Sankcje za mailing bez zgody odbiorcy
Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej (art. 10 pkt 1 u.ś.u.d.e.).
Według stanowiska doktryny pojęcie informacji handlowej oznacza wszystkie informacje służące bezpośrednio lub pośrednio promowaniu towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód, jeżeli informacje te mają na celu osiągnięcie efektu handlowego pożądanego przez podmiot rozpowszechniający, w szczególności wynagrodzenie lub inne korzyści od producentów lub sprzedawców (vide M. duVall, E. Nowińska, Komentarz do ustawy o świadczeniu usług drogą elektroniczną, [w:] Ustawa o zwalczaniu nieuczciwej konkurencji. Komentarz, LEX 2013).W świetle powyższego, poprzez niezamówioną informację handlową rozumiany jest także mailing marketingowy, mający na celu osiągnięcie efektu handlowego pożądanego przez podmiot, który zleca jego rozpowszechnianie.
Przesyłanie przez przedsiębiorcę niezamówionej informacji handlowej wbrew zakazowi, o którym mowa w art. 10 pkt 1 u.ś.u.d.e., stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów o zwalczaniu nieuczciwej konkurencji oraz wykroczenie zagrożone karą grzywny (art. 24 u.ś.u.d.e.) w wysokości od 20 do 5000 złotych (art. 24 § 1 k.w.).
Ponadto, zgodnie z art. 172 ust. 1 P.t. zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Wskazuje się, że marketing bezpośredni stanowi działalność polegającą na dostarczaniu bezpośrednio klientom informacji lub propozycji dotyczących sprzedaży towarów i usług poprzez różne kanały komunikowania (vide S. Piątek, Prawo telekomunikacyjne. Komentarz, Legalis 2019).
Skierowanie przez przedsiębiorcę przekazu marketingowego bezpośrednio do abonenta lub użytkownika końcowego przy użyciu telekomunikacyjnego urządzenia końcowego lub automatycznego systemu wywołującego bez zgody abonenta lub użytkownika końcowego może skutkować nałożeniem na przedsiębiorcę kary pieniężnej przez Prezesa Urzędu Komunikacji Elektronicznej (art. 209 ust. 1 pkt 25 p.t.).
Kary pieniężne nakładane są w drodze decyzji administracyjnej w wysokości do 3% przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym (art. 210 ust. 1 p.t.). Ustalając wysokość kary pieniężnej, Prezes Urzędu uwzględnia zakres naruszenia, dotychczasową działalność podmiotu oraz jego możliwości finansowe, natomiast podmiot jest obowiązany do dostarczenia Prezesowi Urzędu, na każde jego żądanie, w terminie 30 dni od dnia otrzymania żądania, danych niezbędnych do określenia podstawy wymiaru kary pieniężnej (art. 210 ust. 2-3 p.t.).
Kara może zostać nałożona także w przypadku, gdy podmiot zaprzestał naruszania prawa lub naprawił wyrządzoną szkodę, jeżeli Prezes Urzędu uzna, że przemawiają za tym czas trwania, zakres lub skutki naruszenia (art. 209 ust. 1a p.t.).
Dodatkowo, niezależnie od kar pieniężnych, Prezes Urzędu może nałożyć na kierującego przedsiębiorstwem telekomunikacyjnym, w szczególności osobę pełniącą funkcję kierowniczą lub wchodzącą w skład organu zarządzającego przedsiębiorcy telekomunikacyjnego lub związku takich przedsiębiorców, karę pieniężną w wysokości do 300% jego miesięcznego wynagrodzenia, naliczanego jak dla celów ekwiwalentu za urlop wypoczynkowy (art. 209 ust. 2 p.t.).
W przypadku niedostarczenia danych niezbędnych dla ustalenia wymiaru kary pieniężnej lub gdy dostarczone dane uniemożliwiają ustalenie podstawy wymiaru kary, Prezes Urzędu może ustalić podstawę wymiaru kary pieniężnej w sposób szacunkowy, nie mniejszą jednak niż 500 000 złotych (art. 210 ust. 3 p.t.).
Zgodnie ze stanowiskiem Sądu Najwyższego wyrażonym w uchwale z dnia 17.02.2016 r. w sprawie o sygn. III SZP 7/15 „art. 209 ust. 1 pkt 25 ustawy z dnia 16.07.2004 r. Prawo telekomunikacyjne w związku z art. 172 ust. 1 i art. 174 pkt 1 tej ustawy może stanowić podstawę prawną nałożenia kary pieniężnej także na przedsiębiorcę telekomunikacyjnego, który zlecił innemu podmiotowi wykorzystanie automatycznych systemów wywołujących dla celów marketingu bezpośredniego usług tego przedsiębiorcy telekomunikacyjnego wśród jego abonentów lub użytkowników końcowych na podstawie bazy przekazanych numerów telefonicznych” (OSNP 2016/8/111). Tym samym przedsiębiorca nie może uchylić się od odpowiedzialności z tytułu stosowania marketingu bezpośredniego bez zgody odbiorcy nawet wówczas, gdy powierzył prowadzenie działań marketingowych podmiotowi zewnętrznemu.
Oprócz wymienionych powyżej kwestii prawnych odnoszących się do u.ś.u.d.e. oraz p.t., zagadnienie mailingu marketingowego bez zgody odbiorcy posiada znaczenie w świetle przepisów dotyczących ochrony danych osobowych i udzielenia odpowiedzi na pytanie czy na przedsiębiorcy spoczywa również obowiązek uzyskania od odbiorcy będącego osobą fizyczną zgody na przetwarzanie jego danych osobowych dla celów stosowania mailingu bezpośredniego.
Według motywu 47 RODO marketing bezpośredni jest uznawany za uzasadnienie dla przetwarzania danych osobowych w prawnie uzasadnionym interesie administratora danych. W literaturze dotyczącej ochrony danych osobowych za marketing bezpośredni uznaje się wszelkie działania promujące produkty lub usługi, które skierowane są do podmiotu danych osobowych (P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2013, s. 232).
Zgodnie natomiast z motywem 70 RODO oraz art. 21 ust. 2 RODO jeżeli dane osobowe są przetwarzane do celów marketingu bezpośredniego, osoba, której dane dotyczą, powinna mieć prawo wnieść w dowolnym momencie, bezpłatnie sprzeciw wobec tego przetwarzania, pierwotnego lub dalszego – w tym profilowania, o ile jest ono powiązane z marketingiem bezpośrednim. Prawo to powinno zostać wyraźnie podane do wiadomości osobie, której dane dotyczą, oraz powinno być przedstawione jasno i oddzielnie od wszelkich innych informacji. Jeżeli osoba, której dane dotyczą, wniesie sprzeciw wobec przetwarzania do celów marketingu bezpośredniego, przetwarzanie tych danych osobowych jest niedopuszczalne. Wobec odbiorcy powinny zostać również zrealizowane pozostałe ogólne obowiązki informacyjne, wymienione w szczególności w art. 13 RODO.
W odniesieniu do art. 6 ust. 1 pkt f) RODO prawnie uzasadniony interes administratora danych stanowi autonomiczną podstawę przetwarzania danych osobowych, w związku z czym należy uznać, że dla celów własnego marketingu bezpośredniego nie jest wymagane uzyskanie przez przedsiębiorcę odrębnej zgody odbiorcy tego marketingu na przetwarzanie jego danych osobowych, natomiast obligatoryjne jest zrealizowanie wobec tego odbiorcy obowiązku informacyjnego wynikającego z RODO.
Wyłącznie z tytułu braku realizacji obowiązku informacyjnego może zostać nałożona na przedsiębiorcę kierującego do odbiorcy własny marketing bezpośredni kara pieniężna przewidziana w art. 83 ust. 5 pkt b) rodo w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Administracyjne kary pieniężne nakładane są zależnie od okoliczności każdego indywidualnego przypadku. Przy decydowaniu o nałożeniu administracyjnej kary pieniężnej Prezes Urzędu Ochrony Danych Osobowych zwraca w każdym indywidualnym przypadku należytą uwagę m.in. na charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody; umyślny lub nieumyślny charakter naruszenia; działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą; stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków; kategorie danych osobowych, których dotyczyło naruszenie i in. (art. 83 ust. 2 RODO).
Zamiast albo oprócz administracyjnej kary pieniężnej wobec przedsiębiorcy, który dopuścił się naruszenia obowiązków wynikających z RODO, Prezes Urzędu Ochrony Danych Osobowych może w szczególności zastosować wobec administratora lub podmiotu przetwarzającego środki naprawcze, tj. m.in. wydanie ostrzeżenia, udzielenie upomnienia, nakazanie dostosowania operacji przetwarzania do przepisów RODO, nakazanie zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych, wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania i in. (art. 58 ust. 2 RODO).