Wielu przedsiębiorców wysyła do swoich potencjalnych klientów niezamówione wiadomości, często o charakterze handlowym, nie zważając na konsekwencje takiego działania. To spam – czyli niechciane wiadomości elektroniczne, na których otrzymywanie odbiorca nie wyraził uprzedniej, zamierzonej zgody. Treść takich wiadomości zwykle daje podstawę do przypuszczeń, że nadawca wskutek ich wysłania może odnieść zyski lub inne korzyści znacznie większe niż odbiorca. Istotą spamowania jest rozsyłanie informacji o jednakowej treści do wielu nieznanych sobie osób.
Obowiązujące przepisy zakazują dostarczania na skrzynki mailowe tego typu wiadomości określonej grupie właścicieli poczt elektronicznych – zgodnie z art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną, firmy nie mogą przesyłać niezamówionych informacji handlowych do osób fizycznych. Ma to związek z prawem ochrony danych osobowych i RODO, czyli ogólnym rozporządzeniem o ochronie danych.
Bezpieczeństwo informacji
Szczególnej ochronie prawnej podlegają dane osobowe, czyli informacje identyfikujące lub pozwalające na zidentyfikowanie konkretnej osoby.
– W RODO wymienione zostały trzy grupy danych. Pierwsze to zwykłe, jak na przykład imię i nazwisko, data urodzenia, numer PESEL, adres zamieszkania adres e-mail, numer telefonu. Kolejne to tak zwane dane wrażliwie, czyli dotyczące m.in. zdrowia, seksualności, poglądów politycznych lub religijnych. Ostatnią grupę stanowią dane o karalności – wymienia Jagoda Knopp, adwokat prowadząca własną kancelarię.
Z uwagi na rosnącą rolę internetu w naszym życiu, coraz większe znaczenie mają dane osobowe związane z komunikacją elektroniczną.
– Może to być adres e-mail i numer telefonu, choć ze strony polskich sądów coraz częściej słyszymy, że samodzielnie występujący numer telefonu, bez innych danych, nie stanowi danych osobowych. Podobnie może być w przypadku adresu poczty elektronicznej – bo kogo identyfikuje fantazyjny adres typu [email protected]śtam.pl? – pyta dr Paweł Litwiński, partner w kancelarii Barta Litwiński Kancelaria Radców Prawnych i Adwokatów oraz członek grupy ekspertów Europejskiej Rady Ochrony Danych.
Inaczej wygląda kwestia e-maili zawierających imię i nazwisko, np. [email protected] – takie adresy e-mailowe traktowane są jako dane osobowe i podlegają ochronie. Dotyczy to również poczt elektronicznych przedsiębiorców prowadzących jednoosobową działalność gospodarczą, które umożliwiają identyfikację konkretnej osoby.
Kogo zakaz nie dotyczy
Firmy nie mogą wysyłać niezamówionych informacji handlowych na pocztę internetową osób fizycznych i przedsiębiorców prowadzących jednoosobową działalność w przypadkach, gdy adres e-maila umożliwia identyfikację jego właściciela. Wyjątek stanowi sytuacja, gdy przedsiębiorca wyraził zgodę na otrzymywanie wiadomości handlowych, np. poprzez zamieszczenie informacji, że firmy zainteresowane przesyłaniem ofert i reklam mogą to robić.
Co ciekawe, zakaz wysyłania spamu nie dotyczy spółek kapitałowych. Zgodnie z orzecznictwem prezesi nie korzystają z powyższej ochrony i na ich skrzynkę można przesyłać niezamówione informacje handlowe.
Firmy, które nie chcą mieć problemów z prawem, muszą stosować się do przepisów: ustawy o ochronie danych osobowych, RODO i prawa telekomunikacyjnego. Na pierwszy rzut oka postanowienia tego rozporządzenia oraz treść pozostałych dwóch ustaw wykluczają się – w rzeczywistości jednak normy te wzajemnie się uzupełniają.
– Wymienione akty prawne mają różny zakres i cele. RODO stanowi ogólne rozporządzenie o ochronie danych osobowych – można powiedzieć, że to zbiór zasad, praw i obowiązków równych podmiotów zaangażowanych w ochronę danych osobowych, które mogą ulec dalszemu uszczegóławianiu w innych ustawach. Pozostałe akty prawne zawierają przepisy precyzujące zasady ogólne, ale dotyczą one innych kwestii – tłumaczy Jagoda Knopp.
Zatem decydując się na wysyłkę wiadomości handlowych, przedsiębiorcy nie mogą mieć na uwadze tylko RODO. Muszą uwzględniać treść bardziej szczegółowych przepisów krajowych. Tymczasem wiele firm błędnie powołuje się na prawnie uzasadniony interes administratora jako podstawę przetwarzania danych osobowych, pomijając pozostałe ustawy regulujące wysyłanie informacji handlowych. Wynika to z faktu, że według RODO wspomniany interes odnosi się też do marketingu bezpośredniego, przez co firmy nie muszą uzyskiwać oddzielnej zgody na wysyłkę e-maili. Jednak przedsiębiorcy zapominają, że uzasadniony prawnie interes administratora nie może naruszać pozostałych przepisów krajowych, a te wysyłki zakazują.
– Zarówno ustawa o świadczeniu usług drogą elektroniczną, jak i prawo telekomunikacyjne wymagają uzyskania wyraźnej i dobrowolnej, konkretnej, świadomej i jednoznacznej zgody osoby fizycznej na przesyłanie informacji handlowej oraz stosowanie marketingu bezpośredniego. Te przepisy mają pierwszeństwo przed regulacjami RODO dotyczącymi marketingu, bo wprowadzają większą ochronę osoby fizycznej przed naruszeniem jej prawa do prywatności i ochrony danych osobowych – podkreśla Jagoda Knopp.
Co więcej, administrator lub przedsiębiorca nie może uzyskać jednej zbiorczej zgody na przetwarzanie, marketing i informacje handlowe.
– Każda z tych zgód musi być odrębna i szczegółowo określać, czego dotyczy, a ponadto zapytanie o zgodę powinno zostać przedstawione w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – dodaje Jagoda Knopp.
Skutki dla wysyłających
Przedsiębiorcy powinni mieć na uwadze, że sankcje za bezprawne przetwarzanie danych i wysyłanie niezamówionych informacji handlowych mogą być dla nich dotkliwe. Część firm nie zdaje sobie sprawy z tego, co im grozi. Z kolei te, które świadomie nie przestrzegają przepisów, liczą na to, że odbiorcy spamu nie podejmą żadnych kroków prawnych i w najgorszym razie wyrzucą wiadomość do kosza.
Firmy przesyłające niezamówione informacje handlowe narażają się na odpowiedzialność karną, cywilną i grzywnę w wysokości do 5 tys. zł. Nie ma dolnej ani górnej granicy zadośćuczynienia za spam, ale warto wiedzieć, że zgodnie z orzecznictwem nawet jednorazowa wiadomość z niezamówioną informacją handlową jest naruszeniem dóbr osobistych, np. spokoju wewnętrznego, swobody korespondencji oraz prywatności (wyrok Sądu Rejonowego dla Warszawy-Woli w Warszawie z 24 stycznia 2019 r., Sygn. akt I C 3136/17) i może wiązać się z koniecznością zapłaty zadośćuczynienia.
– Odpowiedzialność cywilna za takie działanie uzależniona jest od wielu czynników. Na wysokość zapłaty wpływ mogą mieć: liczba e-maili, częstotliwość, zachowanie przedsiębiorcy po zgłoszeniu braku zgody na spam, skutki, jakie przesyłanie spamu miało dla osoby fizycznej, np. utrudnienie korzystania z poczty elektronicznej, brak dostępu do informacji, czas poświęcony na usuwanie e-maili, utrata jakiejś istotnej informacji, stres. Dlatego nie da się określić dokładnie kwot zadośćuczynienia za przesyłanie spamu. Jest to każdorazowo kwestia oceny sądu i w każdej sprawie powinna być ustalona indywidualnie, na podstawie okoliczności sprawy – informuje Jagoda Knopp.
Urzędy wymierzą kary
Poza tym wysyłanie spamu może być postrzegane przez Urząd Ochrony Konkurencji i Konsumentów (UOKIK) jako czyn nieuczciwej konkurencji. Może on nakazać przedsiębiorcy zaprzestania takich praktyk. Poza tym urząd uprawniony jest do wymierzenia firmie sankcji finansowych w wysokości do 10 proc. jej obrotu. Niezależnie od tego na osoby zarządzające przedsiębiorstwem, które są bezpośrednio odpowiedzialne za naruszenie zbiorowych interesów konsumentów, może nałożyć kary do 2 mln zł. Kolejną sankcją ze strony UOKIK jest podanie do publicznej wiadomości decyzji o karze dla firmy, w całości lub części, np. poprzez publikację w ogólnopolskim dzienniku.
Karę pieniężną za nieuzyskanie zgody na marketing bezpośredni może wymierzyć firmie także Urząd Komunikacji Elektronicznej – w wysokości do 3 proc. jej przychodu osiągniętego w poprzednim roku kalendarzowym.
Jeśli wysyłanie niezamówionych informacji handlowych jest wynikiem bezprawnego przetwarzania danych osobowych, takimi praktykami może zainteresować się prezes Urzędu Ochrony Danych Osobowych (UODO).
– Chodzi o sytuacje, gdy przesyłanie spamu nie odbywa się na podstawie zgody, bo taka nigdy nie została uzyskana lub została cofnięta – oraz gdy firma przesyłająca spam uzyskała bez podstawy prawnej dane osobowe, wykorzystane następnie do wysyłania informacji handlowej. Brak przesłania klauzuli informacyjnej też może być przedmiotem zainteresowania UODO – mówi Jagoda Knopp.
Kary administracyjne nakładane przez urząd mogą wynieść nawet 20 mln EUR lub – w przypadku firm – do 4 proc. całkowitego rocznego obrotu przedsiębiorstwa.
