Zgodnie z wyrokiem Naczelnego Sądu Administracyjnego z 14 marca 2019 r. (sygn. akt I OSK 1090/17), którego uzasadnienie niedawno opublikowano, klientowi, który wcześniej cofnął zgodę na przetwarzanie danych osobowych w celach marketingowych, nie można wyświetlać żadnych reklam w sytuacji gdy zaloguje się do serwisu administratora ‒ w tym takich, które nie są wynikiem profilowania i które nie różnią się niczym od reklam pojawiających się przed zalogowaniem, a więc wyświetlanych ogółowi odbiorców.
Reklamy w profilu użytkownika
Wyrok zapadł co prawda jeszcze na tle poprzedniej ustawy o ochronie danych osobowych, ale należy przypisać mu istotne znaczenie także przy stosowaniu aktualnie obowiązujących przepisów. Historia sprawy sięga 2012 roku, kiedy to klient spółki telekomunikacyjnej złożył sprzeciw wobec przetwarzania jego danych osobowych w celach marketingowych. Już po złożeniu (i – jak się później okazało – odnotowaniu) sprzeciwu, po zalogowaniu się na swój profil (w systemie dostawcy usług) użytkownikowi wyświetlał się baner reklamowy o treści: „Nie masz jeszcze dekodera? Zadzwoń”.
Użytkownik złożył skargę do Generalnego Inspektora Ochrony Danych Osobowych, który początkowo nie dopatrzył się naruszenia przepisów, jednak rozpatrując sprawę po raz drugi – na skutek wniosku o ponowne rozpatrzenie sprawy – zmienił zdanie i nakazał zaprzestanie przetwarzania danych osobowych skarżącego w celach marketingowych, uznając że taka właśnie sytuacja miała miejsce w sprawie.
Anonimowy a spersonalizowany przekaz
Spółka zaskarżyła decyzję do Wojewódzkiego Sądu Administracyjnego podnosząc, że w jej ocenie w sytuacji gdy ten sam baner reklamowy jest wyświetlany niezależnie od profilu użytkownika, nie dochodzi w ogóle do przetwarzania danych osobowych. Ani WSA, ani następnie NSA nie podzieliły jednak tej argumentacji. W uzasadnieniu orzeczenia wskazano, że „jeżeli po zalogowaniu do indywidualnego konta (przypisanego konkretnej osobie) klient ma możliwość zapoznania się z reklamą, to rzeczywiście świadczy to o wykorzystywaniu jego danych osobowych w celach marketingowych, co w przypadku złożenia sprzeciwu nie powinno mieć miejsca”.(…) „Czynność zalogowania do usług oferowanych przez skarżącą następuje (…) przy użyciu danych osobowych z wykorzystaniem przypisanego tym danym hasła i loginu. Stąd prawidłowo Sąd pierwszej instancji stwierdził, że z tym momentem zmienia się status internauty z anonimowego na znanego spersonalizowanego klienta. Po takim zalogowaniu powinien on mieć dostęp tylko do spersonalizowanych informacji tj. takich, które będą uwzględniały jego sprzeciw wobec kierowania do niego reklam”.
Wnioski
Na tle omawianego wyroku można poczynić naszym zdaniem następujące spostrzeżenia.
Po pierwsze, wyrok jest kontynuacją linii orzeczniczej prezentowanej przez NSA już wcześniej.
W wyroku z 5 grudnia 2018 r. (sygn. akt I OSK 53/17) sąd uznał, że jeśli klient banku złożył sprzeciw
w zakresie marketingu bezpośredniego, to po zalogowaniu się przez niego do internetowego systemu transakcyjnego niedopuszczalne jest wyświetlanie mu informacji o możliwych nowych produktach
w osobnej zakładce.
Po drugie, sąd powiązał przetwarzanie danych osobowych w celach marketingowych polegające na wyświetleniu reklamy, z koniecznością zalogowania się na konto. Przed zalogowaniem, z uwagi na to, że administrator nie jest w stanie zidentyfikować konkretnego klienta i powiązać go z jego preferencjami w zakresie komunikacji marketingowej, nie sposób wymagać od administratora respektowania złożonego wcześniej sprzeciwu (względnie wycofania zgody, jeśli taką przyjęto podstawę przetwarzania).
Po trzecie, należy wyraźnie podkreślić, że omawiany wyrok dotyczył sytuacji, w której podmiot X wyświetla swojemu klientowi – znanemu z imienia i nazwiska, więc ponad wszelką wątpliwość zidentyfikowanemu – reklamę dotyczącą swoich własnych produktów lub usług. Z tego powodu nie należy interpretować tego orzeczenia w sposób rozszerzający poprzez przenoszenie jego tezy na funkcjonowanie rynku tzw. reklamy behawioralnej, gdzie bardzo często w procesie przetwarzania występuje wielu graczy (podmioty wyświetlające reklamy, podmioty których reklamy są wyświetlane, platformy pośredniczące), a role tych podmiotów nierzadko są trudne do określenia.
Do tego tematu będziemy wracać na łamach GDPR.pl
Autor: apl. adw. Piotr Wenski