W JAKI SPOSÓB AGENCJA REKLAMOWA MOŻE PRZEPROWADZIĆ ZGODNIE Z USTAWĄ O OCHRONIE DANYCH OSOBOWYCH AKCJĘ PROMOCYJNĄ, POLEGAJĄCĄ NA ZEBRANIU ADRESÓW E-MAIL I PRZEKAZANIU ICH SWOJEMU KLIENTOWI DO CELÓW MARKETINGOWYCH? CZY MOŻNA WYSYŁAĆ INFORMACJE NA ADRESY E-MAIL, KTÓRE ZNAJDUJĄ SIĘ W POSIADANEJ BAZIE DANYCH, BEZ POZYSKIWANIA KAŻDORAZOWO ZGODY OSÓB, DO KTÓRYCH KIEROWANA BĘDZIE KORESPONDENCJA?
Prawo nie zawiera zamkniętego katalogu danych osobowych. By zakwalifikować dane jako dane osobowe każdorazowo należy dokonać oceny uwzględniając okoliczności oraz rodzaj środków i metody potrzebne do identyfikacji danej osoby.
Idąc tym tropem by ocenić, czy określony adres e-mail będzie daną osobową niezbędna będzie analiza wszelkich informacji związanych z danym adresem e-mail (np. IP komputera, czy danych z formularza wypełnianego przy tworzeniu konta pocztowego).
Dopiero po przeanalizowaniu tych informacji – dane uzyskane z tej analizy będą mogły pozwolić na bezpośrednie zidentyfikowanie osoby fizycznej lub umożliwią jej pośrednią identyfikację. Istnieje zatem możliwość identyfikacji osoby będącej użytkownikiem danego adresu, podobnie jak na podstawie adresu IP użytkownika komputera. Podstawowym kryterium ułatwiającym uznanie adresu e-mail za daną osobową będzie w szczególności jego treść (np. zawierająca imię lub skrót imienia i nazwisko). Nie zawsze jednak adres ten doprowadzi do identyfikacji osoby fizycznej. Może dotyczyć również podmiotów innych niż będących osobami fizycznymi. Adres poczty elektronicznej należy zatem traktować jako informację, która potencjalnie może być daną osobową, ale z uwzględnieniem wszelkich okoliczności występujących w konkretnym przypadku.
Przetwarzanie danych zgodnie z prawem wymaga spełnienia co najmniej jednego z warunków określonych w art. 23 ust. 1 ustawy (co do danych tzw. „zwykłych” – jak np. imię, nazwisko, adres zamieszkania) oraz w art. 27 ust. 2 ustawy (w odniesieniu do danych szczególnie chronionych – ich katalog został określony w art. 27 ust. 1 ustawy).
Ponadto administrator danych powinien dopełnić również innych obowiązków wynikających z ww. ustawy, do których należą:
- obowiązek informacyjny (art. 24 lub 25 ustawy),
- obowiązek przetwarzania danych osobowych zgodnie z zasadami legalizmu, związania celem, adekwatności (art. 26 ust. 1 ustawy),
- obowiązek respektowania praw kontrolnych osób, których dane dotyczą,
- obowiązek odpowiedniego zabezpieczenia danych osobowych (rozdział 5 ustawy),
- obowiązek zgłoszenia zbioru danych osobowych do rejestracji, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 pkt 1 – 11.
Ustawa o świadczeniu usług drogą elektroniczną, reguluje kwestie dotyczące obowiązków usługodawców związanych ze świadczeniem usług drogą elektroniczną oraz zasady ochrony danych osobowych użytkowników poczty elektronicznej. Zakazane jest przesyłanie za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej, niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy (art. 10 ust. 1 ww. ustawy).
Informację handlową – w myśl art. 10 ust. 2 ustawy – uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na jej otrzymywanie, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
Art. 4 ust. 1 ustawy o świadczeniu usług drogą elektroniczną stanowi, iż jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta nie może być domniemana lub dorozumiana, ponadto może być odwołana w każdym czasie.
Z art. 10 ust. 3 ww. ustawy wynika natomiast, iż przesyłanie niezamówionej informacji handlowej (tzw. spamming) stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz. U. z 2003 r. Nr 153, poz. 1503 z późn. zm.). W takiej sytuacji osoba, do której kierowana jest przedmiotowa informacja, może zwrócić się do właściwego ze względu na miejsce jej zamieszkania miejskiego (powiatowego) rzecznika konsumentów.