+48 22 128 00 00

\ Kontakt

Maruta Wachta sp. j.

TEL:  +48 22 128 00 00
 NIP:  676 01 11 300
KRS:   0000083893
REGON:   350653113
Formularz kontaktowy

Jak oszczędzić budżety marketingowe zgodnie z prawem konkurencji?

Poniższy artykuł będzie o porozumieniach z konkurentami optymalizujących kampanie AdWords i ich zgodności z prawem konkurencji.

Porozumienia konkurentów często są podejrzane z punktu widzenia prawa antymonopolowego. Mogą one bowiem prowadzić do wzrostu cen i zwiększenia tzw. kolektywnej renty monopolistycznej. Czasami jednak dogadanie się co do zmniejszenia konkurencji może mieć pozytywy skutek rynkowy i być wręcz pożądane w świetle celów prawa konkurencji. Będzie tak, gdy konkurenci zdecydują się na kolektywną optymalizację kampanii reklamowych, szczególnie jeżeli głównym dotychczasowym beneficjentem wydatków reklamowych był podmiot dysponujący siłą rynkową np. serwis Google AdWords.

Artykuł jest w istocie poradnikiem dla przedsiębiorców wykorzystujących techniki marketingu online (a więc przede wszystkim, dla szeroko pojętej branży e-commerce), podpowiadającym, jak zawierać z konkurentami ugody, tak żeby – w sposób zgodny z prawem konkurencji – optymalizować kampanie AdWords i tym samym, oszczędzać rocznie tysiące, a czasami nawet miliony złotych.

Dzięki porozumieniu się z konkurentem możemy zapobiec „paleniu” budżetów reklamowych mając sporą pewność, że zmniejszanie wydatków reklamowych nie doprowadzi do spadku ruchu w naszej witrynie. Jednocześnie musimy uważać, żeby ewentualna ugoda dotycząca AdWordsów nie naruszała prawa antymonopolowego.

1. Prawo konkurencji dopuszcza porozumienia o ograniczeniu aktywności reklamowej

W listopadzie 2018 r. amerykański organ konkurencji (Federalna Komisja Handlu) uznała, że porozumienie dotyczące rezygnacji udziału w aukcjach AdWords pomiędzy dostawcą a dystrybutorami soczewek okulistycznych narusza prawo konkurencji USA. Nie każde jednak porozumienia dotyczące AdWordsów będą sprzeczne z prawem antymonopolowym.

Porozumienia polegające na ograniczeniu aktywności reklamowej nie są wprost wymienione przez art. 6 polskiej ustawy antymonopolowej (nie należą np. do porozumień „polegających na ustalaniu cen”). Ocena, czy takie porozumienia ograniczają konkurencję zależeć będzie więc on analizy ich rzeczywistego wpływu na rynek (tzw. reguła rozsądku, ang. rule of reason). Podobnie uważa też Komisja Europejska, która w ostatnich latach nigdy nie stwierdzała, że porozumienia ograniczające wydatki reklamowe same w sobie naruszają unijne przepisy antymonopolowe. W sprawach, gdzie Komisja nakładała na przedsiębiorców kary za stosowanie takich porozumień, towarzyszyły one zwykle innym niedozwolonym porozumieniom cenowym.

Z punktu widzenia polskiego prawa konkurencji, jeżeli porozumienia dotyczące ograniczenia wydatków reklamowych „przyczyniają się do polepszenia produkcji, dystrybucji towarów lub do postępu technicznego lub gospodarczego” oraz „zapewniają nabywcy lub użytkownikowi odpowiednią część wynikających z porozumień korzyści” – będą one zgodne prawem konkurencji. Tzw. antymonopolowe przepisy o porozumieniach wertykalnych także wprost zezwalają dostawcy w umowach dystrybucyjnych zamieścić zakaz tzw. aktywnej reklamy, np. zakaz stosowania AdWordsów wyświetlanych w lokalizacjach przypisanych innemu dystrybutorowi.

2. Jakie porozumienia optymalizujące kampanie AdWords będą co do zasady zgodne z prawem konkurencji?

a. Porozumienia o rezygnacji z AdWords wyświetlanych na frazy zawierające znak towarowy

Stosowanie reklam AdWords wyświetlanych w odpowiedzi na wyszukania fraz zawierających znak towarowy konkurenta to praktyka legalna w świetle zasad reklamowych Google, a także niedawnych wyroków Trybunału Sprawiedliwości Unii Europejskiej (pod warunkiem, że reklamy AdWords nie wprowadzają w błąd co do tożsamości konkurenta). Cały czas nie jest jednak jasne, czy powyższa praktyka nie narusza przypadkiem ustawy o zwalczaniu nieuczciwej konkurencji. Swego czasu głośno było o sprawie serwisu Cinkciarz.pl, gdzie firma ta starała się dowieść, że konkurent, który wykupił AdWords’y na frazę zawierającą słowny znak towarowy „cinkiarz” popełnia czyn nieuczciwej konkurencji (sprawa nie została jednak rozstrzygnięta).

Nawet pobieżna kwerenda wyników wyszukiwarki Google pokazuje np. że powyższa – być może niepotrzebna – „wojna na AdWords’y” zawierające znak towarowy konkurenta toczy się np. między serwisem booking.com a Airbnb. Po wpisaniu obu fraz („booking” jak i „airbnb”), najpopularniejsza wyszukiwarka świata wyświetla reklamy obu serwisów.

Abstrahując od zgodności stosowania AdWordsów na frazy zawierające znak towarowy konkurenta z prawem znaków towarowych oraz prawem zwalczania nieuczciwej konkurencji, bardzo często praktyka taka nie będzie miała też większego uzasadnienia ekonomicznego dla stosujących ją konkurentów. Chodzi w szczególności o sytuacje, gdzie dwie firmy stosują powyższą praktykę niejako „retrybucyjnie”, tj. w odpowiedzi na analogiczne działania konkurenta. Jeżeli na rynku, na którym działają dwie firmy o uznanej renomie, takie firmy porozumiałyby się co do zaprzestania stosowania AdWords’ów na frazy zawierające znak towarowy konkurenta, ruch na ich witrynach powinien pozostać podobny. Będzie to jednak ruch organiczny, a nie płatny i obie firmy unikną w ten sposób wydatków na rzecz Google Adwords. W razie zawarcia powyższego porozumienia, firmy mogłyby też zrezygnować ze stosowania AdWords’ów na własny znak towarowy przyjmując (najczęściej słusznie), że i tak ich witryny zajmą pierwszą pozycję w organicznych wynikach w odpowiedzi na wyszukania zawierające ich własne znaki towarowe.

Oczywiście stosowanie AdWords’ów na znak towarowy konkurenta lub własny znak towarowy może mieć ekonomiczny sens, pod warunkiem jednak, że nie wynika ono z chęci retrybucji lub obrony przed reklamami konkurenta, ale jest po prostu pokłosiem bardziej agresywnej strategii marketingowej (najczęściej taką strategię przybierają firmy nowe na rynku, chcące „pokazać się” klientom konkurenta, a tym samym odbić część z nich).

Ponieważ co do zasady zaprzestanie stosowania AdWordsów na razy zawierający znak towarowy konkurenta jest w interesie firm działających na danym rynku (lub w danej branży), inicjowanie takich porozumień powinno leżeć w gestii związków branżowych. Nic więc dziwnego, że pobieżna kwerenda wyszukiwarki Google pokazuje, iż wiele branż w Polsce nie stosuje AdWords’ów wyświetlanych na frazę zawierającą znak towarowy konkurenta (np. branża bankowa, ubezpieczeniowa, telekomunikacyjna). Istnieją jednak branże, gdzie taka praktyka jest cały czas popularna, np. branża pożyczkowa, wyszukiwarek połączeń lotniczych (np. reklamy esky.pl na frazę „skyscanner” albo reklamy biletówlotniczych.pl na frazę „esky”) czy branża detalicznego handlu spożywczego (np. reklamy frisco.pl na frazę „tesco”, czy reklamy sklepu internetowego Biedronki na frazę „frisco”). Bardzo ciężko znaleźć jednak branże, gdzie przedsiębiorcy w ogóle nie stosują AdWords’ów na frazy zawierające znaki towarowe (w tym swoje). Przykładowo, pomimo tego, że dwie z trzech sieci ambulatoryjnych (Luxmed i Medicover) nie stosują AdWordów na frazy zawierające własny znak towarowy, EnelMed cały czas płaci Google za takie frazy. Podobnie, wśród banków i ubezpieczycieli – pomimo, że większość konkurentów nie wykupuje AdWords’ów na frazy zawierające własnej znaki towarowe – na taki wydatki cały czas decyduje się np. bank Millenium i PZU. Wreszcie, mimo tego, że Cinema City nie wyświetla już reklam w odpowiedzi na frazę zawierającą własny znak towarowy, cały czas robi to Multikno. Zakładając, że powyższe wydatki (EnelMedu, banku Millenium, PZU czy całej rzeszy przedsiębiorstw) mają na celu „odstraszenie” ewentualnych AdWords’ów konkurentów, powyższych wydatków dałoby się zapewne uniknąć, gdyby cała branża porozumiała, że nie stosuje AdWords’ów na frazy zawierające znaki towarowe swoich członków. Istnieje duża szansa, że na takim porozumieniu – poza Google – nikt specjalnie by nie stracił (ruch płatny zostałby po prostu zastąpiony organicznym).

Powyższe porozumienie byłoby też co do zasady zgodne z polskim prawem konkurencji. Po jego zawarciu ciężko byłoby w ogóle mówić o „ograniczeniu konkurencji” w rozumieniu polskiej ustawy antymonopolowej. Taka ugoda mogłaby mieć skutki wręcz prokonkurencyjne i korzystne dla konsumentów, gdyż umożliwiłaby wykorzystanie „utopionych” budżetów na nowe „nieretrybucyjne” działania marketingowe lub polepszenie jakości produktów.

b. Porozumienie o rezygnacji z AdWords wyświetlanych na dane frazy, jeżeli w organicznych wynikach wyszukiwania obecne są te same witryny, co w wynikach AdWords

Chodzi o sytuację, kiedy po rezygnacji ze stosowania AdWords’ów przez, przykładowo, przedsiębiorców, których reklamy wyświetlają się na trzech pierwszych miejscach w wynikach wyszukiwania, w wyszukiwarce na pierwszych miejscach wśród wyników organicznych pozostają witryny tych samych przedsiębiorców.

Powyższy typ porozumienia między konkurentami również będzie zgodny z prawem antymonopolowym. Zaprzestanie stosowania AdWords’ów przez kilku konkurentów w żaden sposób nie pogorszy sytuacji konsumentów, jeżeli, po wpisaniu tych samych fraz, witryny tych przedsiębiorców będą się znajdowały na porównywalnych miejscach w organicznych wynikach wyszukiwania.

Oczywiście – w przeciwieństwie do zaprzestania stosowania AdWords’ów na frazy zawierające znak towarowy – o wiele trudniej będzie znaleźć sytuacje, kiedy omawiany typ ugody, będzie się analogicznie opłacać wszystkim stronom. Krótka „zabawa” wyszukiwarką Google pokazuje jednak, że i takie przykłady zapewne by się znalazły. Przykładowo, na frazę „ubezpieczenie domu” wyświetlają się reklamy czterech ubezpieczycieli: PZU, Link4, Axy i Avivy. Trzy pierwsze firmy są jednocześnie posiadaczami pierwszych trzech witryn ubezpieczeniowych wśród organicznych wyników wyszukiwania w odpowiedzi na tę samą frazę. Rezygnacja ze stosowania AdWords’ów przez wskazanych ubezpieczycieli nie spowodowałaby być może, że, po zawarciu ewentualnego porozumienia, ruch w witrynach wszystkich trzech firm pozostałby identyczny, jednak skumulowane oszczędności byłyby zapewne większe niż nieznaczny spadek ruchu na jednej czy dwóch witrynach (pomiędzy firmami istniałoby więc pole do negocjacji).

c. Porozumienie o rezygnacji z AdWords’ów w danych lokalizacjach

Narzędzia udostępniane przez Google AdWords są bardzo precyzyjne i umożliwiają np. wyświetlanie reklam użytkownikom znajdującym się w promieniu 1 kilometra od konkretnej lokalizacji. Precyzyjne geograficzne kampanie AdWords’owe mogą się opłacać w szczególności przedsiębiorcom, którzy większość sprzedaży osiągają w placówkach detalicznych, a decyzja ze skorzystania z danego produktu lub usługi jest podejmowana impulsywnie (np. frazy takie jak „lunch”, „sklep spożywczy”, „parking”). Ograniczenie kampanii AdWords’owych do precyzyjnych geograficznych lokalizacji ma sens w szczególności przy kampaniach wyświetlanych na urządzeniach mobilnych.

Przedsiębiorcy często nie znają jednak dokładnej lokalizacji placówek swoich konkurentów (lub nie chcą inwestować czasu w zbieranie danych o takich lokalizacjach), dlatego „na wszelki” wypadek poszerzają optymalny obszar kampanii. Gdyby jednak dysponowali dokładną mapą placówek swojego głównego konkurenta mogliby porozumieć się co do tego, że kampanie na te same frazy są stosowane np. tylko w promieniu 1 km od danej placówki. Wiedząc, że konkurent także zobowiąże się do niestosowania swoich reklam w określonym promieniu w pobliżu naszej placówki, jesteśmy bardziej skłonni zawęzić geograficznie nasze kampanie. Dzięki porozumieniu z konkurentem polegającym na „podziale terytorialnym” precyzyjnych kampanii geograficznych, możemy więc znacząco zwiększyć konwersję, a także obniżyć CPC i tym samym koszt kampanii (skoro nie musimy już konkurować o dane frazy z konkurentem), przy jedynie niewielkim spadku liczby kliknięć (utracone kliknięcia i tak byłyby jednak mnie precyzyjne, więc „chętnie” oddamy je konkurentowi mającemu swoją placówkę bliżej miejsca, w którym użytkownik znajduje się w momencie wyszukiwania).

Powyższy typ porozumienia ograniczającego wydatki AdWords’owe między konkurentami jest najbardziej wysumblimowanym spośród trzech typów porozumień opisywanych w tym artykule. Takie porozumienia także będą co do zasady zgodne z prawem konkurencji, pod warunkiem jednak, że będą one dotyczyć już istniejących placówek. Należy bowiem pamiętać, że porozumienia zgodnie z którymi zobowiązujemy się do nieotwierania lub do zamknięcia danej placówki na danym terytorium w zamian za podobne zobowiązania naszego konkurenta są już o wiele bardziej podejrzane pod kątem prawa konkurencji – takie porozumienie da się charakteryzować jako „podział rynku” mający na celu osiągnięcie „obopólnej” renty monopolistycznej.

3. Jak negocjować z konkurentami porozumienia optymalizujące kampanie AdWords?

Na początku najlepiej sprawdzić oczywiście, czy nasz konkurent jest w ogóle zainteresowany obopólną optymalizacją polityki i wydatków na Google AdWords. Pierwszym krokiem jest zatem telefon, e-mail lub krótkie pismo do konkurenta. Temat zoptymalizowania polityki AdWords w ramach całej branży (szczególnie wtedy, gdy jej członkowie są policzalni i łatwo identyfikowalni) można tez zgłosić w organizacji branżowej.

Gdy okaże się, że nasi konkurenci są zainteresowani tematem, trzeba przygotować odpowiednie porozumienie. W świetle polskiego Kodeksu cywilnego, takie porozumienie będzie tak zwaną umową nienazwaną (bez wymogu formy, choć dla bezpieczeństwa przyda się zapewne forma pisemna). Umowa – jak to umowa – wymaga m.in. dobrego określenia reprezentacji oraz precyzyjnego określenia obowiązków związanych z działaniami lub zaniechaniami AdWords’owymi, do których się zobowiążemy. Ważne na przykład, żeby dokładnie opisać frazy (dopasowanie przybliżone lub ścisłe?) oraz lokalizacje, których dotyczyć będzie nasze zobowiązanie. Na koniec warto oczywiście upewnić się, że porozumienie z konkurentami będzie nie tylko wzajemnie opłacalne, ale także zgodne z unijnym i polskim prawem konkurencji.

O (nie)zdolności oddziału do posiadania statusu administratora danych osobowych

Oddziały przedsiębiorców, o których mowa w art. 5 pkt 4) ustawy o swobodzie działalności gospodarczej (usdg) w tym oddziały przedsiębiorców zagranicznych (art. 85 ust. 1 usdg) posiadały dotychczas niejednoznaczny status na gruncie przepisów ustawy o ochronie danych osobowych, a sam Generalny Inspektor Ochrony Danych Osobowych (GIODO) traktował takie  wyodrębnione jednostki organizacyjne przedsiębiorcy niekonsekwentnie, z jednej strony wskazując na brak możliwości przypisania im zdolności do bycia administratora danych osobowych (ADO)[1]z drugiej zaś, dokonując rejestracji zbiorów danych osobowych, zgodnie z treścią zgłoszeń administrowanych właśnie przez takie oddziały. Wobec zbliżającego się terminu rozpoczęcia stosowania RODO i konieczności wyklarowania ról i odpowiedzialności w zakresie przetwarzania danych osobowych w przedsiębiorstwie, niezbędne wydaje się wypracowanie bardziej jednoznacznego podejścia do zagadnienia. Zasadne wydaje się przy tym przyjęcie braku występowania po stronie oddziału zdolności do posiadania statusu ADO, zarówno w odniesieniu do oddziałów przedsiębiorców krajowych jak i zagranicznych. 

[katalog podmiotów zdolnych do bycia ADO]

Zakres pojęcia administratora danych osobowych, a zwłaszcza katalog podmiotów, dających się zakwalifikować jako ADO, budzi pewne kontrowersje[2]. Jak się wydaje, przyczyn takiego stanu rzeczy należy poszukiwać w definicji tego pojęcia, mającej charakter ogólny i odwołującej się do kategorii faktycznych. Dyrektywa 95/46/WE, a za nią RODO, przewidują bowiem, że administratorem danych osobowych jest taki podmiot, który samodzielnie lub wspólnie innym ustala cele i sposoby przetwarzania danych osobowych. W konsekwencji takiego ujęcia, przypisanie statusu ADO zależeć będzie – w pierwszej kolejności – czy dany podmiot posiada zdolność do ustalenia czegokolwiek. W literaturze wskazuje się, że kluczowe w tym przypadku będzie stwierdzenie, czy podmiot włada danymi[3].ADO może być tylko taki podmiot, który w sposób samodzielny i nieograniczony wolą innego podmiotu ma możliwość określenia celów i środków przetwarzania danych[4]

[pojęcie oddziału]

Pojęcie oddziału funkcjonuje w polskim systemie prawnym zasadniczo w dwóch kontekstach. Ustawa o swobodzie działalności gospodarczej definiuje go jako wyodrębnioną i samodzielną organizacyjnie część działalności gospodarczej, wykonywaną przez przedsiębiorcę poza siedzibą przedsiębiorcy lub głównym miejscem wykonywania działalności. Jednocześnie art. 83 tej samej ustawy wprowadza konkurencyjną niejako definicję oddziału określając go jako jedną z dopuszczalnych form działalności gospodarczej przedsiębiorcy zagranicznego w Polsce. Jakkolwiek w doktrynie występuje rozbieżność co do tego, czy usdg sankcjonuje występowanie w systemie dwóch odmiennych rodzajów oddziałów – dla przedsiębiorcy rajowego i zagranicznego, to należy przychylić się do stanowiska, zgodnie z którymz uwagi na swoją pojemność definicja oddziału może z powodzeniem znaleźć uniwersalne zastosowanie – zarówno do definiowania oddziału przedsiębiorcy zagranicznego, o którym przecież mowa w art. 85 ustawy, jak i w stosunkach krajowych[5] . Dla potrzeb rozważań, będących przedmiotem niniejszego artykułu, należy zauważyć, że nawet w razie przyjęcia różnic pojęciowych w tym zakresie, w każdym przypadku oddziałbędzie stanowić pewien substrat majątkowy i organizacyjny, wyposażony w wysoki poziom samodzielności, jednak pozbawiony w istocie jakiejkolwiek odrębności prawnej, w szczególności osobowości i zdolności prawnej. Wyodrębnienie oddziału ma na celu zastosowanie funkcjonalnego rozwiązania organizacyjnego służącego określonym założeniom prowadzonej działalności, natomiast w żadnym wypadku nie prowadzi do powstania odrębnego bytu w sensie prawnym – zarówno w przypadku oddziału przedsiębiorcy krajowego, jak i zagranicznego. W szczególności o odrębności takiej nie świadczy ani ujawnienie oddziału w Krajowym Rejestrze Sądowym (w przypadku przedsiębiorcy krajowego) jak i jego wpisanie do Rejestru jako odrębnego podmiotu, jak to się dzieje w przypadku przedsiębiorców zagranicznych[6](art. 88 usdg). 

Powyższe prowadzi do wniosku, że z uwagi na podobieństwa czy wręcz tożsamość konstrukcyjną w zakresie wyodrębnienia prawnego i zakresu kompetencji decyzyjnych, zachodzącą pomiędzy oddziałem przedsiębiorcy krajowego i zagranicznego, dla celów rozważania zdolności uzyskania przymiotu administratora danych osobowych, brak jest podstaw do rozróżniania tych dwóch przypadków. W istocie, wnioski takich rozważań, niezależnie od ich wyniku, powinny być dla obu tych przypadków takie same. 

[samodzielność decyzyjna ado]

Zwolennicy koncepcji dopuszczającej zdolność oddziału do  posiadania statusu administratora danych osobowych podkreślają przesądzające w tym zakresie znaczenie płaszczyzny faktycznej. W takim ujęciu, zdolność do bycia podmiotem praw i obowiązków na gruncie prawa cywilnego staje się drugorzędna, ustępując znaczenia rzeczywistej możliwości podejmowania decyzji w zakresie celów i środków przetwarzania. Wskazuje się przy tym, że owa faktyczna kompetencja w przedmiotowym zakresie może wynikać z aktów czy norm prawa wewnętrznego, regulującego ustrój danego podmiotu[7]. Takie stanowisko zdają się podzielać M. Barta i P. Litwiński, wskazując, że oddział przedsiębiorcy, mimo że jest strukturalnie powiązany z przedsiębiorcą, ze względu na zawarte w definicji z art. 5 pkt 4 SwobDziałGospU wyodrębnienie i samodzielność organizacyjną, może w pewnych przypadkach – w zakresie, w którym w ramach tej samodzielności podejmuje decyzje co do celów przetwarzania danych – posiadać status administratora danych[8].

Powyższe stanowisko znajduje szczególnie często poparcie praktyków w odniesieniu do oddziałów, posiadających status pracodawcy w rozumieniu art. 3 Kodeksu pracy. W tym miejscu należy przypomnieć, że powołany przepis stanowi szczególną regulację dopuszczającą przypisanie statusu pracodawcy jednostce organizacyjnej nieposiadającej osobowości prawnej ani nie dysponującej podmiotowością prawną na gruncie innych niż prawo pracy gałęzi prawa. To rozwiązanie legislacyjne związane jest z tzw. organizacyjną koncepcją pracodawcy, zgodnie z którą dla uzyskania statusu odrębnego pracodawcy konieczna jest choćby potencjalna zdolność zatrudniania pracowników[9]. W świetle art. 3 KP przyjmuje się w orzecznictwie, że oddział przedsiębiorcy (w tym oddział przedsiębiorcy zagranicznego) może posiadać status pracodawcy – a co za tym idzie, w szczególności zatrudniać pracowników i realizować względem nich określone obowiązki wynikające z ustawy[10]. Kompetencja oddziału do występowania w roli pracodawcy będzie z reguły wynikać z wewnętrznego aktu normatywnego[11].  

Na tle takiego stanu prawnego, formułowane są twierdzenia o możliwości posiadania przez oddział statusu administratora danych osobowych z uwagi na samodzielność decyzyjną oddziału w sprawach pracowniczych. W tym ujęciu, oddział miałby być administratorem jedynie w odniesieniu do danych osobowych zatrudnianych osób i jedynie w zakresie, w jakim kompetencje, jakimi oddział dysponuje, pozwalają na determinowanie celów i środków przetwarzania danych osobowych pracowników.

Powyższe stanowisko nie wydaje się jednak przekonujące z kilku powodów. W pierwszej kolejności należy zwrócić uwagę, że regulacja przewidziana przez Kodeks pracy ma charakter szczególny; brak jest zatem podstaw do jej rozszerzającej wykładni, prowadzącej do powstania po stronie oddziału będącego pracodawcą zdolności do decydowania o celach i środkach przetwarzania danych w rozumieniu uodo/RODO. Sama okoliczność nadania wewnętrznym aktem organizacyjnym umocowania do zatrudniania pracowników lub wykonywania innych czynności z zakresu prawa pracy nie może być uznane za wystarczające – zaakceptowanie takiego stanowiska pozwoliłoby na dość swobodne przerzucanie ciężaru odpowiedzialności wiążącej się z administrowaniem danymi na substrat majątkowy, niezdolny do autonomicznego funkcjonowania, swobodnie tworzony lub likwidowany w oparciu o decyzję kompetentnego w tym zakresie organu przedsiębiorcy. 

[kryterium ponoszenia odpowiedzialności]

Nie podważając faktu, że to na płaszczyźnie okoliczności faktycznych dokonuje się przypisanie danemu podmiotowi określonej roli na tle przepisów dotyczących ochrony danych (czy to administratora, czy to procesora), należy mieć na uwadze, że istotnym kryterium, jakie powinno zostać wzięte pod uwagę, jest kwestia ponoszenia faktycznej odpowiedzialności za określone naruszenie.  

Zgodnie ze stanowiskiem Grupy Roboczej art. 29, prawidłowa identyfikacja administratora danych w każdym konkretnym przypadku jest kluczowa właśnie na etapie określenia zakresu odpowiedzialności i grożących za naruszenie sankcji. Stanowi bowiem podstawowy warunek  skuteczności przedmiotowych regulacji[12]. Przyjmując powyższą, celowościową wykładnię, należy zauważyć, że oddział – zarówno polskiego jak i zagranicznego przedsiębiorcy – nie ponosi samodzielnej odpowiedzialności finansowej za naruszenia, których dopuściły się osoby nim kierujące lub w nim zatrudnione. W szczególności w przypadku naruszeń, których może dopuścić się oddział jako pracodawca, nie powinna budzić wątpliwości odpowiedzialność finansowa spółki względem osób trzecich[13]– oczywiście niezależnie od ewentualnych wewnętrznych rozliczeń pomiędzy jednostkami organizacyjnymi. O ile jednak rozszerzenie zakresu odpowiedzialności na całą spółkę jest dopuszczalne na gruncie cywilnoprawnym, o tyle przyjęcie analogicznego modelu w zakresie administracyjnoprawnym budzi daleko idące wątpliwości. W szczególności trudno pogodzić się z dopuszczalnością egzekwowania od spółki kary pieniężnej nałożonej na podstawie art. 83 RODO w sytuacji, gdy to nie do spółki skierowana została decyzja organu. 

[zdolność administracyjnoprawna]

W tym kontekście wypada zwrócić uwagę, na brak – co do zasady – zdolności administracyjnoprawnej po stronie oddziału spółki. Zdolność administracyjnoprawna w odniesieniu do podmiotów innych, niż wymienione w art. 29 kodeksu postępowania administracyjnego, wynikać może bowiem z przepisów szczególnych prawa materialnego przewidujących możliwość nabywania praw lub nakładania obowiązków na taki podmiot[14].  Przyjęcie, że regulacje z zakresu ochrony danych mają charakter takiej normy szczególnej, wydaje się zbyt daleko idące wobec konstrukcji prawnej oddziału, obowiązującej w polskim systemie prawnym. 

Rzecz jasna, nie sposób nie odnieść się w tym miejscu do okoliczności, że GIODO wielokrotnie dokonywał rejestracji zbiorów , których administratorem – zgodnie z treścią ujawnionego w rejestrze zbiorów wpisu – był oddział. Dotyczyło to zarówno oddziałów przedsiębiorców polskich jak i zagranicznych (por. wyszukiwarka zbiorów egiodo.giodo.gov.pl). Jeszcze poważniejszym argumentem przeciwko powyżej przedstawionej argumentacji jest kierowanie przez GIODO – niejednokrotnie – decyzji, których adresatem był oddział[15]. Należy jednak odnotować, że takie działanie organu spotkało się z dość sceptyczną reakcją doktryny[16]. Podejście GIODO – w odniesieniu do oddziałów przedsiębiorcy zagranicznego – mogło znajdywać też uzasadnienie w chęci zapobieżenia próbom „ucieczki” administratorów spod zakresu obowiązywania polskiej ustawy z powołaniem się na argument o braku posiadania wyodrębnionej jednostki organizacyjnej na terytorium Polski. siedziby. Wobec sukcesywnego rozszerzania w orzecznictwie Trybunału Sprawiedliwości UE[17]zakres podmiotowego obowiązywania regulacji z zakresu ochrony danych osobowych, znajdującego obecnie potwierdzenie w art. 3 RODO,  argument powyższy traci jednak na znaczeniu. 

[trudności praktyczne]

Przyjęcie, że oddział – choćby tylko w określonych przypadkach – może posiadać status administratora danych, prowadzi wreszcie do szeregu wątpliwości natury praktycznej. Czy możliwe jest zawarcie przez oddział umowy powierzenia przetwarzania danych? A jeśli tak – to czy taka umowa może być zawarta również ze spółką, której część ten oddział stanowi? Co w przypadku, gdy właściwy organ spółki podejmie decyzję o zmianie regulaminu organizacyjnego i odebraniu oddziałowi kompetencji do bycia pracodawcą? Czy w sposób automatyczny status ADO uzyska w tym wypadku centrala? Czy w takim razie – należy ponownie wypełnić względem pracowników obowiązek informacyjny?

Jak wynika z powyższego, przyznanie oddziałowi zdolności do bycia administratorem danych osobowych prowadzi do wielu zastrzeżeń natury faktycznej i prawnej. Z pewnością takie wątpliwości nie sprzyjają osiągnięciu celu, jakim jest zapewnienie w każdym przypadku jednoznacznej identyfikacji administratora i umożliwienie wyegzekwowania jego odpowiedzialności za ewentualne naruszenia praw i wolności podmiotów danych. W konsekwencji przyjęcie takiej koncepcji mogłoby raczej utrudnić, a nie ułatwić podmiotom danych dochodzenie ich praw, co przemawia za odmową przyznania statusu ADO oddziałowi przedsiębiorcy zarówno w odniesieniu do podmiotu krajowego jak i zagranicznego. 



[2]por. np.: Barta, Michał i Litwiński, Paweł [w:]Ustawa o ochronie danych osobowych. Komentarz, 2016, Legalis; Drozd, Andrzej. Art. 7. W: Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, wyd. IV [online]. 

[3]Por. G. Karp, Administrator danych osobowych – podmiot decydujący o celach i środach przetwarzania danych osobowych, Palestra nr 1-2, 2011, str. 62

[4]Ibidem

[5]Sieradzka, Małgorzata. Art. 5. W: Ustawa o swobodzie działalności gospodarczej. Komentarz [online]. LEX, 2017-09-10 14:52 [dostęp 26.10.2017]

[6]Por. wyrok Sądu Najwyższego z 8 maja 2013 roku, I CZ 34/13

[7]Drozd, Andrzej. Art. 7. W: Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, wyd. IV [online]. Wydawnictwo Prawnicze LexisNexis, 2017-09-10 14:53 [dostęp: 26.10.2017]

[8]Barta, Michał i Litwiński, Paweł [w:]Ustawa o ochronie danych osobowych. Komentarz, 2016, Legalis, komentarz do art. 7.

[9]Jaśkowski, Kazimierz. Art. 3. W: Komentarz aktualizowany do Kodeksu pracy [online]. System Informacji Prawnej LEX, 2017-09-29 20:45 [dostęp: 26.10.2017]

[10]Por. np. M. Nałęcz [w:] Kodeks pracy. Komentarz, red. K. Walczak, Legalis 2017, a  także wyrok Sądu Najwyższego z 10 kwietnia 2013 roku, a także odnośne orzecznictwo, np. wyrok Sądu Najwyższego z dnia 6 listopada 1991, I PRN 47/91, wyrok Wojewódzkiego Sądu Administracyjnego z d 26 czerwca 20008, III SA/Wa 266/08

[11]Por. Kaźmierczak, Joanna, Oddział spółki handlowej w roli pracodawcy, [w:] E. Staszewska, I. Barańczyk (red.), Prawo pracy w systemie prawa. Prawo pracy a prawo handlowe, ser. Monografia Koła Naukowego Prawa Pracy, Wydawnictwo Uniwersytetu Łódzkiego, Łódź 2016, str. 30, por. także wyrok Sądu Najwyższego z 10 kwietnia 2013 roku

[12]Opinia WP 29 nr 1/2010 w sprawie pojęć „administrator” i „przetwarzający”, str. 16

[13]Por. wyrok Sądu Najwyższego z dnia 19 maja 2016 roku, II PK 100/15

[14]Gołaszewski, Piotr, [w:] R. Hauser, M. Wierzbowski, Kodeks postępowania administracyjnego. Komentarz, Legalis, 2016,komentarz do art. 29

[15]Por. np. decyzja GIODO z dnia 28 grudnia 2012 roku, DESiWM/DEC-1282/12/78298

[16]Barta, Michał i Litwiński, Paweł [w:]Ustawa…

[17]Por. np. wyroki TSUE w sprawie Weltimmo, C-230/14, Google Spain C-131/12.

Marketing osób trzecich

Zgodnie z art. 6 ust. 1 lit. f) RODO administrator danych może powołać się na uzasadniony interes jako podstawę przetwarzania, gdy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią(czyli podmiot inny niż osoba, której dane dotyczą, administrator oraz podmiot przetwarzający). To administrator musi posiadać podstawę prawną przetwarzania danych osobowych w związku z realizowaniem interesu strony trzeciej. Takie brzmienie przepisu daje możliwość do wyróżnienia dwóch rodzajów uzasadnionego interesu:

  • „uzasadnionego interesu przetwarzania danych osobowych” – który dla legalności działania musi występować po stronie administratora; oraz 
  • „uzasadnionego interesu biznesowego” – który może mieć administrator lub strona trzecia. Można mieć zatem interes w przetwarzaniu danych przez inny podmiot, samemu nie biorąc w nim udziału. 

Kiedy administrator może się powołać na uzasadniony interes strony trzeciej? Naszym zdaniem właśnie przy cudzym marketingu. Reklamodawca, który zleca – np. wydawcy serwisu lub innemu podmiotowi działającemu w ekosystemie programmatic - wyświetlenie reklamy grupie odbiorców dopasowanej do jej treści (odpowiednio sprofilowanej), zazwyczaj nie przetwarza i nawet nie ma żadnego interesu w przetwarzaniu danych zidentyfikowanych lub możliwych do zidentyfikowania osób. Jego uwaga jest skupiona na grupie docelowej i na tej grupie (a nie na konkretnych osobach) kończy się jego biznesowy interes. Taki zlecający często nie wie, do których konkretnie Kowalskich i Nowaków komunikacja marketingowa zostanie wysłana, bo z jego punktu widzenia to są anonimowe dla niego osoby spełniające określone kryteria (np. kobieta, 30-35 lat, zamieszkała w mieście pow. 500k mieszkańców). Taki reklamodawca ma natomiast interes biznesowy w przeprowadzeniu całej operacji: dotarcie ze swoim komunikatem do określonej grupy docelowej. Definiując to od strony ekonomicznej: reklamodawca chce tylko zwiększyć sprzedaż i w tym celu korzysta z odpowiednich narzędzi marketingowych, np. typu programmatic, których wykorzystanie może się wiązać z przetwarzaniem danych przez inne podmioty, które mogą mieć status administratora (domy mediowe, hurtownie danych, podmioty DSP, SSP itd.). Reklamodawca nie bierze więc udziału w przetwarzaniu danych (jest stroną trzecią w rozumieniu RODO), ale ma interes biznesowy uzasadniający przetwarzanie danych przez administratora, któremu zlecił realizację usługi. Czyli to „biznesowy interes” reklamodawcy, a własny cel administratora, pozwala administratorowi powołać się na podstawę z art. 6 ust. 1 lit. f) RODO. Jeżeli przyjęlibyśmy, że uzasadniony interes stron trzech nie może w tym przypadku stanowić podstawy dla przetwarzania danych przez administratora, to trudno sobie wyobrazić inne przykłady, które będą pasowały bardziej.

W opisanej powyżej sytuacji istnieją rzecz jasna pewne ograniczenia dotyczące swobody korzystania z przesłanki uzasadnionego interesu przy realizacji marketingu osób trzecich. W tym zakresie kluczowy jest motyw 47 RODO: podstawą prawną przetwarzania mogą być prawnie uzasadnione interesy administratora lub strony trzeciej, o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na ich powiązaniach z administratorem, nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą. Niezbędne jest więc istnienie „łącznika”, który sprawia, że podmiot danych spodziewa się, że jego dane osobowe zostaną wykorzystane w określonym celu (np. w celu kierowania do niego marketingu dotyczącego towarów i usług podmiotów trzecich). I tu dochodzimy do sedna problemu z reklamą behawioralną w Internecie. W naszej ocenie wystarczającym łącznikiem tego typu może być zgoda na cookies tych podmiotów (zgoda z art. 173 pt na przechowywanie oraz uzyskiwanie dostępu do informacji zbieranych przez cookies), o ile tylko zgoda ta jest odpowiednio „poinformowana” (informed consent). Z chwilą wyrażenia takiej zgody podmiot danych może rozsądnie oczekiwać i zdawać sobie sprawę, że po jej wyrażeniu nastąpi wykorzystanie plików cookies do celów personalizacji komunikacji do niego kierowanej, a w konsekwencji zostaną mu wyświetlone reklamy nie tylko administratora, ale i podmiotów trzecich. 

PROFILOWANIE MARKETINGOWE

W kontekście podejścia WP.PL do stosowania przepisów RODO naszą uwagę zwróciło też pozyskiwanie zgody na profilowanie marketingowe. W naszej ocenie możliwość oparcia takich działań na uzasadnionym interesie wynika bezpośrednio (choć nie wprost) z przepisów RODO. Art. 21 ust. 2 RODO nie pozostawia wątpliwości: Jeżeli dane osobowe są przetwarzane na potrzeby marketingu bezpośredniego, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciwwobec przetwarzania dotyczących jej danych osobowych na potrzeby takiego marketingu, w tym profilowania, w zakresie, w jakim przetwarzanie jest związane z takim marketingiem bezpośrednim. Prawo do sprzeciwu przysługuje, kiedy podstawą przetwarzania danych osobowych jest uzasadniony interes, a nie zgoda podmiotu danych. W przypadku zgody możliwe jest jej wycofanie, a nie sprzeciw. 

Dlaczego więc konieczne miałoby być zbieranie zgody? Czy znaczenie ma tu kanał komunikacji, czyli wyświetlenie banera z reklamą w Internecie i przekonanie, że profilowanie w tym zakresie zbyt mocno ingeruje w prywatność użytkowników, żeby opierać się na interesie administratora? Trudno się zgodzić, że w tym przypadku rzeczywiście tak bardzo – bardziej niż przy wysyłce emailingu czy telemarketingu – cierpi prywatność podmiotu danych. We wszystkich tych przypadkach potrzebna jest zgoda na kanał komunikacji (z UŚUDE, z art. 172 PT lub art. 173 PT), więc to argumentem być nie powinno. Szczególnie, że przy mailingu i telemarketingu administrator zazwyczaj zna naszą tożsamość lub może ją łatwo ustalić, a przy reklamie behawioralnej w Internecie zwykle zna tylko przypisany nam (albo naszemu urządzeniu) identyfikator (niekoniecznie identyfikując konkretnego Kowalskiego z imienia i nazwiska). I w efekcie wyświetla nam się tylko reklamowy baner (nikt nie zaśmieca nam skrzynki mailowej, nikt nie dzwoni na nasz telefon). W naszej ocenie uszczerbek dla prywatności w takim przypadku nie jest większy, niż przy mailingu czy telemarketingu, wręcz przeciwnie.

ZGODA NA COOKIES

Nie ulega natomiast wątpliwości, że wyświetlanie reklamy behawioralnej (przykład profilowania) wymaga korzystania z technologii śledzącej (tzw. trackerów), czyli głównie plików cookies. Na korzystanie z takiej technologii potrzebna jest zgoda przewidziana w Prawie Telekomunikacyjnym. Tyle, że przepisy PT nie wskazują, kto ma tę zgodę zebrać. W naszej ocenie wydawca może więc bez przeszkód zebrać zgodę zarówno samodzielnie na własne cookies, jak i w imieniu innych podmiotów na tzw. 3rd party cookies. Takie podejście było dotychczas akceptowane, a dopóki nie nastąpi zmiana legislacyjna (np. w ramach rozporządzenia e-Privacy), w naszej ocenie nie należy zmieniać praktyki stosowania tych przepisów. Co innego zgody na przetwarzanie danych osobowych. Jak wskazaliśmy w poprzednim tekście, sam fakt „łączenia” różnych zgód (zbieranych jednocześnie dla różnych administratorów, i dla różnych celów przetwarzania) jest potencjalnie krytycznym problemem. Dotychczasowe podejście GIODO było bardzo zachowawcze i nic nie wskazuje na to, że zmieni się ono po 25 maja 2018 r. 

BRZYTWA OCKHAMA

Próbując podsumować: skoro można zrobić mniej dla uzasadnienia legalności działania (zebrać tylko jedną zgodę na cookies, a w pozostałym zakresie oprzeć się na uzasadnionym interesie każdego z administratorów - tj. wydawcy serwisu oraz innych podmiotów zapisujących trackery, żeby sprofilować i dostarczyć odpowiednią treść reklamową, w tym dostarczoną przez reklamodawców) to nie należy zbierać dwóch odrębnych zgód w jednej klauzuli (na marginesie w naszej opinii wp nie zbiera w omawianym przypadku zgody na cookie). Oczywiście, żeby to zrobić, zgoda na cookies musi być „poinformowana”: konieczne jest wskazanie użytkownikom w miarę możliwości, czyje cookies są zapisywane na ich urządzeniach końcowych (narzędzia umożliwiające takie działanie powstają). To pozwoli nam uzyskać „łącznik” i zapewnić, że użytkownik będzie się spodziewał się, że inne podmioty wykorzystają jego dane osobowe w celach marketingowych. Zapewni także balans między interesem użytkownika i administratora. Co więcej, użytkownik będzie mógł się sprzeciwić takiemu działaniu (art. 21 ust. 2 RODO), o czym należałoby go poinformować. Takie rozwiązanie będzie dużo bardziej czytelne dla użytkownika (jedna zgoda i wyczerpująca informacja dostępna np. w polityce prywatności) i jednocześnie prostsze i bezpieczniejsze dla wydawców oraz innych podmiotów uczestniczących w łańcuchu reklamy behawioralnej (brak zbierania wielu zgód lub łączenia zgód na różne cele i dla różnych podmiotów w jednej klauzuli).

 

 

O zgodzie i braku zgody na marketing w internecie cd.

Nasz poprzedni tekst opisywał przeciekawy przypadek wirtualnej polski, która zaczęła jako jeden z pierwszych podmiotów uzyskiwać zgody na przetwarzanie danych osobowych (nie należy mylić ze zgodą na cookies). Zarówno model biznesowy jak i implementacja zdziwiły nas, a ponieważ przypadek ten jest świetną ilustracja problemów z wdrożeniem RODO, napisaliśmy to co napisaliśmy, wskazując na przewagę praktyczną powoływania się na prawnie uzasadniony interes w miejsce zgody na przetwarzanie danych osobowych przez administratorów prowadzących działalność marketingową w Internecie. Sporo polubień, sporo pytań i dyskusji zarówno przez linkedin jak i bardziej prywatnych. Temat w naszej opinii powinien być dokładniej omówiony, stąd dalsza część rozważań.

A MOŻE JEDNAK ZGODA?

W dotychczasowych dyskusjach nad wdrożeniem RODO w świecie marketingu internetowego padały przede wszystkim 2 argumenty za zbieraniem zgód na przetwarzanie danych osobowych:

  • Prawnie uzasadniony interesmoże być podstawą przetwarzania danych osobowych wyłącznie dla celów marketingu własnego(tj. promowania własnych towarów i usług administratora), cudzy marketing wymaga natomiast zgody podmiotu danych. Skąd takie przekonanie? Jest to prawdopodobnie konsekwencją brzmienia naszej krajowej regulacji, gdzie jako przykład uzasadnionego celu (art. 23 ust. 4 pkt 1 UODO) ustawodawca wskazał marketing własny (mimo że przecież nie wynikało to z dyrektywy 95/46) oraz dość zachowawczego podejścia GIODO w tym temacie. 
  • Profilowanie w celach marketingowych na tyle ingeruje w prywatność podmiotów danych (użytkowników Internetu), że nie jest zachowany tzw. balans interesów, czyli zagrożone są podstawowe prawa i wolności użytkownika.

W naszej ocenie oba te argumenty w nowej rzeczywistości prawnej i w obliczu zmiany filozofii ochrony prywatności pod RODO przestają być aktualne.

RODO: CZY ZGODA BUDUJE?

Do 25 maja 2018 r. i rozpoczęcia stosowania RODO pozostało 11 tygodni. Nie dziwi więc, że kolejne podmioty zaczynają zbierać na nowo różnego rodzaju zgody. Na marketing, na przekazywanie danych, czy też np. na transfer poza EOG. To, co może wydawać się proste i oczywiste – zgody – jest w istocie dość skomplikowanym mechanizmem prawnym. Ponieważ wiele osób i organizacji skupia swoją uwagę na zgodach, chcieliśmy rozpocząć dyskusję jak i kiedy to robić. Nie mamy żadnej prostej recepty, tym bardziej tajemnej wiedzy i oświecenia. Mamy sporo takich przypadków w praktyce, sporo przemyśleń i przekonanie, że wymiana wiedzy jest konieczna. Pozwolimy sobie operować na zdarzeniach i klauzulach zauważonych na rynku, w szczególności w Internecie – z góry bardzo wyraźnie zaznaczając, że nie jest naszym celem krytyka konkretnego rozwiązania (krytykować można tych, co nic nie robią), ale zwyczajnie lepiej dyskutować na prawdziwych przypadkach.

Pierwszym spektakularnym przykładem zbierania zgód była akcja wysyłkowa Tauronu. Biorąc jednak pod uwagę zainteresowanie GIODO akcją energetyków, widać jak wiele problemów może to przysporzyć . Kolejny warty odnotowania przykład to Wirtualna Polska. Przykład o tyle ciekawy, że chyba każdy z nas się natknął na komunikaty WP - od początku marca w swoich serwisach jako pierwszy z dużych wydawców internetowych WP rozpoczęła testy banera wyjaśniającego mechanizmy RODO i zbierającego zgody użytkowników portali. Inicjatywa bardzo zacna i sam fakt jej podjęcia zasługuje na pełne uznanie. Niestety, samo wykonanie pozostawia wiele kluczowych pytań RODO bez odpowiedzi. 

Po pierwsze, nie bardzo wiadomo, na co zbierana jest zgoda. Komunikat zaczyna się od słów „Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie zgody” (swoją drogą – czy można odmówić, a nie tylko kliknąć „nie teraz”?). Dalej – zgodnie z treścią - dotyczy on „przetwarzania (…) danych osobowych zbieranych w ramach korzystania (…) ze stron internetowych, serwisów i innych funkcjonalności Wirtualnej Polski, w tym zapisywanych w plikach cookies”. Nie jest to więc tzw. zgoda na cookies (art. 173 PT), a jedynie zgoda wynikająca z RODO. Trudno powiedzieć, czy zgoda na cookies będzie przez wp.pl zbierana i w jaki sposób – z obecnego modelu to nie wynika. A zgodnie z wymogami prawa zbierana być powinna. Nie rozwiązano więc jednego z głównych problemów – dualizmu przepisów RODO oraz Prawa Telekomunikacyjnego, z którym prawnicy i branża internetowa mierzą się od jakiegoś czasu. 

Po drugie, wątpliwe jest samo łączenie wielu zgód. Wg komunikatu zgody zbierane są na rzecz: (1) WP Holding SA, (2) spółek powiązanych z WP Holding SA oraz (3) Zaufanych Partnerów (kimkolwiek oni są, bo nie zostali zdefiniowani). Sam fakt łącznego zbierania zgód był przez GIODO wielokrotnie kwestionowany, również wg RODO jest to co najmniej wątpliwe (kwestia dobrowolności zgody). Wątpliwości wywołuje też samo zbieranie zgód na wszystkie podmioty z Grupy WP (bardzo rzadko jest to uzasadnione we wszystkich spółkach dużych grup kapitałowych). Biorąc pod uwagę, że użytkownik nie ma tu żadnej swobody (nie może udzielić zgody wyłącznie jednemu lub kilku podmiotom, obowiązuje zasada wszystkim albo nikomu) – takie rozwiązanie na gruncie RODO jest bardzo dyskusyjne.

Po trzecie, klauzula zgody dotyczy różnych celów przetwarzania danych osobowych: celu marketingowego (wydaje się, że tzw. „marketingu cudzego”, choć nie jest to oczywiste) oraz celu analitycznego. zastanawia nas dlaczego WP.PL wybrała zgodę jako podstawę prawną zamiast oprzeć się na prawnie uzasadnionym interesie administratora. Wydaje się, że wybór uzasadnionego interesu byłby o wiele bardziej czytelny dla użytkowników i jednocześnie organizacyjnie o wiele bardziej korzystny dla administratora. Uzasadniając merytorycznie: art. 6 ust. 1 lit. f RODO przewiduje bowiem wyraźnie, że prawnie uzasadniony interes realizowany przez stronę trzecią (czyli inny podmiot niż administrator oraz jego podwykonawca) uprawnia administratora do przetwarzania danych osobowych. Podstawa ta pasuje więc właśnie do takich sytuacji, jak „cudzy marketing” – interes ma reklamodawca zlecający kampanię, natomiast podstawę przetwarzania danych posiada wydawca serwisu. Ewentualny brakujący link pomiędzy przetwarzaniem danych a działalnością administratora można rozwiązać poprzez uzyskanie przez administratora zgody

Warszawa

ul. Wspólna 62
00-684 Warszawa
Ufficio Primo

biuro@maruta.pl

+48 22 128 00 00

   +48 22 32 32 321

1000 znaków pozostało