Łukasz Kulicki
RADCA PRAWNY
Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
TL;DR: Prawnie uzasadniony interes (PUI) to Twoje najpotężniejsze, obok zgody na przetwarzanie danych, narzędzie do prowadzenia działań marketingowych zgodnych z RODO. Jego siła tkwi w elastyczności, jednak wymaga ona, by administrator danych przeprowadził i udokumentował tzw. test równowagi. Ten artykuł pokaże Ci, jak bezpiecznie wykorzystać tę podstawę prawną, aby skutecznie realizować cele biznesowe i przetwarzać dane na podstawie, która nie narazi firmy na dotkliwe kary finansowe.
Czym jest “prawnie uzasadniony interes”?
Ogólne rozporządzenie o ochronie danych, czyli RODO, wyposaża administratora danych w zestaw narzędzi do legalnego przetwarzania danych osobowych. Najbardziej znanym jest zgoda na przetwarzanie danych, ale to prawnie uzasadniony interes (PUI), określony w art. 6 ust. 1 lit. f RODO, jest kwestią, które otwiera wiele drzwi, o ile potrafisz uzasadnić jego użycie.
Ta przesłanka legalizująca przetwarzanie danych pozwala przetwarzać dane bez pytania o zgodę, gdy jest to niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
Dla marketera ten uzasadniony interes oznacza realną możliwość przetwarzania danych osobowych na potrzeby marketingu bezpośredniego, analizowania zachowań, czy personalizowania oferty dla istniejących klientów. Kluczowym warunkiem jest jednak to, by interesy administratora nie naruszały nadrzędnych interesów lub podstawowych praw i wolności podmiotu danych. To właśnie tę relację, w której dane dotyczą konkretnej osoby fizycznej, musisz precyzyjnie ocenić.
Sprawdź również: Obsługa prawna dla działów sprzedaży i marketingu
Prawnie uzasadniony interes i test równowagi
Największym wyzwaniem i jednocześnie fundamentem, na którym opiera się prawnie uzasadniony interes, jest test równowagi. To Twoja tarcza dowodowa w razie kontroli Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Zamiast traktować go jak zmorę, potraktuj ten proces przetwarzania jako strategiczne narzędzie. Test składa się z trzech kroków, które musisz przejść i udokumentować, by móc stwierdzić istnienie prawnie uzasadnionego interesu.
Rozpoczynasz od precyzyjnego zdefiniowania swojego interesu. Zamiast ogólnikowego „marketingu”, określ cel wynikający z prawnie uzasadnionego interesu jako „utrzymanie relacji handlowej z klientem administratora poprzez wysyłkę spersonalizowanego newslettera”. Następnie oceniasz niezbędność, zadając sobie pytanie, czy ten sam cel możesz osiągnąć metodą mniej inwazyjną dla prywatności podmiotu danych. Jeśli odpowiedź brzmi „nie”, przystępujesz do kluczowego etapu – ważenia interesów.
Porównujesz swój cel biznesowy z potencjalnym wpływem na prawa i wolności podmiotu danych, biorąc pod uwagę jego rozsądne oczekiwania i prawo do wniesienia sprzeciwu wobec przetwarzania danych osobowych. Taka ocena, często weryfikowana przez inspektora ochrony danych, musi być rzetelna i możliwa do obrony.
Sprawdź również: Nowe Prawo Komunikacji Elektronicznej a marketing bezpośredni
Pułapka, w którą wpadają marketerzy
Fundamentalnym błędem jest myślenie, że prawnie uzasadniony interes administratora wynikający z RODO daje Ci zielone światło na każdą formę kontaktu. Musisz zrozumieć, że w polskim porządku prawnym działają odrębne regulacje.
Przepisy RODO regulują przetwarzanie danych osobowych w konkretnym celu, czyli ich zbieranie, analizę czy segmentację. Natomiast dwie inne ustawy – Prawo telekomunikacyjne oraz ustawa o świadczeniu usług drogą elektroniczną (UŚUDE) – regulują kwestię wysyłania komunikacji marketingowej na e-mail czy telefon.
W praktyce oznacza to, że możesz w oparciu o prawnie uzasadniony interes stworzyć profil klienta. Jednak aby wysłać mu e-mail z ofertą, nadal potrzebujesz jego uprzedniej, odrębnej zgody. PUI i zgoda na wysyłkę to dwie różne podstawy prawne, których nie wolno mylić. Zrozumienie tego rozgraniczenia to istota marketingu prowadzonego zgodnie z prawem.
PUI w praktyce: Czego uczą nas decyzje i kary UODO?
Analiza realnych spraw pokazuje, jak cienka jest granica. Prezes Urzędu Ochrony Danych Osobowych wielokrotnie karał firmy za zbyt swobodne interpretowanie PUI. Jedna ze spraw dotyczyła banku, który po wycofaniu przez klienta zgód marketingowych, dzwonił z ankietą satysfakcji. Sąd, podtrzymując karę, uznał to za marketing bezpośredni, do którego administrator nie miał już podstawy. Pokazuje to, że nawet jeśli firma ma prawnie uzasadniony interes w przesyłaniu danych do działu analityki, to kontakt z klientem musi być solidnie uzasadniony.
Z tych historii płynie prosta lekcja: zawsze dokumentuj swoje decyzje, precyzyjnie przeprowadzaj test równowagi i nigdy nie ignoruj prawa do wniesienia sprzeciwu wobec przetwarzania danych. Transparentność i poszanowanie prawa do ochrony danych osobowych to nie tylko wymóg prawny, ale najlepsza inwestycja w relację z klientem.
Sprawdź również: Nieuczciwa konkurencja w Internecie – przykłady działań i sposoby obrony
FAQ: Prawnie Uzasadniony Interes w pytaniach i odpowiedziach
Wdrożyłem/am Consent Mode v2 i CMP. Czy cookie inne niż niezbędne mogą być domyślnie włączone (granted) przy pierwszej wizycie użytkownika?
Nie. Zgodnie z zasadą privacy by default, wszystkie zgody na przetwarzanie danych, które nie są niezbędne do funkcjonowania serwisu (w tym marketingowe i analityczne), muszą być domyślnie wyłączone (denied). Użytkownik musi aktywnie i dobrowolnie wyrazić zgodę (zmiana statusu na granted). Consent Mode v2 jest tylko technicznym sposobem komunikacji tej decyzji systemom Google, a nie furtką prawną do ominięcia wymogu uzyskania zgody.
Czy mogę uruchomić Pixel Meta lub skrypty Google Ads na podstawie PUI, bez zgody użytkownika?
Zdecydowanie nie. Pixele marketingowe zbierają szeroki zakres danych o zachowaniu użytkownika, często w celu śledzenia go na różnych stronach i tworzenia szczegółowych profili. Inwazyjność tego procesu jest na tyle duża, że interesy i prawa użytkownika do prywatności niemal zawsze będą miały charakter nadrzędny nad interesem marketingowym administratora. Jedyną bezpieczną podstawą prawną dla ich uruchomienia jest dobrowolna i świadoma zgoda.
A co z analityką? Czy uruchomienie skryptu Google Analytics 4 lub Matomo mogę oprzeć na Prawnie Uzasadnionym Interesie?
To zależy, ale jest to podejście ryzykowne i wymagające spełnienia ścisłych warunków. Teoretycznie jest to możliwe, jeśli używasz analityki wyłącznie do celów statystycznych, wdrożyłeś anonimizację adresów IP i nie udostępniasz danych innym podmiotom w celach reklamowych. Nawet wtedy przeprowadzony test równowagi musi jednoznacznie wykazać, że Twoje działania nie naruszają praw użytkownika.
Czy remarketing do osób, które tylko odwiedziły moją stronę, jest legalny na podstawie PUI?
Generalnie nie. Remarketing, zwłaszcza międzyplatformowy (np. wyświetlanie reklam na Facebooku osobie, która przeglądała produkt w Twoim sklepie), jest formą profilowania opartą na śledzeniu. Podobnie jak w przypadku pixeli, inwazyjność tego działania sprawia, że Prawnie Uzasadniony Interes jest podstawą zbyt słabą. Wymagana jest świadoma zgoda użytkownika.
Mam bazę klientów, którzy coś u mnie kupili. Czy mogę wysyłać im newsletter na podstawie PUI?
To kluczowe rozróżnienie: do samego profilowania klienta i analizy jego zakupów w celu przygotowania oferty (czyli przetwarzania danych) możesz użyć PUI. Jednak do wysłania mu komercyjnego e-maila potrzebujesz odrębnej, uprzedniej zgody wynikającej z Prawa telekomunikacyjnego i Ustawy o świadczeniu usług drogą elektroniczną. PUI z RODO nie legalizuje samego aktu wysyłki mailingu.
Czy w marketingu B2B mogę swobodniej stosować PUI, np. do cold mailingu na adresy typu jan.kowalski@firma.pl?
Nie, zasady są bardzo podobne. RODO chroni osoby fizyczne, a adres e-mail zawierający imię i nazwisko jest daną osobową, nawet jeśli jest to adres służbowy. Wysyłka niezamówionej informacji handlowej nadal wymaga zgody. PUI może ewentualnie posłużyć do samego pozyskania i przechowania takiego adresu w bazie w celu nawiązania kontaktu inną drogą, ale jest to obszar o wysokim ryzyku.
Co mam zrobić, gdy użytkownik wniesie sprzeciw wobec przetwarzania danych na podstawie PUI?
Musisz natychmiast i bezwarunkowo zaprzestać przetwarzania danych tej osoby w celach marketingu bezpośredniego. Prawo do sprzeciwu w tym kontekście ma charakter absolutny. Nie możesz go odrzucić, powołując się na ważność swojego testu równowagi. Twoim obowiązkiem jest usunięcie tej osoby z list marketingowych i zapewnienie, że nie otrzyma ona więcej komunikacji opartej na PUI.
Jak w praktyce udokumentować test równowagi? Czy wystarczy notatka w pliku Word?
Notatka to za mało. Test równowagi powinien być sformalizowanym dokumentem wewnętrznym, który zawiera co najmniej: datę przeprowadzenia, opis konkretnego interesu administratora, analizę niezbędności (dlaczego ten cel jest ważny i nie można go osiągnąć inaczej), ocenę wpływu na prawa i wolności podmiotu danych oraz finalny wniosek uzasadniający, dlaczego interes administratora przeważa. Dokument powinien być datowany i archiwizowany.
Czy mogę przetwarzać dane osobowe z kupionej bazy na podstawie PUI?
Absolutnie nie. Jednym z fundamentów testu równowagi jest ocena „rozsądnych oczekiwań” osoby, której dane dotyczą. Osoba, której dane znajdują się w kupionej bazie, nie ma żadnych relacji z Twoją firmą i nie może racjonalnie spodziewać się od Ciebie kontaktu. Taki proces niemal na pewno zostałby uznany przez organ nadzorczy za naruszenie RODO.
Jak długo mogę przetwarzać dane na podstawie PUI? Czy jest jakiś termin ważności?
Nie ma sztywnego, ustawowego terminu. Dane możesz przetwarzać tak długo, jak długo istnieje cel, dla którego je zebrałeś i dla którego przeprowadziłeś test równowagi (zasada ograniczenia czasowego). Jeśli np. Twój interes polegał na marketingu do aktywnych klientów, to po kilku latach braku aktywności danego klienta, podstawa ta wygasa. Należy okresowo przeglądać i aktualizować przeprowadzone testy równowagi.
Jak daleko mogę posunąć się z profilowaniem na podstawie PUI? Czy mogę tworzyć zaawansowane segmenty klientów?
Możesz tworzyć proste segmenty w oparciu o historię zakupów czy aktywność na stronie (np. „klienci zainteresowani kategorią X”). Unikaj jednak profilowania, które prowadzi do istotnych skutków (np. znacząco różnicuje ceny – tzw. dynamic pricing) lub bazuje na danych wrażliwych. Im bardziej zaawansowane i ingerujące w prywatność jest profilowanie, tym trudniej będzie obronić PUI jako właściwą podstawę prawną.
Z jakich źródeł mogę czerpać dane do przetwarzania na podstawie PUI? Tylko te podane przez klienta?
Głównie z dwóch źródeł: danych podanych dobrowolnie przez osobę w ramach Waszej relacji (np. przy zakładaniu konta) oraz danych zaobserwowanych, wynikających z jej interakcji z Twoją firmą (np. historia przeglądanych produktów, częstotliwość logowania). Kategorycznie wykluczone jest bazowanie na danych z niepewnych, zewnętrznych źródeł, co do których osoba nie mogła się spodziewać, że trafią w Twoje ręce.
Czym Prawnie Uzasadniony Interes (PUI) różni się od „interesu publicznego”?
To dwie zupełnie różne podstawy prawne. PUI (art. 6 ust. 1 lit. f RODO) to interes Twojej firmy (np. chęć zysku, marketing). Interes publiczny (art. 6 ust. 1 lit. e RODO) dotyczy zadań realizowanych przez organy państwowe i podmioty publiczne w imieniu państwa (np. zbieranie danych do celów statystyki publicznej). Jako podmiot komercyjny prawie nigdy nie będziesz przetwarzać danych w interesie publicznym.
Jak prawidłowo poinformować użytkowników o przetwarzaniu danych na podstawie PUI w polityce prywatności?
W ramach obowiązku informacyjnego musisz jasno wskazać, jakie kategorie danych przetwarzasz, na jakiej podstawie prawnej (wskazując wprost na PUI z art. 6 ust. 1 lit. f RODO) oraz na czym konkretnie polega Twój „uzasadniony interes” (np. „marketing bezpośredni własnych produktów i usług”). Kluczowe jest również wyraźne poinformowanie użytkownika o jego prawie do wniesienia w dowolnym momencie sprzeciwu wobec takiego przetwarzania.
Czy mogę łączyć dane z mojego CRM z danymi o zachowaniu na stronie i przetwarzać je łącznie na podstawie PUI?
Jest to możliwe, ale znacząco podnosi ryzyko i komplikuje test równowagi. Musisz w nim udowodnić, że połączenie tych zbiorów danych jest niezbędne do osiągnięcia celu, a wynikająca z tego nowa, pogłębiona wiedza o kliencie nie narusza jego praw w sposób nadrzędny. Im więcej danych łączysz, tym trudniej jest argumentować, że klient mógł się tego racjonalnie spodziewać.
Korzystam z zewnętrznych narzędzi (CRM, system do e-mail marketingu). Jak PUI ma się do udostępniania danych tym podmiotom?
Twoje PUI jest podstawą do samego przetwarzania danych. Natomiast z zewnętrznymi dostawcami narzędzi (którzy są „podmiotami przetwarzającymi” lub „procesorami”) musisz mieć podpisaną umowę powierzenia przetwarzania danych zgodnie z art. 28 RODO. Umowa ta nie legalizuje samego procesu, a jedynie reguluje zasady współpracy, zapewniając, że Twój dostawca przetwarza dane w Twoim imieniu i zgodnie z Twoimi instrukcjami.
Czy mogę powołać się na PUI w przypadku marketingu skierowanego do dzieci?
Absolutnie nie. RODO wprowadza szczególną ochronę danych osobowych dzieci. Prawnie Uzasadniony Interes jest uznawany za podstawę zbyt słabą i elastyczną, by legalizować marketing skierowany do osób niepełnoletnich. Wymagana jest weryfikowalna zgoda rodzica lub opiekuna prawnego.
Skoro mam z klientem umowę (bo coś ode mnie kupił), to po co mi jeszcze PUI do marketingu?
Umowa (art. 6 ust. 1 lit. b RODO) pozwala przetwarzać dane, aby zrealizować zamówienie – przyjąć płatność, spakować towar, wysłać go. Ten cel kończy się wraz z finalizacją transakcji. PUI pozwala Ci przetwarzać te dane dalej (np. adres e-mail, historię zakupów) w nowym celu – marketingu własnych, podobnych produktów. Są to dwa odrębne, następujące po sobie cele, oparte na dwóch różnych podstawach prawnych.
Jak często muszę aktualizować lub powtarzać przeprowadzony test równowagi?
Nie ma sztywnego harmonogramu. Test należy bezwzględnie powtórzyć lub zaktualizować, gdy: zmienia się cel lub sposób przetwarzania, wprowadzasz nowe technologie (np. system oparty na AI), znacząco rozszerzasz zakres zbieranych danych, lub gdy zmieniły się przepisy lub ich interpretacja. Dobrą praktyką jest również dokonywanie okresowego przeglądu (np. co 2-3 lata), aby upewnić się, że pierwotne założenia są nadal aktualne.
Kancelaria After Legal – audyty, wdrożenia i szkolenia RODO
Przetwarzanie danych osobowych w działach marketingowych często budzi różnego rodzaju wątpliwości, ponieważ ciężko pogodzić ze sobą cele sprzedażowe kampanii i jej zgodność z prawem. Zapraszamy do współpracy wszystkie firmy, które chcą mieć pewność, że działają legalnie. Ochrona danych osobowych to jedna z naszych kluczowych specjalizacji! Nasz zespół przeprowadzi dla Państwa audyt polityki przetwarzania danych osobowych, przeanalizujemy wewnętrzną dokumentację, założenia kampanii marketingowych i doradzimy rozwiązania, które zwiększają bezpieczeństwo biznesu na co dzień, ale jednocześnie pozwalają zachować maksimum skuteczności działań reklamowych.