Bartłomiej Serafinowicz specjalizuje się w szeroko pojętym prawie konkurencji oraz własności intelektualnej, ze szczególnym uwzględnieniem prawa ochrony danych osobowych oraz prawa autorskiego. Realizował szereg audytów ochrony danych osobowych w branży nowych technologii, jak również w największych podmiotach z branży HR. Nadzorował pod kątem prawnym wdrożenia systemów informatycznych typu SaaS oraz CRM. Posiada wieloletnie doświadczenie zawodowe związane zarówno z bieżącą obsługą klientów korporacyjnych, jak i prowadzeniem sporów sądowych, których przedmiotem są prawo prasowe, prawa własności intelektualnej oraz ochrona dóbr osobistych.
Czy istnieje zgoda domniemana uzyskana na podstawie tzw. obowiązku informacyjnego?
Zarówno na gruncie RODO, jak i ustawy Prawo komunikacji elektronicznej zgoda dorozumiana nie będzie ważna. Pamiętać jednak należy, że zgodnie z art. 398 ust. 2 Prawa komunikacji elektronicznej zgoda jest skuteczna jeśli użytkownik końcowy/abonent przekazał adres elektroniczny w celu przesyłania na niego informacji handlowej.
Oczywiście w ramach obowiązku informacyjnego konieczne jest wskazanie m.in. podstaw prawnych przetwarzania danych osobowych na potrzeby przesyłania informacji handlowej.
Badania satysfakcji – czy orzecznictwo i praktyka sądowa w ostatnim czasie przemawiają za interesem prawnym czy już raczej za zgodą ?
Zgodnie z orzecznictwem sądów administracyjnych badanie satysfakcji klienta należy traktować jako informację handlową, a co za tym idzie konieczne jest uzyskanie zgody na prowadzenie tego typu działań (tak m.in. Wojewódzki Sąd Administracyjny w Warszawie w wyroku w sprawie o sygn. II SA/Wa 715/22).
Jak ma się to do Healthcare w skali Kraju, Europy czy świata?
Pytanie nie jest jednoznaczne – nie wiadomo czy dotyczy łączenia danych na potrzeby profilowania, czy też kwestii zgód na informację handlową. Jeśli mowa o zgodach – ich pozyskiwanie jest konieczne niezależnie od branży, a więc będzie obejmować również healthcare.
W zakresie profilowania orzeczenie TSUE odnosiło się do kwestii reklamy targetowanej – z pewnością stosowanie profilowaniu przy wykorzystaniu danych dotyczących zdrowia podlega daleko idącym restrykcjom i na pewno nie może następować bez zgody osoby, której dane dotyczą.
Czego możemy się spodziewać w najbliższych latach jeśli chodzi o zmiany w prawie polskim i unijnym jeśli chodzi o przepisy dotyczące zgód i ODO?
Nie należy spodziewać się daleko idących zmian w zakresie zgód – nowe przepisy obowiązują dopiero od listopada. W kontekście samej ochrony danych osobowych, należy spodziewać się dużej liczby wytycznych oraz zmian legislacyjnych związanych z wejściem w życie AI Act.
Co zrobić, żeby firmy zewnętrzne nie kontaktowały się? Bardzo często dzwonią firmy, którym nie udzieliłam zgód marketingowych
Należy żądać zaprzestania takich działań oraz zapytać w jaki sposób i skąd uzyskali zgodę na podejmowanie działań polegających na przekazywaniu informacji handlowej. Następnie należy żądać usunięcia zgromadzonych danych, zastrzegając przy tym, że w innym przypadku skierowana zostanie skarga do Prezesa Urzędu Ochrony Danych Osobowych.
Czy jeśli nie wyrażę zgody na przesyłanie informacji handlowych i to uniemożliwia mi dalsze korzystanie z formularza albo strony internetowej – jest nielegalne? Czy w jakiś sposób można takie działanie uzasadnić?
Każdy przypadek należy traktować odrębnie, np. udostępnianie e-booka lub podobnych treści może być uzależnione od wyrażenia takiej zgody – treści te mogą bowiem zawierać właśnie informacje handlowe. Co za tym idzie wówczas można uzależniać przekazanie materiałów od udzielenia zgody. W innych wypadkach należy traktować takie działanie jako wymuszanie zgody, a więc działanie niezgodne z obowiązującymi przepisami.
Czy w sytuacji przesyłania newslettera dotyczącego realizacji umowy, potrzebujemy zgody?
Kontakt dotyczący wykonywania umowy zawartej z klientem nie stanowi „newslettera”, czy szerzej przesyłania informacji handlowej, a więc nie jest konieczne pozyskiwanie odrębnej zgody (przetwarzanie danych osobowych będzie odbywać się w oparciu o art. 6 ust. 1 lit. b RODO, ewentualnie art. 6 ust. 1 lit. f RODO). Pamiętać należy jednak o tym żeby przy tej okazji nie przekazywać informacji np. o innej ofercie danego przedsiębiorcy.
O co chodzi konkretnie z tą literką „i” w kontekście różnicy starych i nowych przepisów?
We wcześniejszych przepisach mowa była o tym, że bez zgody użytkownika końcowego „zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego lub przesyłania niezamówionej informacji handlowej”. Spójnik „i” zgodnie z zasadami logiki wskazywał, że takie systemy muszą być użyte łącznie (chociaż w mojej ocenie należało w tym przypadku posługiwać się wykładnią celowościową zacytowanego przepisu) aby wymagana była zgoda.
Usunięcie spójnika „i” skutkuje tym, że obecnie bezspornie używanie urządzenia końcowego lub automatycznego systemu wywołującego w ww. celach wymaga uzyskania uprzedniej zgody użytkownika.
Jakie najczęstsze błędy w niedostosowaniu zgód do prawa są popełniane przez firmy?
Najczęstsze błędy to tworzenie jednej zgody obejmującej kilka celów lub kanałów komunikacji. Ponadto często pojawiają się zgody, które mają umożliwić przesyłanie informacji handlowej większej liczbie (często nieokreślonych) podmiotów.
Jaka najwyższa kwota kary była zasądzona w Polsce za przesyłanie niechcianej informacji handlowej?
Do tej pory takie działania były zagrożone grzywną, a co za tym idzie nie były one duże. Nowe przepisy umożliwiające nakładanie kar przez UKE dopiero co weszły w życie, więc na ten moment nie doszło jeszcze do wydania jakichkolwiek decyzji w tym przedmiocie.
Należy jednak założyć, że w przypadku poważniejszych naruszeń kary będą sięgać kilkuset tysięcy złotych.
UKE ma narzędzie do nakładania kar, ale czy faktycznie są one nakładane i egzekwowane? Ciężko chyba czasem udowodnić przekroczenie granic, bo są one dość płynne?
Przepisy dot. nakładania kar pieniężnych w nowej wersji obowiązują od niedawna. Do tej pory kary nakładane przez UKE nie były zbyt duże, należy jednak spodziewać się, że ulegnie to zmianie.
Czy zatem posiadanie kodu META Pixel na stronie jest bezpieczne dla organizacji? Dane mogą być użyte wstecz.
Wszystko zależy od działań podejmowanych przy wykorzystaniu Pixela oraz jego ustawień. W kontekście omawianego orzeczenia – jeśli tworzony jest dokładny profil użytkownika, zawierający informacje pochodzące z social media oraz np. z własnego sklepu internetowego, w szczególności zawierający informacje będące tzw. danymi wrażliwymi (szczególnymi kategoriami danych osobowych, o których mowa w art. 9 ust. 1 RODO), takie działanie należy uznać za niezgodne z obowiązującymi przepisami.
Ale jakich informacji to dotyczy vs profilowanie? Tylko „wrażliwych”? Płeć też w to wchodzi?
Orzeczenie odnosi się do łączenia przez administratora danych osobowych zgromadzonych np. na jego platformie oraz danych osobowych pochodzących z innych źródeł (np. jego partnerów) i przetwarzania ich w celu reklamy ukierunkowanej. Orzeczenie nie różnicuje tutaj „zwykłych” danych osobowych oraz szczególnych kategorii danych osobowych (przy czym na marginesie wskazać należy, że płeć nie jest informacją, którą kwalifikuje się do szczególnych kategorii danych osobowych).
Jak powinna brzmieć podstawowa zgoda marketingowa w sklepie e-commerce?
Taka zgoda może brzmieć np. „wyrażam zgodę na przesyłanie na podany przeze mnie adres e-mail informacji handlowej podchodzącej od X”.
Jeśli w formularzu zbierania zgód mam 2 pola: telefon i e-mail, czy zgoda marketingowa (checkbox) może dotyczyć obu tych pól, jeśli zgody zapisują się jako 2 oddzielne rekordy?
Sposób zapisu rekordów nie ma tutaj żadnego znaczenia. Użytkownik musi mieć możliwość wyboru tylko jednego kanału komunikacji i nie może być zmuszany do udzielenia zgody zarówno na telefon, jak i e-mail.
Innymi słowy możliwe jest stworzenie modelu, w którym:
- Jeden checkbox umożliwia wyrażenie zgody na obydwa sposoby komunikacji.
- Jeden checkbox odnosi się do adresu e-mail;
- Jeden checkbox odnosi się do numeru telefonu.