23:30
21/7/2014

W tym tygodniu cyklu Poniedziałek z Prawnikiem zajmiemy się “wymuszaniem” zgód w formularzach na stronach internetowych — często nie da się wysłać formularza jeśli wcześniej nie zaznaczy się pola dotyczącego udostępnienia swoich danych osobowych w celach marketingowych (wyrażenie zgody na przesyłanie informacji handlowych). Czy jest to działanie zgodne z prawem? Pyta jeden z naszych czytelników.

Na Wasze pytania odpowiada Jarosław Góra, adwokat oraz szef departamentu Nowych Technologii i IP w kancelarii Ślązak, Zapiór i Wspólnicy, autor ipbloga.

List od czytelnika:

Przy rejestracji do panelu [nazwa firmy telekomunikacyjnej] wymagane jest zaznaczenie wyrażenia zgody na: “Wyrażam zgodę na przesyłanie informacji handlowej środkami komunikacji elektronicznej.” Czy wyrażenie zgody na tego typu usługi może, zgodnie z polskim prawem, być warunkiem świadczenia jakiejkolwiek usługi? Czy taki wymóg jest legalny?

Jarosław Góra: Zarysowany temat należy rozstrzygnąć na gruncie ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogę elektroniczną, która w art. 10 wprowadza zakaz rozsyłania tzw. spamu. Zgodnie z ust. 1 wskazanego przepisu zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Art. 10 ust. 2 stanowi, iż informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny. (por. Co jest spamem i jak pozwać spamera [Poniedziałek z Prawnikiem]).

Przepis wprowadza tzw. system opt-in, a więc wymóg uzyskania uprzedniej zgody odbiorcy na otrzymanie informacji handlowej przekazywanej środkami komunikacji elektronicznej, szeroko rozumianej (mail, SMS itd.). Celem uregulowania kwestii przesyłania informacji handlowych droga elektroniczną w ten właśnie sposób jest ochrona prywatności potencjalnych adresatów materiałów reklamowych, która może zostać naruszona przez tą, mającą inwazyjny charakter, działalnością.

W art. 4 komentowanej ustawy wskazano, że w przypadkach kiedy ustawa wymaga uzyskania zgody usługobiorcy (tu: adresata wiadomości zawierającej informacje handlowe), to zgoda ta nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści oraz może być odwołana w każdym czasie. Oznacza to, że ewentualna zgoda musi być wyraźna (odrębny zapis, dotyczący właśnie tej kwestii).

W przedstawionym przez czytelnika przykładzie można uznać, że treść zgody jest wyraźna, bezpośrednio bowiem wskazuje, czego dotyczy. Można jedynie wskazać, że jej treść mogłaby być bardziej szczegółowa, np. wskazująca dokładnie nadawcę tego rodzaju wiadomości oraz zakres zgody (choć w doktrynie przyjmuje się możliwość udzielenia tzw. zgody blankietowej – bez wskazania o jakie informacje handlowe chodzi).

Jeśli natomiast chodzi o kwestie powiązania wyrażenia zgody na otrzymywanie wiadomości zawierających informacje handlowe ze świadczeniem usług, poprzez uzależnienie jednego od drugiego, to w mojej ocenie jest to prawnie dopuszczalne. Przepisy wyraźnie wskazują, iż zgoda musi mieć charakter dobrowolny (inaczej w ogóle nie mamy do czynienia ze zgoda) i wyraźny. Można przyjąć, że skoro samo zawarcie umowy w zakresie świadczenia usług jest dobrowolne, to również powiązane z tym wyrażenie zgody na otrzymywanie informacji handlowych ma taki charakter. Istnieje bowiem w takiej sytuacji alternatywa nieskorzystania z usług i wybór usługodawcy, który nie uzależnia od siebie tych dwóch elementów.

Spotkałem się z odmiennym stanowiskiem, zgodnie z którym takie sprzężenie tych dwóch elementów nie jest dopuszczalne, jednak nie wiem, z czego miałoby to wynikać. Zatem jeśli ktoś ma jakiś pomysł, chętnie podyskutuję.

Praktyka wskazuje, że tego rodzaju powiązania świadczenia usług ze zgodą na mailing najczęściej spotykane jest w przypadku usług darmowych (możliwość przesyłania reklam jest swoistego rodzaju „zapłatą” za usługę), natomiast brak uzależnienie tych dwóch elementów i możliwość nieudzielenia zgody (oderwanie od usług) częściej spotyka się w przypadku usług płatnych.

Temat spamu poruszyłem kiedyś na IP Blogu, zapraszam do poczytania.

Jarosław Góra

Jarosław Góra

Jarosław Góra, absolwent UJ, fascynat kwestii związanych z twórczością i nowymi technologiami. W pracy zawodowej rozwija specjalizację IP oraz zajmuje się prawem funkcjonującym w otaczającej nas cyberprzestrzeni i kwestiami związanymi z dowodami elektronicznymi i informatyką śledczą. Stara się burzyć utarty do przesady poważny i nudny obraz adwokata.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

29 komentarzy

Dodaj komentarz
  1. jest to swego rodzaju sprzedaż wiązana, “nie skorzystasz z naszych usług, jeśli nie zgodzisz się otrzymywać od nas spamu”
    niby można z tego zrezygnować później, ale nie zawsze jest to wystarczająco łatwe
    moralnie jak najbardziej haniebne, prawnie niestety jak widać…

  2. A kwestia cofnięcia zgody zaraz po jej nadaniu?
    Zgodnie z “W art. 4 komentowanej ustawy wskazano, […] może być odwołana w każdym czasie”?
    Cofnięcie zgody po rejestracji powinno zablokować możliwość przesyłania nam reklamy.

    • Zależy od usługi. Zazwyczaj w przypadku usług darmowych (np. kont mailowych) cofnięcie zgody oznacza rezygnację z usługi (zgodnie z regulaminem).

  3. Czy taką zgodę można zawsze cofnąć czy może jakiś zapis regulaminu lub umowy może mnie zmusić do otrzymywania takich marketingowych śmieci do końca trwania zobowiązania umowy głównej?

  4. Albo mi się wydaje, albo ten temat był już poruszany, czemu ta powtórka?

  5. W takiej sytuacji nie można się zarejestrować i od razu po rejestracji cofnąć swojego pozwolenia na otrzymywanie spamu (“może być odwołana w każdym czasie”)? Czy w takiej sytuacji usługodawca też może oświadczyć, że jak nie koniec otrzymywania spamu pociąga koniec świadczenia usługi?

  6. Odmienne stanowisko wynika zapewne z tego fragmentu ustawy “może być odwołana w każdym czasie”

    • No właśnie nie jestem przekonany. Nawiązując do komentarzy powyżej – moim zdaniem nie można wyłączyć prawa do wycofania zgody, jednak skorzystanie z tego prawa możne pociągać za sobą rozwiązanie umowy głównej – oczywiście jeśli umowa to przewiduje.

  7. “Spotkałem się z odmiennym stanowiskiem, zgodnie z którym takie sprzężenie tych dwóch elementów nie jest dopuszczalne, jednak nie wiem, z czego miałoby to wynikać”
    ot cała kwintesencja prawników: jeden tak, drugi siak, a kasa leci.

  8. Polecam poczytać http://www.giodo.gov.pl/317/id_art/1507/j/pl/
    W skrócie dla leniwych: “nie można uzależniać wykonania umowy od wyrażenia zgody na przetwarzanie danych osobowych w określonym celu. Ponadto, na wykorzystywanie danych w celu zawarcia lub wykonania umowy zgoda w ogóle nie jest potrzebna.”
    Oświadczenia woli nie mozna wymusić. Wolą klienta jest skorzystanie z usługi, nie przekazanie swoich danych do celów handlowych. Spór tutaj o Art 7. pkt 5WUstawy o Ochronie Danych Osobowych, http://ustawa.ws/ochrona_danych_osobowych/art7.htm
    Wymaganie tego typu zgody by skorzystać z usługi jest wymuszeniem i jeśli sie nie mylę znajduje się w rejestrze klauzul niedozwolonych, czy jak to się tam nazywało (karalne w max wysokości 10% przychodu w roku poprzedzającym za praktyki naruszające zbiorowe interesy konsumentów).
    Czyli: można nie udzielic zgody na przetwarzanie danych i chciec skorzystać z usługi – usługodawca może użyć danych TYLKO w celach wykonania umowy, zgodnie z art. 23 pkt 1 ust 3 http://ustawa.ws/ochrona_danych_osobowych/art23.htm – zaś jeśli wykonania usługi odmówi przez brak zgody… to wiadomo – nagrac, zgłosić gdzie trzeba ;) A prócz tego jeszcze Art 135 i 138 Kodeksu Wykroczeń, zależnie który będzie pasował: http://kodeks.ws/wykroczen/art135.htm http://kodeks.ws/wykroczen/art138.htm
    Teraz pytanie tylko jak to wymusić przez internet, gdzie skrypt napisany jest tak a nie inaczej. Zostaje chyba tylko zawrzeć umowę bez pośrednictwa internetu.

    • Ale tu są poruszane 2 trochę osobne kwestie: przetwarzanie DO i spam. Do wysyłania informacji handlowych na darmowe konta email, dostawca usługi nawet nie musi przetwarzać żadnych danych osobowych, nawet adresu email nie trzeba. Wystarczy skrypt, który hurtowo prześle reklamę na wszystkie konta, które nie figurują w bazie jako płatne.

    • A informacje handlowe – tzn reklamy – to juz nie część marketingu? A spam nagle ni jest karalny? ;)

    • kompletne bzdury, jak cytujesz to cytuj zgodnie z “duchem” źródła:
      “Zgodnie treścią wyroku Naczelnego Sądu Administracyjnego z dnia 19 listopada 2001 r. (sygn. akt II SA 2748/00) “nie ulega wątpliwości, iż celem osoby zawierającej umowę jest chęć nabycia oferowanego produktu za ustaloną opłatą, a nie chęć pozbycia się swojego prawa do ochrony danych osobowych określonego w art. 1 ust. 1 ustawy. ”
      tutaj mamy sytuację odwrotną, nie umowę usługi “za ustaloną opłatą” a nieodpłatny dostęp do usługi zamian za “CHĘĆ pozbycia się swojego prawa do ochrony danych osobowych określonego… “, co jest zgodne z prawem! polecam całą lekturę II SA 2748/00

  9. Czy nic nie stoi na przeszkodzie, żeby chwile po przesłania formularza rejestrującego usługę wraz z wyrażeniem zgody na przetwarzanie danych w celach marketingowych, wysłać maila odwołującego tą zgodę? Wydaje się to być prostym rozwiązaniem.

    • Absolutnie nic nie stoi na przeszkodzie żeby tak zrobić. Moim zdaniem (prawnikiem nie jestem) wciąż daje to jednak pewne pole do zrobienia czegoś z tymi danymi, w końcu między rejestracją na stronie a chwilę potem odwołaniu zgody (która zapewne musi byc obsłuzona przez człowieka który przestawi system) jest wystarczająco czasu by zautomatyzowany skrypt zrobił z naszymi danymi dokładnie to samo co z resztą, tak jak został zaprogramowany. W takiej sytuacji raczej nie da sie nic zrobic niż rozsyłać wycofanie zgody i żądanie usunięcia danych do każdej jednej firmy która jakims cudem weszła w posiadanie naszych danych.
      Wciąż tez nie wiem, jesli jakaś firma nielegalnie sprzeda/rozprzestrzeni dane, jak to udowodnić i wykryć. Jak ktoś ma jakieś info, ładnie proszę by sie podzielić :)

    • @Akryl: Akurat o tym jak wykryć było na Niebezpieczniku ostatnio głośno: rejestrując się teraz gdziekolwiek podajesz swój adres e-mail, więc korzystając z aliasów gmaila (np jacek.cygan@gmail będzie działać jak jacekcygan@gmail) w każdym serwisie podajesz unikatowy adres e-mail. Ważne jest, żebyś miał pewność, że użyłeś go tam i tylko tam, oraz, że wiesz które adresy w których serwisach wykorzystałeś. Wtedy gdy dostajesz spam na j.a.cekcygan@gmail.com sprawdzasz której firmie go udostępniłeś, jeśli nie ta firma Cię spamuje, to chociaż wiesz skąd jest wyciek i gdzie uderzyć.

  10. Temat na następny “Poniedziałek”:
    Od kogo i w jakich okolicznościach policja może zażądać okazania telefonu w celu sprawdzenia IMEI w bazie skradzionych tel?

  11. Szanowny Panie Prawniku,

    w nawiązaniu do “Spotkałem się z odmiennym stanowiskiem, zgodnie z którym takie sprzężenie tych dwóch elementów nie jest dopuszczalne, jednak nie wiem, z czego miałoby to wynikać. Zatem jeśli ktoś ma jakiś pomysł, chętnie podyskutuję.” śpiesznie informuję, że art. 4 ust. 1 pkt 2 ustawy wskazuje wyraźnie, że: “jeżeli ustawa wymaga uzyskania zgody usługobiorcy to zgoda ta może być odwołana w każdym czasie.”. W związku z powyższym, jeżeli we wspomnianym formularzu rejestracyjnym nie ma możliwości odwołania takiej zgody, to nie jest spełniony wymóg możliwości odwołania zgody w każdym czasie (a więc również podczas rejestrowania się do usługi gdzie taka zgoda jest wymuszana), tym samym jest to działanie bezprawne.

    Jeżeli usługodawca stwierdzi, że bez w/w zgodny nie może świadczyć usługi, to można przywołać zapis art. 385(1) § 1 KC: “Postanowienia umowy zawieranej z konsumentem nie uzgodnione indywidualnie nie wiążą go, jeżeli kształtują jego prawa i obowiązki w sposób sprzeczny z dobrymi obyczajami, rażąco naruszając jego interesy (niedozwolone postanowienia umowne).”. Obowiązek wyrażenia zgody na otrzymywanie informacji handlowej podczas zamawiania innej usługi nie jest uzgadniany indywidualnie z konsumentem i wystarczy wykazać, że rażąco narusza interesy konsumenta, co dla prawnika będzie to bardzo łatwe (chyba że to marny prawnik).

    • Nie ma wymagania, aby “odwołanie w każdym czasie” musiało być realizowane w taki sam sposób (na formularzu) jak udzielenie zgody. Odwołanie zgody może być realizowane także ustnie, emailowo, listownie, osobiście, etc.
      Tak więc… wbrew temu co piszesz nie musi to być “ptaszek” na formularzu rejestracyjnym.

    • Ciężko jest odwołać zgodę w formularzu, ponieważ dopiero przy wysłaniu formularza zgoda jest udzielana.
      W dowolnym momencie możesz odwołać zgodę, ale po co dawać Ci możliwość odwołania zgody *przed* jej udzieleniem?
      To nie robi sęsó.

    • Bezsensowne jest to, że w formularzu rejestracyjnym nie możemy zdecydować czy chcemy otrzymać informacje handlową czy nie, tylko operatorzy nie dając pola wyboru w formularzu zmuszają użytkowników do wyrażenia takiej zgody. Potem jedynym sposobem jej odwołania jest złożenie reklamacji i czekanie 30 dni.

      Przecież właśnie o tym jest cały artykuł :-)

    • A po to żeby te dane nigdy nie trafiły do bazy firmy opatrzone taką zgodą. Jak pisałem w komentarzu wyżej – udzielasz zgody w formularzu bo nie masz wyjścia, potem e-mailem odwolujesz – ale zanim człowiek po drugiej stronie tego maila odbierze i zrobi co trzeba (i to zakąłdając że jest dobrej woli), zautomatyzowany skrypt już dawno może te dane wymienić z innymi firmami. A własnie tego usiłujemy uniknąć.

  12. Ustawa nie precyzuje formy w jakiej ma nastąpić odwołanie zgody, ale zobowiązuje usługodawcę do umożliwienia odwołania zgody w każdym czasie, a więc również w momencie rejestracji użytkownika do usługi.
    Obecnie jedynym stosowanym przez operatorów sposobem odwołania zgody jest zgłoszenie reklamacji i w tym trybie operatorzy rozpatrują żądaniE najczęściej w ciągu 30 dni. W tym czasie dane (najczęściej w sposób niekontrolowany, jak miało to miejsce u jednego z operatorów) są przekazywane do innych podmiotów współpracujących z operatorem. Takie postępowanie jest całkowicie bezprawne. Reklamacja jest procedurą uznaniową i w chwili złożenia reklamacji nie następuje automatycznie zaprzestanie przetwarzania naszych danych. Zwrot “w każdej chwili” nie oznacza przecież, że operator może np. za 10 lat po przyjęciu naszego zgłoszenia zaprzestać przetwarzać dane, lecz chodzi o natychmiastowy skutek prawny. Odwołanie zgody musi być realizowane równie szybko jak pozyskanie zgody, dlatego wspomniany formularz wydaje się najrozsądniejszym rozwiązaniem. Obecnie stosowane przez operatorów praktyki nie zachowują symetrii pomiędzy czasem potrzebnym do pozyskaniem zgody i czasem potrzebnym do jej odwołania.

    Ponadto wspomniany przeze mnie zapis art. 385(1) § 1 KC chroni nas przed takimi rażąco naruszającymi nasze interesy (konsumentów) praktykami ze strony operatorów.

    • 1) Nie można odwołać zgody przed jej udzieleniem.
      2) Operatorzy nie zakazują lub nie umożliwiają wysłania mejla tudzież listu na papierze do BOK-u, więc nic nie blokuje możliwości odwołania zgody. Można to zrobić również telefonicznie lub osobiście w biurze, byle tylko można to było później udokumentować do ewentualnych celów procesowych.
      3) Odwołanie zgody to nie reklamacja i jej skutek następuje natychmiast, a ważność od chwili doręczenia pisma/mejla, więc każde przekazanie naszych danych innym podmiotom po tej dacie jest już bezprawne.

  13. Kolego Legion,

    Ad. 1) Zgadza się, dlatego w formularzu powinna być możliwość wyboru czy chcemy wyrazić zgodę, czy nie a takiej możliwości nie mamy. Po to właśnie cała ta dyskusja.

    Ad. 2) Przeczytaj proszę jeszcze raz ze zrozumieniem, co napisałem wcześniej. Nigdzie nie napisałem, że operatorzy “zakazują lub uniemożliwiają umożliwiają wysłania mejla tudzież listu na papierze do BOK-u”.

    Ad. 3) Właśnie o tym napisałem, że odwołanie zgody nie może być traktowane jako reklamacja, ale niestety taka jest właśnie praktyka. Napisałem to na podstawie osobistych doświadczeń z siecią Orange. W przypadku takiego zgłoszenia reklamacyjnego natychmiastowość odwołania zgody jest wyłącznie fikcyjna, bo reklamacje są rozpatrywane przez kilka tygodni, a w tym czasie nasze dane są nadal przetwarzane.

  14. Super, że nie wolno tego robić, tylko gdzie i jak to zgłosić, jeżeli spotkam się z taką praktyką? I jakie są kary?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: