Wyświetlasz banery reklamowe zalogowanym użytkownikom? Wyrok NSA powinien Cię zainteresować.

  • 17.09.2019

  • Autor: Michał Rogoziński

  • analizy

W marcu 2019 roku Naczelny Sąd Administracyjny wydał wyrok, który – jeśli przedstawiona linia orzecznicza się utrzyma – może spowodować konieczność przemodelowania wielu stosowanych w firmach sposobów prezentowania treści marketingowych. Wyrok został wydany jeszcze na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, ale ocena Sądu w sferze faktów i mechanizmów marketingowych przekłada się wprost na dzisiejszą rzeczywistość.

 

Sprzeciw wobec działań marketingowych

Sprawa zaczęła się od złożenia przez Klienta jednego z operatorów telewizyjnych sprzeciwu wobec przetwarzania jego danych osobowych w celach marketingowych. Pomimo otrzymania sprzeciwu, firma nadal kierowała do klienta wiadomości marketingowe – były one wysyłane za pośrednictwem serwisu internetowego operatora, dostępnego dla klienta po zalogowaniu, w ramach panelu „Wiadomości”. W toku postępowania przed Generalnym Inspektorem Ochrony Danych Osobowych firma zaprzestała wysyłania wiadomości, natomiast nadal wyświetlała baner reklamowy o treści „Nie masz jeszcze dekodera? Zadzwoń”.

Właśnie w odniesieniu do rzeczonego baneru reklamowego pojawiają się kontrowersje. Naczelny Sąd Administracyjny podzielił bowiem opinię GIODO, iż po wniesieniu sprzeciwu klient po zalogowaniu nie powinien otrzymywać ŻADNYCH reklam. W ocenie NSA po takim zalogowaniu klient (..) powinien mieć dostęp tylko do spersonalizowanych informacji tj. takich, które będą uwzględniały jego sprzeciw wobec kierowania do niego reklam. W tych okolicznościach, nie budzi wątpliwości Naczelnego Sądu Administracyjnego, że jeżeli po zalogowaniu do indywidualnego konta (przypisanego konkretnej osobie) klient ma możliwość zapoznania się z reklamą to świadczy to o wykorzystywaniu jego danych osobowych w celach marketingowych, co w przypadku złożenia sprzeciwu nie powinno mieć miejsca.

Z powyższego wynika, że jakakolwiek reklama wyświetlana klientowi po zalogowaniu do systemu informatycznego administratora jest przetwarzaniem danych osobowych klienta w celach marketingowych. W konsekwencji sprzeciw wobec takie przetwarzania danych osobowych powinien spowodować zaprzestanie wyświetlania jakichkolwiek reklam. W ocenie NSA „Żadnego znaczenia w sprawie nie ma okoliczność, że emitowana reklama zarówno przed zalogowaniem, jak i po zalogowaniu, miała taką samą treść. Z uwagi na sprzeciw nie powinna być emitowana na indywidualnym koncie uczestnika.”

Użytkownik niezalogowany, użytkownik zalogowany

Nie trudno wyobrazić sobie inne przykłady wyświetlania banerów reklamowych zalogowanym do systemów użytkownikom. Większość sklepów i serwisów internetowych posiada na swojej stronie internetowej różne banery reklamowe, które nie są skorelowane z faktem logowania się klienta/użytkownika. Wyświetlanie tego rodzaju treści nie musi być personalizowane dla zalogowanego użytkownika, a będzie wynikało z faktu, że użytkownik znajduje się w konkretnym miejscu na danej stronie internetowej. Podobnie wygląda to w przypadku wielu serwisów internetowych, w ramach których klient może zarządzać wykupionymi usługami – administrator decyduje, że pewien obszar strony będzie wyświetlał reklamy i nie musi mieć kontroli nad tym czy konkretny użytkownik widzi taką reklamę.

W toku postępowania pozwana firma powołała się na przykład stacjonarnych salonów sprzedaży, w których widnieją różne banery reklamowe, a klient po wejściu do takiego salonu jest niewątpliwie zidentyfikowany przez jego pracowników. NSA bez szczegółowej argumentacji przyjął jednak, że w tym przypadku klient godzi się na oglądanie reklam, podobnie jak w przypadku gdy anonimowo korzysta ze strony internetowej. Niestety Sąd nie podzielił się podstawami takiego rozumowania, a jedynie arbitralnie stwierdził, że mamy do czynienia ze zgodą.

Podsumowanie

Wydaje się, że NSA dosyć powierzchownie przeanalizował stan faktyczny leżący u podstaw omawianej sprawy. Odwołanie się wyłącznie do statusu anonimowego i zidentyfikowanego internauty nie uwzględnia wielu pośrednich mechanizmów prezentowania reklam w Internecie, które wyświetlane są zalogowanym użytkownikom. Jeżeli takie rozumienie wykorzystywania banerów reklamowych utrzyma się w przyszłości, może to oznaczać dla wielu firm konieczność przeprojektowania systemów informatycznych, a nawet konieczność zbierania dodatkowych informacji o użytkownikach, których dziś nie zbierają – aby zaprzestać wyświetlania reklamy konkretnemu użytkownikowi administrator musi najpierw wiedzieć, że jest ona mu wyświetlana.

Ekspert w dziedzinie ochrony danych

Autor

Michał Rogoziński

Od kilku lat doradza polskim przedsiębiorcom przy budowaniu i rozwijaniu bezpiecznego biznesu. Zrealizował dziesiątki audytów bezpieczeństwa danych osobowych oraz projektów wdrożeniowych. Aktywny trener prowadzący szkolenia z zakresu bezpieczeństwa przetwarzania danych osobowych. Posiada certyfikat audytora wiodącego ISO 27001:2013 (Bezpieczeństwo Informacji).

Z tej samej kategorii

Kategorie