bowiem dokonanie prawidłowej oceny przedłożonego przez ABI sprawozdania.
Niektórzy ABI mieli problemy z identyfikacją nieprawidłowości lub ich kwalifikacją prawną. W kilku przypadkach wystąpiły też błędy proceduralne, np. sprawozdanie było przesyłane bez wymaganego pośrednictwa administratora danych. W niektórych sytuacjach w sprawozdaniu nie wskazano, które z załączonych dokumentów dotyczą poszczególnych ustaleń w nim zawartych.
Według GIODO dla ABI było to więc cenne doświadczenie, a zarazem nauka zarówno samodzielnego przeprowadzenia sprawdzenia i sporządzenia z niego sprawozdania, jak i poddania tego sprawozdania weryfikacji GIODO. Realizacja tych obowiązków przyczynia się również do upowszechniania znajomości wymogów prawnych i standardów dotyczących ochrony danych osobowych wśród wszystkich osób mających do czynienia z przetwarzaniem danych osobowych w danej organizacji.
Szczegółowe wyniki badania:
[239 kB] | Banki - przetwarzanie danych w celach marketingowych |