[Pełny tekst niniejszej opinii jest dostępny w wersji angielskiej, francuskiej i niemieckiej na stronie internetowej EIOD www.edps.europa.eu](2018/C 432/04)
(Dz.U.UE C z dnia 30 listopada 2018 r.)
W niniejszej opinii przedstawiono stanowisko EIOD na temat pakietu legislacyjnego zatytułowanego "Nowy ład dla konsumentów", na który składa się wniosek dotyczący dyrektywy w sprawie lepszego egzekwowania i unowocześnienia przepisów UE w zakresie ochrony konsumentów oraz wniosek dotyczący dyrektywy w sprawie powództw przedstawicielskich w celu ochrony zbiorowych interesów konsumentów.
EIOD z zadowoleniem przyjmuje zamiar Komisji, by zmodernizować istniejące przepisy w dziedzinie, której cele są ściśle powiązane z celami niedawno zmodernizowanych ram ochrony danych. Uznaje potrzebę uzupełnienia luk w obecnym dorobku prawnym w dziedzinie praw konsumenta w celu sprostania wyzwaniu, jakie stanowią dominujące modele biznesowe dla usług cyfrowych, które polegają na masowym gromadzeniu i monetyzacji danych osobowych oraz na manipulowaniu uwagą ludzi poprzez ukierunkowane treści. Jest to jedyna w swoim rodzaju okazja do ulepszenia prawa konsumenckiego w celu skorygowania rosnącego zachwiania równowagi i rosnącej niesprawiedliwości między osobami fizycznymi a potężnymi przedsiębiorstwami na rynkach cyfrowych.
EIOD w szczególności popiera cel polegający na rozszerzeniu zakresu dyrektywy Parlamentu Europejskiego i Rady 2011/83/UE 1 , aby umożliwić konsumentom, którzy nie otrzymują usług świadczonych za cenę pieniężną, korzystanie z ram ochrony oferowanych przez tę dyrektywę, ponieważ odzwierciedla to obecne realia i potrzeby gospodarcze.
We wniosku uwzględniono zalecenia zawarte w opinii EIOD nr 4/2017 i powstrzymano się od stosowania terminu "świadczenie wzajemne" lub rozróżnienia między danymi "aktywnie" lub "biernie" dostarczanymi przez konsumentów dostawcom treści cyfrowych. EIOD z niepokojem zauważa jednak, że nowe definicje przewidziane we wniosku wprowadziłyby pojęcie umów o dostarczenie treści cyfrowych lub usług cyfrowych, za które konsumenci mogą "płacić" swoimi danymi osobowymi zamiast płacić pieniędzmi. To nowe podejście nie rozwiązuje problemów wynikających ze stosowania terminu "świadczenie wzajemne" lub analogii między dostarczaniem danych osobowych a zapłatą ceny. W szczególności podejście to nie uwzględnia w wystarczającym stopniu charakteru ochrony danych w zakresie praw podstawowych, uznając dane osobowe za zwykły zasób gospodarczy.
W ogólnym rozporządzeniu o ochronie danych określono już równowagę w odniesieniu do okoliczności, w jakich przetwarzanie danych osobowych może odbywać się w otoczeniu cyfrowym. Wniosek powinien unikać promowania podejść, które można by interpretować w sposób niezgodny ze zobowiązaniem UE do pełnej ochrony danych osobowych, jak określono w ogólnym rozporządzeniu o ochronie danych. W celu zapewnienia szerokiej ochrony konsumentów bez ryzyka podważenia zasad prawa o ochronie danych można by rozważyć alternatywne podejście, np. oparte na szerokiej definicji "usługi" zawartej w dyrektywie o handlu elektronicznym, przepisie określającym terytorialny zakres stosowania ogólnego rozporządzenia o ochronie danych lub art. 3 ust. 1 ogólnego podejścia Rady do wniosku w sprawie treści cyfrowych.
EIOD zaleca zatem, by w definicjach "umowy o dostarczenie treści cyfrowych, które nie są dostarczane na trwałym nośniku" i "umowy o świadczenie usług cyfrowych" powstrzymać się od wszelkich odniesień do danych osobowych i sugeruje oparcie się zamiast tego na pojęciu umowy, na mocy której przedsiębiorca dostarcza lub zobowiązuje się dostarczyć określone treści cyfrowe lub usługę cyfrową konsumentowi "bez względu na to, czy wymagana jest płatność od konsumenta".
Ponadto EIOD zwraca uwagę na kilka potencjalnych ingerencji wniosku w stosowanie unijnych ram ochrony danych, zwłaszcza w odniesieniu do ogólnego rozporządzenia o ochronie danych, i przedstawia zalecenia.
Przede wszystkim EIOD podkreśla, że przetwarzanie danych osobowych może być prowadzone przez przedsiębiorstwa wyłącznie zgodnie z unijnymi ramami ochrony danych, w szczególności ogólnym rozporządzeniem o ochronie danych.
Po drugie EIOD obawia się, że gdyby wniosek wprowadził pojęcie "umów o dostarczenie treści cyfrowych lub świadczenie usług cyfrowych, za które konsumenci przekazują swoje dane osobowe zamiast płacić pieniędzmi", mogłoby to wprowadzić w błąd usługodawców, którzy mogliby sądzić, że przetwarzanie danych oparte na zgodzie w kontekście umowy jest zgodne z prawem we wszystkich przypadkach, nawet jeżeli nie są spełnione warunki ważnej zgody określone w ogólnym rozporządzeniu o ochronie danych. Podważyłoby to zasadę pewności prawa.
Po trzecie złożona interakcja między prawem do odstąpienia od umowy a wycofaniem zgody na przetwarzanie danych osobowych, jak również obowiązek przedsiębiorcy do zwrotu kosztów poniesionych przez konsumenta w przypadku odstąpienia od umowy, wskazują na trudności w pogodzeniu koncepcji "umów o dostarczenie treści cyfrowych lub świadczenie usług cyfrowych, za które konsumenci przekazują swoje dane osobowe zamiast płacić pieniędzmi", wprowadzonej we wniosku, z podstawowym prawem do danych osobowych i ogólnym rozporządzeniem o ochronie danych.
EIOD uważa również, że wniosek powinien zmienić art. 3 dyrektywy 2011/83/UE i wprowadzić przepis, w którym wyraźnie stwierdza się, że w przypadku konfliktu między dyrektywą 2011/83/UE a ramami prawnymi dotyczącymi ochrony danych przeważają te ostatnie.
Ponadto EIOD z zadowoleniem przyjmuje również nowy wniosek w sprawie zbiorowego dochodzenia roszczeń, który ma na celu ułatwienie dochodzenia roszczeń przez konsumentów, w przypadku gdy wielu konsumentów jest ofiarami tego samego naruszenia, w tzw. sytuacji wystąpienia szkody zbiorowej. EIOD zakłada, że mechanizm dochodzenia roszczeń przewidziany we wniosku w sprawie zbiorowego dochodzenia roszczeń ma uzupełniać mechanizm określony w art. 80 ogólnego rozporządzenia o ochronie danych dotyczącym reprezentowania osób, których dane dotyczą.
Niemniej jednak w zakresie, w jakim kwestie związane z ochroną danych osobowych zostałyby włączone do zakresu powództw zbiorowych na mocy wniosku, EIOD uważa, że "uprawnione podmioty", które będą mogły wnosić powództwa przedstawicielskie w tej dziedzinie na mocy wniosku, powinny podlegać tym samym warunkom, które określono w art. 80 ogólnego rozporządzenia o ochronie danych.
W tym samym duchu wniosek w sprawie zbiorowego dochodzenia roszczeń powinien wyjaśniać, że powództwa przedstawicielskie dotyczące kwestii ochrony danych mogą być wnoszone wyłącznie do organów administracyjnych będących organami nadzoru w zakresie ochrony danych w rozumieniu art. 4 ust. 21 i art. 51 ogólnego rozporządzenia o ochronie danych.
Podsumowując, EIOD uważa, że zastosowanie dwóch różnych mechanizmów zbiorowego dochodzenia roszczeń, do ogólnego rozporządzenia o ochronie danych i do przyszłego rozporządzenia w sprawie prywatności elektronicznej, wraz z innymi istotnymi punktami interakcji między ochroną konsumentów i ochroną danych, wymaga bardziej systematycznej współpracy między organami ds. ochrony konsumentów i ochrony danych, która mogłaby zostać nawiązana na przykład w ramach już istniejącej dobrowolnej sieci organów odpowiedzialnych za egzekwowanie prawa z obszarów konkurencji, ochrony konsumentów i ochrony danych - cyfrowej platformy koordynacyjnej.
EIOD z zadowoleniem przyjmuje również inicjatywę mającą na celu aktualizację egzekwowania przepisów dotyczących konsumentów: zmianę rozporządzenia w sprawie współpracy w dziedzinie ochrony konsumentów. W tym kontekście EIOD uważa, że ważne jest dalsze badanie synergii między ochroną danych a prawem konsumenckim. Współpraca między organami ochrony konsumentów a organami ochrony danych powinna stać się bardziej systematyczna wszędzie tam, gdzie pojawiają się konkretne kwestie leżące w interesie obu stron, w których zagrożone wydają się być dobro konsumentów i kwestie ochrony danych.
