Płatność danymi osobowymi - kiedy informacje o nas stają się walutą
2022-08-26 14:36
Zgoda na przetwarzanie danych osobowych w celach marketingowych warunkiem uzyskania świadczenia © Pete Linforth z Pixabay
Przeczytaj także: Powierzenie przetwarzania danych osobowych a ich udostępnienie - jakie różnice?
Wychodząc od ogólnych zasad związanych z zawieraniem umów, w tym zasady swobody umów, nie ma wątpliwości, że taka sytuacja będzie dopuszczalna. Jednakże sama zasada swobody umów to zbyt mało, by móc ocenić zjawisko „płatności” danymi osobowymi. Trzeba bowiem wziąć pod uwagę fakt, że dane osobowe jako swoiste świadczenie wzajemne jest kategorią znacznie różniącą się chociażby od tradycyjnego pieniądza czy świadczeń o charakterze barterowym. Wynika to przede wszystkim z faktu, że dane osobowe w świetle prawa stanowią odrębny przedmiot ochrony w tym na mocy RODO czy też dodatkowych przepisów dotyczących chociażby świadczenia usług drogą elektroniczną.Wziąć pod uwagę musimy także kwestię tego, kto „płaci” danymi osobowymi – często będzie to konsument, zatem rozważyć należy również aspekty dotyczące ochrony praw konsumenta i kwestii klauzul abuzywnych. Już te trzy płaszczyzny powodują, że zwyczajne „pozostawienie” adresu email w zamian za udzielenie dodatkowego rabatu na zakupy w sklepie internetowym czy zapisanie się do programu lojalnościowego, pozwalającego na uzyskanie zniżek i rabatów w zamian za zbierane punkty przestaje być prostą i nieistotną czynnością, ale zyskuje duże znaczenie w kontekście prawnym i biznesowym.
Zastanawiając się nad zjawiskiem płatności danymi osobowymi w kontekście umów zawieranych w Internecie, gdzie jednym ze świadczeń są dane dotyczące strony takiej umowy będącej osobą fizyczną, nie można zapominać o zakresie definicji danych osobowych wyrażonej w RODO. Jak wskazuje art. 4 pkt. 1 RODO, dane osobowe to „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”, tym samym – choć w dalszej części przepisu definicja zawiera wymienienie przykładów takich danych – to jest ona skonstruowana na tyle szeroko, że w zasadzie w każdym przypadku należy szczegółowo rozważyć, czy mamy do czynienia z danymi osobowymi.
Pewne kategorie danych osobowych jak np. adres email czy numer telefonu nie budzą tutaj większych wątpliwości co do swojego charakteru. Ważne jest również to, jak wygląda proces pozyskania takich danych osobowych przez przedsiębiorcę i na jakiej podstawie dane te przetwarza. Przedsiębiorca w takim wypadku ma do wyboru dwa modele, oparte o dwie różne przesłanki przetwarzania danych osobowych wynikające z RODO.
W pierwszym z modeli użytkownik, który chce skorzystać np. z darmowego ebooka na odpowiedniej podstronie serwisu lub landing page przedsiębiorcy pozostawia swój adres email i zaznacza odpowiednie oświadczenia o udzieleniu zgody. Wśród nich znajdzie się zapewne również zgoda na przetwarzanie danych osobowych w celach marketingowych administratora danych osobowych, która będzie wymagana od użytkownika, jeżeli ten chce uzyskać dostęp do treści cyfrowych. W takiej sytuacji faktyczną zapłatą za uzyskanie usługi cyfrowej w postaci ebooka będzie udzielenie zgody na przetwarzanie danych osobowych w celach marketingowych.
Z samym udzieleniem zgody wiąże się jedna z wątpliwości jakie pojawiają się w kontekście płatności danymi osobowymi. Zgodnie bowiem z art. 7 ust. 4 RODO, zgoda powinna mieć charakter dobrowolny czyli niewymuszony na użytkowniku. Dodatkowo – zgoda w przypadku, o którym mowa powyżej, nie może również być powiązana z wykonaniem umowy, dla której to przetwarzanie danych osobowych nie jest niezbędne.
fot. Pete Linforth z Pixabay
Zgoda na przetwarzanie danych osobowych w celach marketingowych warunkiem uzyskania świadczenia
Z drugiej strony należy wziąć pod uwagę, że w przypadku np. przekazania w zamian za dane osobowe ebooka lub innego podobnego świadczenia, udzielenie takiej zgody może zostać ocenione pozytywnie w świetle art. 7 ust. 4 RODO, a więc jako zgodne z przepisami, o ile za podobne świadczenie użytkownik może zapłacić lub może je uzyskać od innego administratora danych osobowych bez udzielania zgody. Skoro zatem użytkownik ma wybór w postaci uzyskania świadczenia od przedsiębiorcy w zamian za udostępnienie mu swoich danych osobowych oraz możliwości uzyskania podobnego świadczenia bez konieczność przekazania danych osobowych jak formy świadczenia ekwiwalentnego, to zgoda w dalszym ciągu zachowuje dobrowolny charakter, mimo, iż użytkownik otrzymuje jasny komunikat, że będzie ona niezbędna, jeżeli chce otrzymać świadczenie od przedsiębiorcy.
Opisany wyżej model biznesowy, to zaledwie jeden ze sposobów, w jaki można „zapłacić” danymi za świadczenie otrzymane przez użytkownika od przedsiębiorcy. Drugim z nich jest rozwiązanie oparte nie o zgodę, ale o przetwarzanie danych osobowych w związku z wykonywaniem umowy między jej stronami. W takim podejściu do przetwarzania i pozyskiwania danych jako zapłaty za świadczenie drugiej strony, podstawą do przetwarzania danych osobowych użytkownika, będzie z kolei uzasadniony interes administratora danych osobowych. Jest to przesłanka z jednej strony bardzo szeroka, z drugiej zaś – zawsze ocenna i uzależniona od tego, czy interes ten nie narusza praw i wolności osób, których dane dotyczą.
Operując tą podstawą przetwarzania danych osobowych nie można jej traktować jako uniwersalnego rozwiązania w przypadku braku innych podstaw przetwarzania, gdyż zawsze przesłanka taka musi się odnosić do konkretnego stanu faktycznego, co przejawia się m.in. chociażby w konkretnym opisaniu charakteru tego interesu w przypadku informowania o przetwarzaniu danych osobowych.
Takie – funkcjonalne – podejście do tej przesłanki przetwarzania danych osobowych potwierdza chociażby brzmienie motywu 47 RODO, w którym wskazano, że:
Podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora, w tym administratora, któremu mogą zostać ujawnione dane osobowe, lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. (…) Aby stwierdzić istnienie prawnie uzasadnionego interesu, należałoby w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.
Najczęstszym przykładem sytuacji, o której mowa w motywie 47 RODO jest chociażby marketing bezpośredni usług lub produktów administratora danych osobowych lub podmiotów z nim powiązanych. Warunkiem dopuszczalności takich działań jest z kolei odpowiednie poinformowanie osób, których dane dotyczą, o takim sposobie przetwarzania ich danych osobowych na etapie zbierania danych osobowych, zgodnie z art. 13 RODO oraz rozważenie kwestii związanych chociażby ze zmianą celu przetwarzania danych osobowych czy też ustalenie kwestii, czy dane osobowe nie będą przetwarzane w sposób zautomatyzowany, a zatem możliwością realizacji uprawnienia do niepodlegania zautomatyzowanym decyzjom, o których mowa art. 22 RODO.
Rozważenia wymaga również kwestia, czy w przypadku przetwarzania danych w oparciu o przesłankę uzasadnionego interesu administratora i następnie wykorzystania ich w celu marketing bezpośredniego nie będzie konieczne uzyskanie dodatkowych zgód na przesłanie informacji handlowej, o której z kolei mówi ustawa o świadczeniu usług drogą elektroniczną.
Nie można również zapomnieć, że niezależnie od wybranego modelu biznesowego, zawsze obowiązują zasady przetwarzania danych osobowych wskazane w art. 5 RODO, a wśród nich – zasada minimalizacji danych, mówiąca o tym, że w aby zrealizować cel przetwarzania ustalony przez administratora danych osobowych, powinien on wykorzystywać jedynie dane niezbędne do tego celu.
Podsumowując powyższe, należy zauważyć, że jedynie na polu ochrony danych osobowych traktowanie danych osobowych jako formy swoistej waluty lub świadczenia zamiennego wiąże się z szeregiem obowiązków i decyzji, które musi podjąć przedsiębiorca zanim zdecyduje się na pozyskiwanie danych osobowych użytkowników w zamian za oferowane przez niego świadczenia. Samo zaś „płacenie” danymi osobowymi to zagadnienie znacznie szersze niż tylko pozostawienie adresu email w odpowiednim polu w serwisie internetowym i może być rozpatrywane na wielu płaszczyznach.
Magdalena Druzic, radca prawny, szef specjalizacji prawo nowych technologii w Gut i Wspólnicy Kancelaria Prawna sp.k.
oprac. : eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)