Przepisy dotyczące branży on-line sprzeczne z RODO
Ustawa o świadczeniu usług drogą elektroniczną (uśude) jest nie tylko bardziej rygorystyczna od przepisów RODO, ale również z nimi sprzeczna. To sprawia, że ustawa szkodzi branży cyfrowej poprzez utrudnianie wyświetlania reklam, a użytkownicy są narażeni na kolejną lawinę próśb o zgodę.
Ustawa o świadczeniu usług drogą elektroniczną (Uśude) jest nie tylko bardziej rygorystyczna od przepisów RODO, ale również z nimi sprzeczna. To sprawia, że ustawa szkodzi branży cyfrowej poprzez utrudnianie wyświetlania reklam, a użytkownicy są narażeni na kolejną lawinę próśb o zgodę.
Artykuł 18 a potrzeby branży on-line
Wspomniana branża cyfrowa, do której można zaliczyć czołowych graczy rynkowych (jak na przykład takie firmy jak: Facebook, Freshamail, Brand24, Twitter) może mieć utrudniony rozwój. Wszystko przez polskie przepisy, które np. w przypadku wyświetlania dedykowanej reklamy na podstawie zachowania użytkownika w internecie wymagają, by portal internetowy miał jego zgodę. Urząd Ochrony Danych Osobowych uważa również, że wyrażenie zgody powinno być wyraźne. Z kolei przepisy RODO dopuszczają inne podstawy, chociażby uzasadniony interes administratora — pod warunkiem, że profilowanie nie prowadzi do automatycznego podejmowania decyzji.
Specjaliści są zgodni co do tego, że artykuł 18 Ustawy o świadczeniu usług drogą elektroniczną powinien zostać wykreślony, bo w obecnej formie jest powodem wielu wątpliwości i problemów dla firm z branży on-line.
Zgodnie z artykułem 18. usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi:
nazwisko i imiona usługobiorcy,
numer ewidencyjny PESEL lub — gdy ten numer nie został nadany — numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,
adres zameldowania na pobyt stały,
adres do korespondencji, jeżeli jest inny niż adres,
dane służące do weryfikacji podpisu elektronicznego usługobiorcy,
adresy elektroniczne usługobiorcy.
Oprócz tego usługodawca — za zgodą usługobiorcy i do celów reklamy — może również przetwarzać badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości świadczonych usług, inne dane, które nie są niezbędne do świadczenia usługi drogą elektroniczną.
Nowelizacja Ustawy o świadczeniu usług drogą elektroniczną
Jak zostało wspomniane, znowelizowana Uśude jest nie tylko bardziej rygorystyczna, ale wręcz sprzeczna z przepisami RODO. Sprawdźmy dlaczego.
Art 18. ust 1-2 określa katalog danych, które są niezbędne do realizacji usługi, jednak w praktyce przetwarzanie chociażby numeru PESEL może naruszać zasadę minimalizacji. Z kolei ust. 4 mówi wprost, że podstawą do przetwarzania danych jest zgoda usługobiorcy — przepisy RODO dopuszczają również chociażby uzasadniony interes.
Jak widać interpretacja przepisów może budzić wątpliwości, dodatkowo znowelizowane przepisy mogą oznaczać konieczność poniesienia dodatkowych przez przedsiębiorców z branży on-line. Eksperci podkreślają, że adresaci znowelizowanej ustawy na etapie prac sejmowych nie mieli możliwości reakcji — wprowadzono przepisy, których stosowanie oznacza konflikt z przepisami RODO.
Firmy z branży on-line oraz prawnicy chcą, by kontrowersyjny artykuł 18. zniknął z ustawy o świadczeniu usług drogą elektroniczną.
Znaczący jest również fakt, że za niedostosowanie się do przepisów RODO grożą kary sięgające nawet 20 mln euro lub 4% rocznych globalnych obrotów przedsiębiorstwa.
Ustawa o świadczeniu usług drogą elektroniczną — zmiany w prawie Anna Stępniewska
zapoznaj się z bogatymi pakietami usług jakie mogą sprostać Twoim oczekiwaniomJeżeli szukasz wsparcia prawnego swojego e-biznesu
Co na to UODO?
Była Prezes UODO twierdziła, że pozostawienie katalogu danych to właściwe posunięcie — uważała, że i tak za każdym razem należy zweryfikować, czy dane są przetwarzane zgodnie z zasadami art. 5 RODO — w tym zgodnie z zasadą wcześniej wspomnianego minimalizmu.
Z kolei prawnicy uważają, że katalog danych niepotrzebnie komplikuje stosowanie przepisów RODO. Zaznaczają, że w teorii ustawa dopuszcza przetwarzanie chociażby numeru PESEL przy np. zapisaniu się na newsletter. W takim wypadku wielu przedsiębiorców z branży zacznie się zastanawiać, czy dostosować się do zasady minimalizacji.
Poprzednia Prezes UODO nie widziała również problemu profilowania na podstawie zgody — jednak taka zgoda musi być wyraźna, a odbiorca musi mieć zapewniony dostęp do informacji w zakresie profilowania.
Ustawa o świadczeniu usług drogą elektroniczną powinna również zobowiązywać administratora do wprowadzenia środków ochrony praw, wolności i prawnie uzasadnionych interesów tej osoby. Dlatego Prezes UODO radzi, by środki były zapewnione w ustawie — tak jak jest to w przypadku Prawa bankowego — na wniosek klienta bank ma obowiązek ujawnić, jakie konkretne informacje wziął pod uwagę przy wyliczeniu wskaźnika wiarygodności kredytowej. Idąc tą ścieżką, firmy z branży e-commerce powinny informować odbiorców, na jakiej podstawie profilują reklamy lub usługi.
Sprzedawco działaj zgodnie z przepisami prawa — nie stosuj klauzul niedozwolonych Katarzyna Grum