ROK PO RODO. Co zmienia ustawa wdrażająca RODO dla branży internetowej (w tym e-commerce)

Wojtek Kułaga
Wojtek Kułaga
Kategoria obyczaje · 27 maja 2019

W dniu 4 maja 2019 r. weszła w życie ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679, czyli ustawa doprecyzowuje zasady stosowania RODO w Polsce. Wskazana ustawa zmienia 162 krajowych aktów prawnych, a jej założeniem było dostosowanie polskiego porządku prawnego do RODO m. in. przez usunięcie przepisów, które są sprzeczne z RODO lub które powtarzają rozwiązania z niego płynące. Ustawa zawiera pakiet regulacji, których celem jest wzmocnienie ochrony prywatności (doprecyzowanie zasad przewidzianych w RODO) i zapewnienie swego rodzaju gwarancji dostępu do danych poszczególnych obywateli przetwarzanych przez jednostki. Jako przykład można podać prawo obywateli do uzyskania szczegółowych informacji o celach przetwarzania jego danych przez różnego rodzaje instytucje finansowe, jak również o sposobie ich wykorzystania.

 

RODO A BRANŻA INTERNETOWA (E-COMMERCE)

1. Warunki uzyskiwania zgody na przetwarzanie danych osobowych

 

Ustawa o świadczeniu usług drogą elektroniczną reguluje kwestie prawne związane ze świadczeniem usług z wykorzystaniem sieci Internet. W związku z wejściem do polskiego porządku prawnego RODO, koniecznym stała się zmiana ustawy o świadczeniu usług drogą elektroniczną i jej dostosowanie do treści brzmienia rozporządzenia o ochronie danych (RODO). W zakresie wskazanych zmian, na szczególną uwagę zasługuje zmiana dotychczasowego art. 4 ustawy o świadczeniu usług drogą elektroniczną, określający warunki udzielenia zgody przez usługobiorcę. Przepis ten został istotnie skrócony i aktualnie stanowi tylko, że jeżeli ustawa ta wymaga dla danych działań uzyskania zgody usługobiorcy stosowane będą warunki zgody z  przepisów o ochronie danych osobowych (czyli właśnie RODO).

 

Do chwili obecnej, warunki udzielania zgody na przetwarzanie danych osobowych dotyczyły:

  1. Możliwości odwołania zgody,
  2. Zgody o charakterze wyraźnym (brak możliwości wywodzenia i domniemywania zgody),
  3. Możliwości udokumentowania przez przedsiębiorcę otrzymanej zgody.

Odwołanie do przepisów RODO, a w szczególności do art. 4 ust. 11, art. 7 oraz art. 8 RODO, oznacza, że warunki wyrażenia zgody określone zostały bardziej rygorystycznie. Zgoda taka musi więc być:

  • dobrowolna,
  • świadoma (wyrażający zgodę musi mieć wiedzę o konsekwencjach jej wyrażenia, koniecznym jest sformułowanie zrozumiałego oświadczenia o zgodzie przygotowanego przez administratora danych osobowych),
  • konkretna (nie można domniemywać jej z innych działań),
  • jednoznaczna (jeżeli zgoda jest częścią oświadczenia, które dotyczy także innych kwestii, musi być przedstawiona w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, co w praktyce oznacza zastosowanie odrębnych checkboxów, czy stosownego wyróżnienie oświadczenia o zgodzie),
  • możliwa do wycofania w każdym czasie,
  • udokumentowana.

Jak dodaje radca prawny Marcin Staniszewski z Kancelarii Prawnej RPMS z Poznania, to zgoda jest podstawą przetwarzania danych osobowych w przypadku chęci kierowania do odbiorcy internetowego (za pośrednictwem strony lub drogą e-mail) treści marketingowych. Mowa tutaj przykładowo o często stosowanym newsletterze jako formie komunikacji z klientami i silnym narzędziu marketingowym. RODO co prawda liberalizuje dotychczasowe zasady pozwalając wykorzystywać dane dla celów marketingu bezpośredniego nie tylko w oparciu o przesłankę zgody, ale wskazuje w tym miejscu również istnienie prawnie uzasadnionego interesu administratora. Pamiętać należy jednak o tym, że niezmieniony art. 10 ustawy o świadczeniu usług drogą elektroniczną całkowicie uzależnia legalność przesyłania elektronicznego treści marketingowych od uprzedniej zgody na taką wysyłkę.

 

Zmiana art. 4 ustawy o świadczeniu usług drogą elektroniczną ma więc charakter o tyle porządkujący, iż nakazuje stosować zasady uzyskiwania zgody (w sytuacjach, gdy jest ona potrzebna jako podstawa przetwarzania danych osobowych) wyrażone w RODO, a nie jak dotychczas w samej ustawie świadczenia usług drogą elektroniczną.

2. Przekazywanie danych osobowych i nieosobowych organom państwa

 

Nowelizacji branżowej podlega również obowiązek przedsiębiorców świadczących usługi elektroniczne do przekazywania przetwarzanych danych o usługobiorcach organom państwa w związku z  toczącymi się postępowaniami. Nowelizacja związana z wejściem w życie RODO spowodowała, że zrezygnowano ze wskazywania jakie konkretnie kategorie danych podlegają obowiązkowi przekazania, a określa się, że są to wszelkie dane przetwarzane w związku ze świadczeniem usług drogą elektroniczną, w tym tzw. dane eksploatacyjne (np. identyfikatory internetowe). Z brzmienia przepisu ustawy wynika też, iż obowiązek udostępnienia danych obejmuje wszystkie dane, które ulegają przetwarzaniu, a więc również i te, które przedsiębiorca przetwarza z naruszeniem prawa (np. bez uprzedniego uzyskania wymaganej zgody).

 

Opisywana zmiana w prawie z pewnością poszerza obowiązek przedsiębiorców i usuwa wątpliwości w zakresie rodzaju i ilości danych, o jakie może zwrócić się uprawniony organ państwowy.

 

Nadal nie rozstrzygnięto jednak zgłaszanych przez podmioty działające w branży wątpliwości, czy przetwarzane dane mogą być również przedmiotem przekazania podmiotom prywatnym, a jeśli tak, to w jakim zakresie.

3. Możliwość przetwarzania danych nieosobowych (eksploatacyjnych i rozliczeniowych)

 

Rozdział 4 ustawy o świadczeniu usług drogą elektroniczną dotychczas w sposób szczególny regulował zasady przetwarzania danych osobowych dla świadczenia usług drogą elektroniczną. Przepisy te na skutek wprowadzenia do polskiego porządku prawnego RODO w znacznej części utraciły swoją moc. Co do zasady, do przetwarzania danych osobowych podczas świadczenia usług drogą elektroniczną stosujemy wprost przepisy RODO. Należy jednak nieustannie mieć na względzie wyjątki charakterystyczne dla branży e-commerce - w ustawie branżowej pozostawiono możliwość przetwarzania przez przedsiębiorców e-commerce tzw. danych eksploatacyjnych i tzw. danych rozliczeniowych.

 

Danymi eksploatacyjnymi są: oznaczenia identyfikujące usługobiorcę oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca, informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną, informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną. Mowa o zbieraniu danych, zwykle są one zbierane automatycznie poprzez powszechnie stosowane pliki cookies.

 

Dane rozliczeniowe z kolei mogą dotyczyć rodzaju, czasu trwania, częstotliwości i innych parametrów technicznych poszczególnych usług świadczonych online. Opisywane zmiany w prawie utrzymują w mocy przepis odnoszący się do obowiązku zachowania w poufności danych związanych ze sposobem spełnienia na rzecz usługobiorcy usługi świadczonej na odległość, chyba że usługobiorca zażąda udzielenia mu szczegółowych informacji w tym zakresie.

Zarówno dane eksploatacyjne (wskazujące techniczne uwarunkowania korzystania z usługi, poza oznaczeniami identyfikującymi usługobiorcę), jak i rozliczeniowe jako anonimowe nie są danymi osobowymi. W konsekwencji, jako takie są więc wyłączone spod regulacji RODO. W ustawie branżowej należało zostawić podstawę do ich przetwarzania jako niezbędnych dla celów świadczenia usług z wykorzystaniem sieci Internet. Niewykluczone jednak, że określone i ścisłe dane techniczne po połączeniu z innymi informacjami na temat użytkownika staną się danymi osobowymi, czyli takimi, które pozwalają zidentyfikować konkretną osobę fizyczną. W takim przypadku należy stosować zasady ich przetwarzania wyrażone w RODO.

 

 

***

 

Stosując wprost przepisy RODO do przetwarzania danych osobowych w branży elektronicznej, zastosowanie znajdują przesłanki legalności przetwarzania danych osobowych z art. 6 ust. 1 RODO. Aktualnie nie podaje się już katalogu danych, które przedsiębiorca e-commerce może legalnie przetwarzać, jak i nie wyznacza konkretnych celów przetwarzania. Jak wyjaśnia radca prawny Marcin Staniszewski z Kancelarii RPMS z Poznania – RODO nie określa sztywnych zasad, a w przetwarzanie danych osobowych w branży e-commerce jest dopuszczone w granicach zasad legalności z art. 6 RODO, czyli gdy istnieje odpowiednia podstawa przetwarzania (np. zawarta umowa, zgoda podmiotu danych, usprawiedliwiony cel administratora danych).

 

4. Profilowanie w sieci

 

Przed 25.05.2018 r. zasady automatycznego zestawiania danych, czyli tzw. profilowania, przy świadczeniu usług drogą elektroniczną określała ustawa o świadczeniu usług drogą elektroniczną. Ustawa ta wprost zezwalała przedsiębiorcom na zestawianie danych służące celom takim jak reklama, badania rynku oraz zachowania i preferencje usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę. Powyższe działanie było dozwolone pod warunkiem usunięcia wszelkich oznaczeń identyfikujących usługobiorcę lub zakończenie sieci telekomunikacyjnej albo system teleinformatyczny, z którego korzystał (anonimizacja danych). Niespełnienie tego wymogu możliwe było tylko w sytuacji, gdy usługobiorca uprzednio wyraził zgodę na nieusuwanie tych oznaczeń. Podsumowując, stosując anonimizację danych dopuszczalne było profilowanie.

 

Aktualnie jednak wyżej opisane przepisy zostały usunięte, gdyż nie sposób było pogodzić ich z zasadami profilowania wyrażonymi w RODO. A według RODO, aby przedsiębiorcy z branży e-commerce mogli tworzyć profile konsumentów i proponować im na tej podstawie dedykowane produkty lub reklamy, muszą spełnić obowiązek informacyjny, czyli poinformować odbiorcę, że stosowane jest wobec niego profilowanie, a także poinformować o przysługujących mu w związku z tym prawach (w szczególności o prawie do wniesienia sprzeciwu wobec profilowania, co wiąże się z zablokowaniem funkcji cookies).

 

W praktyce dzieje się to za pomocą Polityki prywatności, do której odsyła już najczęściej okienko informacyjne o wykorzystywaniu cookies. Wbrew krążącym opiniom profilowanie na potrzeby e-commerce i promowania produktów nie zawsze wymaga uzyskiwania uprzedniej zgody odbiorców – dodaje radca prawny Marcin Staniszewski z Kancelarii RPMS z Poznania. Konieczne zatem jest odpowiednie doprecyzowanie Polityki prywatności jeżeli przedsiębiorca opiera swoją działalność na profilowaniu.

Zdaniem autora

 

Ustawa branżowa RODO w zakresie obowiązków pracodawców oraz branży e-commerce wprowadza zmiany porządkujące.

 

Szczególnie dla branży usług elektronicznych zmiana polega na uchyleniu przepisów o ochronie danych osobowych w sieci w zakresie w jakim reguluje ten aspekt RODO (aby nie powielać), a pozostawieniu w ustawie branżowej przepisów o tzw. danych nieosobowych, których ochrona nie ma podstaw w rozporządzeniu RODO, a branża posługuje się nimi w bieżącej działalności (dane eksploatacyjne, rozliczeniowe).

 

Ustawa branżowa choć bardzo obszerna ma na celu zharmonizowanie przepisów danego sektora z rozporządzeniem RODO, które stosowane jest w Polsce od 25.05.2018 r. bezpośrednio. Nowelizacja stanowi więc element porządkujący i wyjaśniający w systemie prawnym, aniżeli wprowadzający znaczące zmiany dla sektorów.

 

Marcin Staniszewski

 

Radca Prawny

 

Prawnik w Kancelarii Prawnej RPMS Staniszewski & Wspólnicy z Poznania specjalizującej się w zagadnieniach dotyczących funkcjonowania spółek z branży internetowej, w szczególności e – commerce i marketingu internetowego (SEO).

 

***

 

Podstawa prawna przetwarzania danych w branży usług elektronicznych

 

- przed 25.05.2018 r.

 

 

rozdział IV ustawy z dnia 18.07.2002 r. o świadczeniu usług drogą elektroniczną, a w zakresie nieuregulowanym w ustawie o świadczeniu usług drogą elektroniczną -  ustawa z dnia 29.08.1997 r. o ochronie praw osobowych, a w zakresie nieuregulowanym w ustawie o świadczeniu usług drogą elektroniczną -  ustawa z dnia 29.08.1997 r. o ochronie praw osobowych

 

- po 25.05.2018 r.

 

rozporządzenie RODO; art. 18 ust. 5 i 6 oraz art. 19 ust. 3 ustawy 18.07.2002 r. o świadczeniu usług drogą elektroniczną, a w zakresie nieuregulowanym - ustawa z dnia 10.05.2018 r. o ochronie praw osobowych

 

Materiał powstał przy współpracy z Kancelarią Prawną RPMS Staniszewski & Wspólnicy z Poznania.