Przepisy dotyczące branży on-line sprzeczne z RODO

Ustawa o świadczeniu usług drogą elektroniczną (uśude) jest nie tylko bardziej rygorystyczna od przepisów RODO, ale również z nimi sprzeczna. To sprawia, że ustawa szkodzi branży cyfrowej poprzez utrudnianie wyświetlania reklam, a użytkownicy są narażeni na kolejną lawinę próśb o zgodę. 

Przepisy dotyczące branży on-line sprzeczne z RODO

Anna Stępniewska

25 października 2019

Ustawa o świadczeniu usług drogą elektroniczną (Uśude) jest nie tylko bardziej rygorystyczna od przepisów RODO, ale również z nimi sprzeczna. To sprawia, że ustawa szkodzi branży cyfrowej poprzez utrudnianie wyświetlania reklam, a użytkownicy są narażeni na kolejną lawinę próśb o zgodę.

Artykuł 18 a potrzeby branży on-line

Wspomniana branża cyfrowa, do której można zaliczyć czołowych graczy rynkowych (jak na przykład takie firmy jak: Facebook, Freshamail, Brand24, Twitter) może mieć utrudniony rozwój. Wszystko przez polskie przepisy, które np. w przypadku wyświetlania dedykowanej reklamy na podstawie zachowania użytkownika w internecie wymagają, by portal internetowy miał jego zgodę. Urząd Ochrony Danych Osobowych uważa również, że wyrażenie zgody powinno być wyraźne. Z kolei przepisy RODO dopuszczają inne podstawy, chociażby uzasadniony interes administratora — pod warunkiem, że profilowanie nie prowadzi do automatycznego podejmowania decyzji.

Specjaliści są zgodni co do tego, że artykuł 18 Ustawy o świadczeniu usług drogą elektroniczną powinien zostać wykreślony, bo w obecnej formie jest powodem wielu wątpliwości i problemów dla firm z branży on-line.

Zgodnie z artykułem 18. usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi:

  • nazwisko i imiona usługobiorcy,

  • numer ewidencyjny PESEL lub — gdy ten numer nie został nadany — numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,

  • adres zameldowania na pobyt stały,

  • adres do korespondencji, jeżeli jest inny niż adres,

  • dane służące do weryfikacji podpisu elektronicznego usługobiorcy,

  • adresy elektroniczne usługobiorcy.

Oprócz tego usługodawca — za zgodą usługobiorcy i do celów reklamy — może również przetwarzać badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości świadczonych usług, inne dane, które nie są niezbędne do świadczenia usługi drogą elektroniczną.

Nowelizacja Ustawy o świadczeniu usług drogą elektroniczną

Jak zostało wspomniane, znowelizowana Uśude jest nie tylko bardziej rygorystyczna, ale wręcz sprzeczna z przepisami RODO. Sprawdźmy dlaczego.

Art 18. ust 1-2 określa katalog danych, które są niezbędne do realizacji usługi, jednak w praktyce przetwarzanie chociażby numeru PESEL może naruszać zasadę minimalizacji. Z kolei ust. 4 mówi wprost, że podstawą do przetwarzania danych jest zgoda usługobiorcy — przepisy RODO dopuszczają również chociażby uzasadniony interes.  

Jak widać interpretacja przepisów może budzić wątpliwości, dodatkowo znowelizowane przepisy mogą oznaczać konieczność poniesienia dodatkowych przez przedsiębiorców z branży on-line. Eksperci podkreślają, że adresaci znowelizowanej ustawy na etapie prac sejmowych nie mieli możliwości reakcji — wprowadzono przepisy, których stosowanie oznacza konflikt z przepisami RODO.

Firmy z branży on-line oraz prawnicy chcą, by kontrowersyjny artykuł 18. zniknął z ustawy o świadczeniu usług drogą elektroniczną. 

Znaczący jest również fakt, że za niedostosowanie się do przepisów RODO grożą kary sięgające nawet 20 mln euro lub 4% rocznych globalnych obrotów przedsiębiorstwa.

Ustawa o świadczeniu usług drogą elektroniczną — zmiany w prawieUstawa o świadczeniu usług drogą elektroniczną — zmiany w prawie Anna Stępniewska

Co na to UODO?

Była Prezes UODO twierdziła, że pozostawienie katalogu danych to właściwe posunięcie — uważała, że i tak za każdym razem należy zweryfikować, czy dane są przetwarzane zgodnie z zasadami art. 5 RODO — w tym zgodnie z zasadą wcześniej wspomnianego minimalizmu.

Z kolei prawnicy uważają, że katalog danych niepotrzebnie komplikuje stosowanie przepisów RODO. Zaznaczają, że w teorii ustawa dopuszcza przetwarzanie chociażby numeru PESEL przy np. zapisaniu się na newsletter. W takim wypadku wielu przedsiębiorców z branży zacznie się zastanawiać, czy dostosować się do zasady minimalizacji.

Poprzednia Prezes UODO nie widziała również problemu profilowania na podstawie zgody — jednak taka zgoda musi być wyraźna, a odbiorca musi mieć zapewniony dostęp do informacji w zakresie profilowania.

Ustawa o świadczeniu usług drogą elektroniczną powinna również zobowiązywać administratora do wprowadzenia środków ochrony praw, wolności i prawnie uzasadnionych interesów tej osoby. Dlatego Prezes UODO radzi, by środki były zapewnione w ustawie — tak jak jest to w przypadku Prawa bankowego — na wniosek klienta bank ma obowiązek ujawnić, jakie konkretne informacje wziął pod uwagę przy wyliczeniu wskaźnika wiarygodności kredytowej. Idąc tą ścieżką, firmy z branży e-commerce powinny informować odbiorców, na jakiej podstawie profilują reklamy lub usługi.

Sprzedawco działaj zgodnie z przepisami prawa — nie stosuj klauzul niedozwolonychSprzedawco działaj zgodnie z przepisami prawa — nie stosuj klauzul niedozwolonych Katarzyna Grum

Czy ten artykuł był przydatny?

Tagi: prawo

Udostępnij: