Podczas prac nad ustawą wdrażającą RODO (dokładnie ustawą w związku z zapewnieniem stosowania rozporządzenia 2016/679), posłowie wprowadzili ważne zmiany do ustawy o świadczeniu usług drogą elektroniczną (uśude). Wniesiony do Sejmu projekt przewidywał wykreślenie art. 18 ust. 1-4. Określa on katalog danych osobowych, które mogą przetwarzać firmy świadczące usługi online. Wśród nich, poza imieniem, nazwiskiem, adresem, jest też np. numer PESEL.
W ustawie, którą uchwalił Sejm i która zacznie obowiązywać już 4 maja art. 18 i katalog danych pozostał. Tymczasem według RODO, to administrator, a nie ustawa, powinien każdorazowo określać, jakie dane są niezbędne dla realizacji usługi (tzw. zasada minimalizacji). Co więcej dokonano zmiany w ust. 4. - Zgodnie z jego nowym brzmieniem usługodawcy muszą uzyskać zgodę na profilowanie np. do celów reklamy, badania rynku czy zachowań i preferencji klientów - tłumaczy Mirosław Gumularz, radca prawny z kancelarii GKK Gumularz Kozik.
Co to oznacza w praktyce? Np. portal internetowy, aby wyświetlić użytkownikowi poczty internetowej czy odbiorcy newslettera dedykowaną reklamę na podstawie jego zachowań w sieci, będzie musiał mieć jego zgodę. Co więcej UODO uważa, że ta zgoda musi być wyraźna. Tymczasem RODO dopuszcza też inne podstawy poza zgodą, np. uzasadniony interes administratora, o ile profilowanie nie prowadzi do podjęcia zautomatyzowanych decyzji. Eksperci uważają, że art. 18 powinien zostać wykreślony, bo w uchwalonym przez Sejm kształcie sprawi branży on-line dużo problemów i wątpliwości. Mogą to uczynić senatorowie, którzy obecnie procedują ustawę. Co prawda Komisja Praw Człowieka, Praworządności i Petycji rekomenduje jej uchwalenie bez poprawek, ale senatorowie mogą je zgłosić w czwartek 21 marca.
Kontrowersyjny artykuł 18
Zgodnie z uchwalonym przez Sejm nowym brzmieniem art. 18 uśude, świadczący usługi on-line może przetwarzać nazwisko i imiona, numer ewidencyjny PESEL, adres zameldowania oraz do korespondencji, adresy elektroniczne. Ponadto może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości świadczonych usług, inne dane, które nie są niezbędne do świadczenia usługi drogą elektroniczną (ust. 4).
Dr Mirosław Gumularz nie ma wątpliwości, że po nowelizacji ustawa o świadczeniu usług drogą elektroniczną będzie sprzeczna z RODO i bardziej rygorystyczna. Dlaczego? - Po pierwsze art. 18 ust. 1-2 określa katalog danych niezbędnych do realizacji usługi, choć w konkretnym stanie faktycznym przetwarzanie, np. numeru PESEL może naruszać zasadę minimalizacji – tłumaczy Mirosław Gumularz. – Po drugie jego ust. 4 wyraźnie przesądza o zgodzie jako podstawie przetwarzania danych w celu profilowania, np. do celów marketingu czy polepszania jakości usługi, choć RODO i opinie Europejskiej Rady Ochrony Danych dopuszczają inne podstawy, np. uzasadniony interes administratora – dodaje Gumularz.
RODO bardziej elastyczne niż polskie przepisy
Profilowanie polega na „tworzeniu” czy „uzupełnianiu” danych „nowymi” informacjami, np. o zainteresowaniach. Zwykle ich zakres jest szerszy niż niezbędny do świadczenia samej usługi. Ponadto cel bywa też inny niż świadczenie usługi, np. do statystyki, poprawy usługi, czy analizy zachowań użytkowników. W efekcie na podstawie określonych danych jako użytkownicy jesteśmy dopasowywani do jakiejś kategorii, np. lubią kino, odzież sportową. Na tej podstawie mogą powstawać raporty o naszych preferencjach, ale też być dopasowywane reklamy. RODO w art. 21 dotyczącym prawa do sprzeciwu pośrednio przyznaje, że takie profilowanie może opierać się na przesłankach innych niż zgoda, w szczególności przesłankach tzw. uzasadnionego interesu. Art. 22 RODO precyzuje, że zgoda jest konieczna, jeśli profilowanie prowadzi do automatycznego podjęcia decyzji, np. udzielania kredytu, sprzedaży polisy. Nowy art. 18 ust. 4 uśude sprawi, że zgoda będzie bowiem potrzebna nawet jeśli, kategoryzowanie nie prowadzi do automatycznego podjęcia decyzji. – Polska regulacja jest bardziej rygorystyczna niż RODO - podkreśla dr Gumularz.
W efekcie, gdy nowelizacja wejdzie w życie, co ma nastąpić 14 dni po publikacji w Dzienniku Ustaw, może się okazać, że klienci portali znowu zostaną zasypani prośbami o zgody. Tym razem na profilowanie. Obecnie bowiem niewiele portali zbiera taką zgodę, znaczna większość - nie.
Cena promocyjna: 95.19 zł
|Cena regularna: 119 zł
|Najniższa cena w ostatnich 30 dniach: zł
Prawo sprzeczne z RODO zaszkodzi branży
Dla firm z branży znowelizowane przepisy mogą więc oznaczać duże koszty. Polska Izba Informatyki i Telekomunikacji w liście do ministra cyfryzacji podkreślała, że przedsiębiorcy objęci regulacją dostosowali swoją działalność do RODO w oparciu o projekt. – Niestety, na etapie prac w Sejmie, w sposób nietransparentny i nie dający adresatom norm prawnych możliwości reakcji, wprowadzono przepisy, których stosowanie będzie oznaczało konflikt z RODO – tłumaczy Boris Stokalski, prezes PIIT i prosi ministra o przyjęcie ustawy w kształcie przyjętym przez rząd i zgodnym z RODO.
Obecna wersja przepisów zaszkodzi bowiem rozwojowi usług elektronicznych, bo po pierwsze będzie niezgodna z RODO, po drugie będzie budzić wątpliwości interpretacyjne. Witold Chomiczewski, radca prawny w kancelarii Lubasz i Wspólnicy dodaje, że taka regulacja będzie prowadziła do wątpliwości, czy administrator świadczący usługi drogą elektroniczną może „z automatu” przetwarzać pełny katalog danych określonych w art. 18 ust. 1 bez przejmowania się zasadą minimalizacji danych.
- Pojawią się wątpliwości, czy art. 18 ust. 4 zawęża podstawy przetwarzania. To nie sprzyja pewności prawa – podkreśla Chomiczewski. A dr Mirosław Gumularz zwraca uwagę, że zgoda na profilowanie będzie budzić jeszcze inne wątpliwości. – Powstanie pytanie, czy w przypadku marketingu opartego tylko o dane pozyskane do świadczenia usługi, np. adres mailowy, zgoda nie będzie potrzebna? A co, gdy profilowanie będzie służyło innym celom niż określone w art 18 ust. 4, np. pod kątem zapewnienia bezpieczeństwa usługi? Czy wtedy może odbywać się na podstawie RODO, czy jest w ogóle zakazane, nawet na podstawie zgody – zastanawia się Mirosław Gumularz. Ponadto Portale będą musiały przejrzeć wszystkie przypadki przetwarzania danych w celach innych niż świadczenie usługi (np. do celu zapewnienia bezpieczeństwa usługi) i sprawdzić czy nie jest potrzebna w tym zakresie zgoda.
Dlatego prawnicy i branża nie mają wątpliwości, że z punktu widzenia pewności prawa, lepiej by art. 18 zniknął z ustawy o świadczeniu usług drogą elektroniczną. Zwłaszcza, że zgodnie z RODO, podmiotom, które nie stosują się do nowych przepisów, grożą kary sięgające 20 mln euro albo 4 proc. rocznych globalnych obrotów przedsiębiorstwa.
UODO widzi problem inaczej
W opinii prezesa Urzędu Ochrony Danych Osobowych, pozostawienie katalogu danych można uznać za właściwe. Jego zdaniem i tak zawsze trzeba zweryfikować, czy są one przetwarzane zgodnie z zasadami wskazanymi w art. 5 RODO, w tym zasadą minimalizmu. Paweł Litwiński, adwokat, partner w kancelarii Barta Litwiński uważa, że katalog danych niepotrzebnie skomplikuje stosowanie RODO. – Teoretycznie ustawa dopuści przetwarzanie PESEL przy zapisie na newsletter czy zakładaniu pocztu internetowej. Wielu więc zacznie się zastanawiać, czy do tego katalogu stosować zasadę minimalizacji. Pytanie po co, skoro RODO mówi jasno, że zawsze musi być stosowana – uważa Paweł Litwiński.
Prezes UODO nie widzi też problemu profilowania na podstawie zgody. Tyle, że w takiej sytuacji zdaniem dr Edyty Bielak–Jomaa zgoda musi być wyraźna, a usługobiorca musi mieć prawo, np. do informacji o zakresie profilowania. - Gdy zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowania, miałoby się opierać na zgodzie osoby, której dane dotyczą, to zgoda ta powinna być wyraźna - uważa dr Edyta Bielak–Jomaa. Ustawa powinna też zobowiązać administratora do wdrożenia właściwych środków ochrony praw, wolności i prawnie uzasadnionych interesów tej osoby. Prezes UODO radzi, by wzorem rozwiązań przyjętych w Prawie bankowym, były one zapewnione w ustawie. Bank na wniosek klienta będzie musiał ujawnić, jakie konkretnie informacje wziął pod uwagę, wyliczając nasz wskaźnik wiarygodności kredytowej. Według prezes UODO firmy internetowe powinny nas informować na jakiej podstawie, np. oferują nam takie, czy inne usługi, reklamy, itp.
Sprawdź w LEX, jak wygląda kontrola UODO:
- Czynności kontrolne wykonywane przez kontrolujących z Urzędu Ochrony Danych Osobowych >>
- Postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych >>
- Ustalenie wyników w protokole kontroli przez kontrolujących z Urzędu Ochrony Danych Osobowych >>
- Działania pokontrolne podejmowane przez Prezesa Urzędu Ochrony Danych Osobowych >>
Nie masz dostępu do tych materiałów? Sprawdź, jak go uzyskać >>
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.