To pakiet przepisów zmieniających 162 ustawy w celu ich dostosowania do RODO. Duże kontrowersje wzbudziły m.in. zmiany wprowadzone w ustawie z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2019 r. poz. 123 ze zm.; dalej: u.ś.u.d.e.), które dotyczą przesyłania informacji handlowej oraz przetwarzania danych dla innych celów marketingowych. Zmiany mogą dotknąć praktycznie wszystkich przedsiębiorców – większość przesyła informacje handlowe, a niemal każdy siłą rzeczy wykorzystuje np. dane swoich kontrahentów, by oferować swoje produkty czy usługi i poprawiać ich jakość. Ustawodawca – wprowadzając te modyfikacje – chciał uporządkować przepisy i usunąć wprost te sprzeczne z RODO. Diabeł tkwi jednak w szczegółach, a zmiany w projekcie ustawy były wprowadzane nawet już pod koniec prac legislacyjnych w sejmowych komisjach. Dlatego wśród ekspertów rozgorzała dyskusja, jak owe przepisy powinny być interpretowane. Wprowadzone modyfikacje niektórzy interpretują jako zmianę zasad przetwarzania danych do celów marketingowych. Pojawiają się m.in. wątpliwości, czy zgodnie z nową ustawą na każde wykorzystanie danych do takich celów konieczna będzie zgoda?
Problem nr 1:
co jest wymagane przy zamawianiu informacji handlowych?
Główne pytanie dotyczy tego, czy w przypadku zamówionych informacji handlowych (np. news letterów) potrzebna jest taka sama zgoda jak przy RODO, czy wystarczającą formą będzie podanie adresu e-mail?
Skąd wzięły się wątpliwości? Przede wszystkim ustawodawca postanowił zmienić art. 4 u.ś.u.d.e. i jednoznacznie przesądził w nim, że do uzyskania zgody usługobiorcy zastosowanie znajdą przepisy RODO. Po zmianie art. 4 u.ś.u.d.e.: brzmi następująco: „Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych”. Jednocześnie wykreślono dotychczasowe warunki uzyskania zgód, określone w ustawie. Ustawodawca uznał bowiem, że zawsze gdy ustawa wymaga uzyskania zgody usługobiorcy, powinna ona spełniać takie same warunki jak zgoda z RODO.
Problem jednak w tym, że zarówno w dotychczasowym, jak i w obecnym brzmieniu ustawa zakazuje wysyłania „niezamówionej” informacji handlowej – wprost nie nazywając zamówienia informacji handlowej zgodą na jej otrzymywanie (art. 10 ust. 2 u.ś.u.d.e.) . I tutaj właśnie pojawiają się wątpliwości. W tym kontekście nie jest bowiem dla wszystkich całkowicie jasne, czy intencją ustawodawcy było stosowanie przepisów RODO do „zamówienia” informacji handlowej, czy do innych obszarów, w których ustawa wprost mówi o zgodzie.
Nowelizacja nie wyjaśnia powyższej wątpliwości, dlatego celowe jest utrzymanie dotychczasowej praktyki, która nakazywała traktować „zamówienie” informacji handlowej jako wyrażenie zgody na jej otrzymywanie. Takie wyrażenie zgody mogło jednak następować przez samo podanie w tym celu adresu e-mail (o czym wprost mówił i mówi art. 10 ust. 2 u.ś.u.d.e.). Teraz zaś w kontekście zmian pojawia się pytanie, jak pogodzić wyrażenie zgody przez podanie adresu e-mail ze stosowaniem RODO – które, aby zgoda była skuteczna, wymaga o wiele więcej.
Warunki skuteczności
Przypomnijmy: RODO wymaga m.in., aby zgoda spełniała wiele wymogów. Zgodnie z jego art. 6 zgoda powinna być:
• dobrowolna – osoba, której dane dotyczą musi mieć możliwość dokonania rzeczywistego wyboru; nie można jej więc wprowadzić w błąd, przymusić, zastraszyć lub zagrozić znaczącymi negatywnymi konsekwencjami w przypadku niewyrażenia; zgoda nie może być wyrażona domyślnie ani dorozumiana;
• świadoma – osoba, która ją wyraża, powinna mieć świadomość, jakie dane są wykorzystywane oraz w jakim dokładnie celu;
• konkretna – niedopuszczalna jest zgoda ogólna bez określenia dokładnego celu przetwarzania;
• jednoznaczna – musi mieć charakter wyraźny, a jej wszystkie aspekty muszą być transparentne i zrozumiałe dla podpisującego w momencie jej wyrażania.
Osoba wyrażająca zgodę powinna znać co najmniej tożsamość administratora i zamierzone cele przetwarzania danych osobowych.
Wyrażenia zgody nie należy uznawać za dobrowolne, jeżeli osoba, której dane dotyczą, nie ma rzeczywistego lub wolnego wyboru oraz nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji. ©℗
Jak zatem w praktyce pogodzić wyrażenie zgody przez podanie adresu e-mail ze stosowaniem RODO? Praktyka będzie się jeszcze kształtować, warto jednak przyjrzeć się dwóm modelom już stosowanym na rynku. Różnice pomiędzy nimi dotychczas były kosmetyczne, jednak w kontekście nowych przepisów mogą nabrać praktycznego znaczenia.
Ustawa dopuszcza wyrażenie zgody poprzez podanie adresu e-mail. Jednocześnie RODO wymaga m.in., aby osoba wyrażająca zgodę znała co najmniej tożsamość administratora danych oraz zamierzone cele ich przetwarzania. Co za tym idzie – najczęściej taka tożsamość i cele powinny zostać wprost wskazane w zgodzie.
Do tej pory bardzo często stosowaną praktyką było stosowanie sformułowań typu: „wpisz adres e-mail [pole do uzupełnienia adresu], aby otrzymać informacje o najnowszych promocjach”. Chociaż ten sposób był zgodny z dotychczasową ustawą, to jest dyskusyjny po zmianach – zasadniczo taka zgoda nie przekazuje minimum informacji, których dla skutecznego udzielenia zgody wymaga RODO.
Za to do przyjęcia wydaje się po zmianach sformułowanie typu: „Chce otrzymywać informacje o najnowszych promocjach od XYZ sp. z o.o. na podany adres e-mail w celu marketingu bezpośredniego ww. spółki”. Taka zgoda (spotykana w praktyce jeszcze przed wejściem w życie RODO) przekazuje minimum informacji wymaganych przez RODO.
Oczywiście sama treść zgody nie zastępuje innych wymogów wynikających z RODO – w tym np. obowiązku przekazania wielu informacji o przetwarzaniu danych osobie, której dane dotyczą. W tym zakresie polska ustawa nie wprowadza jednak odrębności, które wymuszałyby zmianę praktyki.
Problem nr 2:
w jakich przypadkach konieczna?
Wątpliwości dotyczą też tego, czy po zmianach zgoda będzie wymagana także w tych przypadkach, w których do tej pory można było powołać się na inne przesłanki (np. uzasadniony interes administratora). Chodzi o sytuacje przetwarzania danych dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę.
Ten kolejny praktyczny problem wynika z niefortunnego sformułowania art. 18 ust. 4 u.ś.u.d.e., który wprost mówi o przypadkach, w których ustawa wymaga zgody. Zgodnie z jego nowym brzmieniem: „Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną”.
Brzmienie przepisu w dużej mierze bazuje na dotychczasowym, jednak teraz po zmianach musi być odczytywany w zupełnie nowym kontekście – w którym do zgody wymaganej ustawą stosowane jest RODO. I tutaj pojawiają się wątpliwości interpretacyjne. Według części komentatorów ustawodawca wprost ograniczył podstawy przetwarzania danych innych niż niezbędne do świadczenia usług drogą elektroniczną – pozwalając na ich przetwarzanie wyłącznie na podstawie zgody. Inaczej mówiąc: uważają oni, że na skutek niefortunnego zestawienia przepisów zawsze konieczna będzie zgoda, a więc nie można będzie powołać się na inną przesłankę…
To byłoby postanowienie idące dużo dalej niż RODO, które dopuszcza wiele innych podstaw przetwarzania danych (na przykład uzasadniony interes administratora danych, którego przykładem wprost wskazanym w RODO jest właśnie marketing bezpośredni). Praktyczną konsekwencją takiego podejścia byłby paraliż branży reklamowej – jeżeli intencją ustawodawcy byłoby, aby faktycznie każde przetwarzanie danych w celach marketingowych wymagało zgody (w tym np. targetowanie reklam czy chociażby bieżąca analiza zachowań użytkowników pod kątem efektywności prowadzonych kampanii oraz popularności produktów).
Obawy przedsiębiorców nie są całkowicie pozbawione podstaw. Sposób wprowadzenia zmian faktycznie nie pozwolił na jednoznaczne ustalenie, jakie były intencje ustawodawcy. Nie można jednak zapomnieć o ogólnych zasadach wykładni, które uwzględniając samą treść RODO, pomagają usunąć pojawiające się wątpliwości. Proponowana przez niektórych interpretacja prowadziłaby do konfliktu z przepisami RODO – które poza zgodą przewidują wiele innych podstaw przetwarzania danych.
Z uzasadnienia projektu ustawy nie wynika, by intencją ustawodawcy była całkowita zmiana funkcjonowania marketingu. Nie wskazuje też na to przebieg prac komisji sejmowych. Chociaż kontrowersje są zrozumiałe, przepisy należy interpretować tak, by dojść do wniosków zgodnych z RODO, które jest przecież aktem wyższej rangi niż przyjęta w Polsce ustawa. Co więcej, jest stosowane bezpośrednio (nie wymaga transponowania do prawa polskiego – przyjęty pakiet ustaw dostosowuje polskie ustawodawstwo, ale nawet bez jego przyjęcia, RODO byłoby w pełni stosowane). W konflikcie RODO z ustawą pierwszeństwo ma oczywiście RODO – już więc na tej podstawie można usunąć ewentualną rozbieżność pomiędzy RODO a przepisem krajowym.
Pytanie jednak, czy w tym wypadku rozbieżność w ogóle istnieje? Część prawników zajmujących się ochroną danych (także autorzy) uważa, że zmieniane przepisy można interpretować tak, że przewidują one faktycznie kilka podstaw – jedną z nich jest zgoda, a kolejnymi – cele reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę. Tak określone cele są właśnie przykładami uzasadnionego interesu, o którym mówi RODO. Co za tym idzie, przyjęte przepisy można interpretować tak, by w konflikcie z RODO nie pozostawały – a przeciwnie, potwierdzały jego brzmienie. Być może w niefortunny sposób, być może z nieprecyzyjnym użyciem spójnika „i”, ale w sposób logiczny i, co istotne, zgodny z RODO.
Intencje ustawodawcy przedstawione w uzasadnieniu projektu ustawy wprost wskazują na zapewnienie spójności polskich przepisów z unijną regulacją. Mając do wyboru interpretację jednoznacznie sprzeczną z RODO albo z nim zgodną, a ponadto utrzymującą w dużej mierze dotychczasowy porządek – bardziej praktyczne wydaje się pójście tą druga, logiczną ścieżką. Oczywiście krokiem ułatwiającym takie rozumienie byłoby jasne wyjaśnienie intencji legislatorów, którego niestety na etapie wprowadzania kluczowych zmian zabrakło.
Trudne losy przepisów ustawy
Prace nad projektem ustawy trwały już od sierpnia 2017 r. W projekcie przyjętym przez Radę Ministrów i przesłanym do Sejmu 26 listopada 2018 r. planowano jedynie wykreślenie art. 18 ust. 1‒4 u.ś.u.d.e. W uzasadnieniu planowanych zmian wskazywano, że RODO nie daje podstaw do doprecyzowania lub zawężenia przepisów w zakresie i w sposób, jaki ma to miejsce w aktualnie obowiązującym rozdziale 4 u.ś.u.d.e., w tym w art. 18, w związku z czym należy uchylić przepisy dotyczące materii regulowanych rozporządzeniem RODO.
Na etapie prac nad ustawą w sejmowej podkomisji uchwalono poprawkę przywracającą art. 18 i dodającą nowe brzmienie art. 18 ust. 4 u.ś.u.d.e. Jednocześnie nieoczekiwana zmiana nie została uzasadniona ani omówiona podczas prac sejmowych.
Skutkiem takiego wprowadzenia poprawki są praktyczne wątpliwości co do intencji zmiany art. 18 u.ś.u.d.e. oraz jego interpretacji. W efekcie, mimo że założeniem ustawy było usunięcie wątpliwości i rozbieżności pomiędzy przepisami krajowymi a RODO, pośpieszna zmiana stworzyła nowe potencjalne wątpliwości na styku RODO i ustawy krajowej.
Prawo telekomunikacyjne
Nowa ustawa zmienia również ustawę z 16 lipca 2004 r. ‒ Prawo telekomunikacyjne (t.j. Dz.U. z 2018 r. poz. 1954 ze zm.), w tym art. 174 tej ustawy. Dotychczasową regulację wskazującą, że zgoda abonenta lub użytkownika końcowego nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści, może być wyrażona drogą elektroniczną i może być wycofana w każdym czasie, zastąpiono sformułowaniem, że do zgody tej stosuje się przepisy o ochronie danych osobowych.
Na gruncie tej nowelizacji pojawiają się wątpliwości, czy nowe brzmienie art. 174 prawa telekomunikacyjnego rozszerza stosowanie RODO do zgody na przetwarzanie danych, które nie są danymi osobowymi. Takie rozumienie uniemożliwiałoby zapisanie zgody na pliki cookies w ustawieniach przeglądarki.
Takie rozumienie nowego art. 174 prawa telekomunikacyjnego pomija jednak brzmienie art. 173 ust. 2 ustawy, który wprost wskazuje, że zgodę można wyrazić za pomocą ustawień oprogramowania (np. przeglądarki). Zgody w przeglądarkach powinny nadal być dopuszczalne, ponieważ inne rozumienie wskazywałoby na wewnętrzną sprzeczność sąsiadujących przepisów ustawy. W związku z powyższym interpretując oba te przepisy całościowo, należy przyjąć, że zapisywanie zgód w przeglądarkach będzie nadal możliwe.
Niezależnie od powyższej argumentacji w praktyce nie będzie większych zmian w stosowaniu tych przepisów. Cookies najczęściej służą przetwarzaniu danych osobowych, a co za tym idzie – do przetwarzanych w nich danych już teraz stosuje się RODO. A więc możemy spodziewać się kontynuowania już stosowanej praktyki.