Urząd Ochrony Danych Osobowych poinformował o wszczęciu z urzędu postępowania administracyjnego wobec posła Przemysława Czarnka. Powodem jest podejrzenie naruszenia przepisów RODO w związku z ujawnieniem danych osobowych podczas konferencji prasowej. To kolejny przypadek, w którym osoba pełniąca funkcję publiczną staje się przedmiotem postępowania o naruszenie prawa do prywatności. Na naszym blogu pisaliśmy już o analogicznej sytuacji z udziałem byłego ministra zdrowia, który ujawnił dane pacjenta podczas publicznego wystąpienia – co zakończyło się nałożeniem administracyjnej kary pieniężnej (link). Najnowsza sprawa pokazuje, że problem nieprzestrzegania zasad ochrony danych osobowych przez osoby publiczne wciąż pozostaje aktualny. Ujawnienie danych na konferencji – co wiadomo? […]
Kontakt marketingowy – ochrona danych osobowych w świetle prawa komunikacji elektronicznej
26 czerwca 2025 | Aleksandra Ziętek
Ustawa z 12 lipca 2024 r. Prawo komunikacji elektronicznej (pke) została opracowana w odpowiedzi na wymagania określone w Europejskim Kodeksie Łączności Elektronicznej (Dyrektywa Parlamentu Europejskiego i Rady (UE) 2018/1972 z dnia 11 grudnia 2018 r.). Akt ten stanowi fundament prawny regulujący zasady przetwarzania danych osobowych w sektorze usług komunikacyjnych. Artykuły 386–405 pke tworzą szczegółowe ramy prawne, które uzupełniają ogólne przepisy RODO (Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r.), uwzględniając specyfikę telekomunikacji.
Regulacje PKE zastąpiła dotychczasowe z ustawy o świadczeniu usług drogą elektroniczną (UŚUDE) oraz przepisów Prawa telekomunikacyjnego, które obowiązywały w tym zakresie do 10 listopada 2024.
Choć to RODO wyznacza główne zasady przetwarzania danych osobowych, takie jak zgodność z prawem (art. 6), minimalizacja danych czy ograniczenie celu (art. 5), to sektor usług komunikacyjnych podlega dodatkowym, bardziej rygorystycznym regulacjom. Zawarte są one w dziale VII, rozdziale 5 pke. Przykładem jest art. 401 pke, który nakłada na dostawców usług obowiązek stosowania zaawansowanych środków technicznych i organizacyjnych w celu ochrony danych – często idących dalej niż wymagania RODO.
Pke reguluje kwestie techniczne, prawne i organizacyjne związane z przetwarzaniem danych w telekomunikacji. Naruszenie przepisów może prowadzić do naruszenia praw użytkowników końcowych. Pke precyzuje także zadania Prezesa UODO oraz procedury związane z obsługą incydentów. Na podstawie rozporządzenia Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. dostawcy usług muszą zgłaszać naruszenia ochrony danych osobowych Prezesowi UODO w ciągu 24 godzin od ich wykrycia, o ile jest to możliwe.
Dyrektywa 2002/58/WE (tzw. Dyrektywa o prywatności i łączności elektronicznej) określa zasady ochrony danych w komunikacji, m.in. w zakresie stosowania plików cookies. Przepisy te wymagają, aby użytkownicy byli jasno informowani o celu stosowania takich technologii i mogli wyrazić lub odmówić zgody na ich wykorzystywanie. Rozdział 5 pke rozwija te regulacje, szczegółowo określając obowiązki dostawców usług elektronicznych, zwłaszcza w odniesieniu do danych lokalizacyjnych.
Ochrona danych osobowych w sektorze komunikacji elektronicznej oparta jest zatem obecnie na następujących aktach prawnych:
- RODO
- Ustawa z 12 lipca 2024 r. – Prawo komunikacji elektronicznej
- Dyrektywa 2002/58/WE o prywatności i łączności elektronicznej
- Rozporządzenie Komisji (UE) nr 611/2013
- oraz – pośrednio – Dyrektywa (UE) 2022/2555 (NIS 2) dotycząca cyberbezpieczeństwa.
Wspólnie tworzą one spójny system ochrony danych i prywatności w usługach telekomunikacyjnych i internetowych. Pke rozwija te zasady, wprowadzając szczególne regulacje, np. w zakresie tajemnicy komunikacji elektronicznej, przetwarzania danych transmisyjnych czy lokalizacyjnych. Dane objęte tajemnicą komunikacji elektronicznej to m.in. dane o użytkownikach, komunikaty, dane o ruchu i lokalizacji, czy próby połączeń (w tym nieudane). Ich przetwarzanie jest dozwolone jedynie w zakresie niezbędnym do świadczenia usług lub na podstawie zgody użytkownika.
Przesyłanie materiałów marketingowych „po nowemu”:
Prawo komunikacji elektronicznej (PKE) wprowadza jednolite zasady dotyczące uzyskiwania zgody na prowadzenie marketingu bezpośredniego oraz przesyłanie informacji handlowych. Zgodnie z tymi przepisami, każdorazowe przesyłanie takich treści – zarówno w formie marketingu bezpośredniego, jak i informacji handlowych – wymaga uprzedniej zgody abonenta lub użytkownika końcowego.
Artykuł 398 PKE wprost zabrania wykorzystywania w celach marketingowych i handlowych:
1. Zakazane jest używanie:
1) automatycznych systemów wywołujących,
2) telekomunikacyjnych urządzeń końcowych, w szczególności w ramach korzystania z usług komunikacji interpersonalnej
– do celów przesyłania informacji handlowej w rozumieniu przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2020 r. poz. 344 oraz z 2024 r. poz. 1222), w tym marketingu bezpośredniego, do abonenta lub użytkownika końcowego, chyba że uprzednio wyraził on na to zgodę.
2.Zgoda, o której mowa w ust. 1, może być wyrażona przez udostępnienie przez abonenta lub użytkownika końcowego identyfikującego go adresu elektronicznego w rozumieniu ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, w celu przesyłania informacji handlowej na podany przez abonenta lub użytkownika końcowego adres elektroniczny.
3. Używanie środków, o których mowa w ust. 1, do przesyłania informacji handlowej, w tym marketingu bezpośredniego, nie może odbywać się na koszt użytkownika końcowego lub abonenta.
4. Działanie, o którym mowa w ust. 1, stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz. U. z 2022 r. poz. 1233).
W praktyce zakazane są dwie główne formy marketingu bez zgody:
- Przesyłanie niezamówionych informacji handlowych, czyli tzw. spam – obejmuje to zarówno e-maile, SMS-y, jak i połączenia telefoniczne realizowane za pomocą systemów automatycznych.
- Korzystanie z danych kontaktowych klientów (takich jak adres e-mail czy numer telefonu), które zostały podane w związku z zawarciem umowy, do promowania innych produktów lub usług, jeżeli klient nie wyraził zgody na takie działania.
Choć motyw 47 RODO dopuszcza możliwość uznania marketingu bezpośredniego za działanie leżące w prawnie uzasadnionym interesie administratora danych, to cofnięcie zgody wymaganej przez art. 398 PKE sprawia, że każdy kolejny kontakt marketingowy narusza przepisy PKE. Niewłaściwe prowadzenie działań marketingowych może zatem skutkować nie tylko złamaniem PKE, ale również przepisów RODO. Nowe regulacje jednoznacznie wykluczają możliwość prowadzenia tzw. cold callingu czy wysyłki cold maili bez wcześniejszego uzyskania zgody odbiorcy. Ponadto zabronione jest wykorzystywanie danych kontaktowych pozyskanych z publicznych rejestrów, stron internetowych czy za pomocą generatorów adresów e-mail do celów marketingowych bez uprzedniego uzyskania jednoznacznej zgody osoby, której dane dotyczą.
Odpowiedzialność i z RODO i z PKE?
Odpowiedzialność za kontakt marketingowy bez wyrażenia zgody przez osobę której dane dotyczą jest regulowana zarówno w przepisach RODO, jak i w ustawach krajowych,
1 RODO– Podstawowe przepisy, które mogą mieć zastosowanie w przypadku kontaktu marketingowego bez zgody osoby fizycznej to:
- Art. 5 ust. 1 lit. c RODO- przetwarzanie danych jedynie w zakresie niezbędnym do realizacji celów (tu marketingowych- dane musza być adekwatne i ograniczone);
- Artykuł 6 ust. 1 lit. a) RODO – Zgoda osoby, której dane dotyczą – Zgodnie z tym przepisem, przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy osoba, której dane dotyczą, wyraziła na to dobrowolną, świadomą i jednoznaczną zgodę. Kontakt marketingowy bez zgody może naruszać ten przepis.
- Art. 7 RODO- precyzuje, że zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna, a jej wycofanie musi być możliwe tak samo łatwo jak jej udzielenie.
- Artykuł 21 RODO – Prawo do sprzeciwu – Osoba, której dane dotyczą, ma prawo do sprzeciwu wobec przetwarzania jej danych w celach marketingowych, w tym w związku z profilowaniem. Jeśli osoba wyrazi sprzeciw, administrator danych musi zaprzestać przetwarzania jej danych do tych celów.
Konsekwencje niezgodnego z prawem przetwarzania danych osobowych na tle RODO: Przetwarzanie danych osobowych bez zgody osoby, której dane dotyczą, stanowi naruszenie RODO, co może skutkować nałożeniem na administratora danych administracyjnych kar pieniężnych, sięgających do 20 milionów euro lub 4% rocznego światowego obrotu firmy (zależnie od tego, która z tych wartości jest wyższa). Art. 83 ust. 5 RODO.
2 Kary za wysyłanie niezamówionej informacji handlowej na podstawie nowego Prawa komunikacji elektronicznej (PKE)
- Art. 448 PKE – 1. Kto przesyła za pomocą środków komunikacji elektronicznej informacje handlowe bez uprzedniego uzyskania zgody abonenta lub użytkownika końcowego, podlega karze grzywny.
- Art. 444 ust. 1 pkt. 81 PKE- Kto używa automatycznych systemów wywołujących lub używa telekomunikacyjnych urządzeń końcowych do celów przesyłania informacji handlowej bez uprzedniego uzyskania zgody abonenta lub użytkownika końcowego, podlega karze pieniężnej.
- Art. 446 ust. 5 (wysokość kar) – W przypadku niewypełniania obowiązku uzyskania zgody użytkownika końcowego, o której mowa w art. 398, Prezes UKE, nakłada, w drodze decyzji, na podmiot, biorąc pod uwagę charakter i zakres naruszenia, karę pieniężną w wysokości do 3 % przychodu ukaranego podmiotu, osiągniętego w poprzednim roku kalendarzowym lub do 1 000 000 zł, przy czym zastosowanie ma kwota wyższa. Przepisów ust. 2, 3 i 7 nie stosuje się.
Kara może być nałożona na przedsiębiorcę, który wykorzystuje urządzenia telekomunikacyjne do przesyłania takich informacji bez zgody odbiorcy lub bez spełnienia wymogów ustawowych (np. braku informacji o możliwości wycofania zgody).
PKE stanowi, że wysyłanie informacji handlowych bez wymaganych zgód, tak więc z naruszeniem art. 398 par. 1 PKE stanowi czyn nieuczciwej konkurencji w rozumieniu przepisów ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (Dz.U. z 2022 r. poz. 1233). Działanie takie oznacza pozyskiwanie klientów w sposób nieuczciwy, naruszający interesy innych przedsiębiorców. Omawiana ustawa rozszerza zatem zakres stosowania ustawy o zwalczaniu nieuczciwej konkurencji. Przedsiębiorca, którego interes został zagrożony może dochodzić zaniechania naruszenia niedozwolonych działań, usunięcia ich skutków, złożenia odpowiedniego oświadczenie, naprawienia wyrządzonej szkody.
Nowe przepisy zawarte w prawie komunikacji elektronicznej wprowadzają znaczące zmiany w obszarze uzyskiwania zgód na działania marketingowe i handlowe. Regulacje te nakładają obowiązek uzyskania odrębnej zgody dla każdego kanału komunikacji, niezależnie od tego, czy jest to e-mail, telefon czy SMS (co podkreślono w uzasadnieniu do projektu ustawy PKE). Dotychczasowe zgody mogą być nadal ważne, pod warunkiem że są zgodne z wymaganiami PKE oraz RODO. Zmieniło się również to, że przepisy Prawa telekomunikacyjnego w zakresie zgód dotyczyły oznaczonego odbiorcy będącego osobą fizyczną, natomiast przepisy prawa komunikacji elektronicznej wprowadziły modyfikację podmiotową i obejmować będą abonenta lub użytkownika końcowego, co może dać możliwość interpretacyjną w przedmiocie tego, że zgoda będzie mogła być uzyskana od każdego podmiotu, tj. zarówno od osoby fizycznej, jak i prawnej.
Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa oraz ma charakter wyłącznie informacyjny. Stanowi wyraz poglądów jego autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.
Powiązane posty
UODO wszczyna postępowanie wobec posła– kolejne naruszenie ochrony danych osobowych w życiu publicznym
9 maja 2025 | Aleksandra Ziętek
Dlaczego uwierzytelnianie wieloskładnikowe to dziś konieczność? Nowe zalecenia CNIL na rok 2025
30 kwietnia 2025 | Aleksandra Ziętek
W dobie cyfrowych zagrożeń tradycyjne metody ochrony kont, oparte wyłącznie na haśle, stają się niewystarczające. W odpowiedzi na nowe ryzyka CNIL – francuska Krajowa Komisja Informatyki i Wolności – opublikowała w marcu 2025 roku nowe zalecenia dotyczące uwierzytelniania wieloskładnikowego (MFA- Multi-Factor Authentication). Dokument ten stanowi kompleksowy przewodnik dla firm, instytucji publicznych oraz dostawców usług, jak poprawnie i zgodnie z RODO wdrażać MFA. Czym jest uwierzytelnianie wieloskładnikowe? MFA polega na weryfikacji tożsamości użytkownika za pomocą co najmniej dwóch niezależnych czynników spośród trzech kategorii: Czynnik wiedzy (coś, co użytkownik wie) – np. hasło lub PIN, Czynnik posiadania (coś, co użytkownik posiada) – […]
Zbierasz dane? Upewnij się, że Twój „uzasadniony interes” nie kosztuje 4% obrotu
29 kwietnia 2025 | Karolina Misiak
Z Karty praw podstawowych Unii Europejskiej wynika jasno: dane osobowe muszą być przetwarzane rzetelnie, w określonych celach i w oparciu o uzasadnioną podstawę prawną określoną w przepisach prawa. Tę zasadę konkretyzuje RODO, a zwłaszcza artykuł 6, który stanowi, że przetwarzanie danych osobowych jest zgodne z prawem tylko w zakresie i w przypadku, w jakim zastosowanie ma co najmniej jedna z sześciu wskazanych tam podstaw prawnych. Jedną z nich jest tzw. „uzasadniony interes” (art. 6 ust. 1 lit. f RODO). Coraz częściej administratorzy danych sięgają właśnie po tę podstawę – kusi bowiem ona elastycznością i brakiem konieczności uzyskiwania zgody. Ale czy […]