Nowelizacja krajowych przepisów dla branży cyfrowej a RODO

NOWE PRZEPISY USTAWY O ŚWIADCZENIU USŁUG DROGĄ ELEKTRONICZNĄ SĄ SPRZECZNE Z RODO I SPOWODUJĄ POWAŻNE KONSEKWENCJE DLA BRANŻY CYFROWEJ

Zakończył się kilkuletni etap wdrażania przepisów RODO do krajowego porządku prawnego. 3 kwietnia Prezydent podpisał obszerną ustawę dostosowującą szereg polskich aktów prawnych do rozporządzenia 2016/679.

Skala przedsięwzięcia? Nowelizacja aż 162 polskich ustaw w celu zapewnienia ich zbieżności
z RODO. Wprowadzono zmiany, między innymi, w sektorach: ubezpieczeniowym, bankowym, kultury, zdrowia, pracy, spraw wewnętrznych i administracji, środowiska, edukacji narodowej, obrony narodowej, sprawiedliwości, infrastruktury i wreszcie w sektorze biznesu i technologii.

Ustawa wywoła daleko idące konsekwencje, także dla branży cyfrowej. W tym kontekście zmiany, które wkrótce wejdą w życie, przewidują obowiązek uzyskania zgody użytkownika poczty e-mail czy odbiorcy newslettera na przesyłanie im reklam spersonalizowanych w oparciu o analizę działań w sieci. O możliwych negatywnych konsekwencjach tego rozwiązania alarmowano na etapie prac nad ustawą, jednak uwagi te nie zostały uwzględnione.

Z czym mamy więc do czynienia i czy osiągnięto cel harmonizacji polskiego prawa z RODO? Nie w branży cyfrowej, w której nowe przepisy wywołują odwrotny skutek. Nie będzie nadużyciem stwierdzenie, że nowe przepisy wprowadzają niepewność prawną i chaos. W wyniku zmian, znowelizowana ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (uśude) jest bardziej rygorystyczna niż RODO. Dodatkowo, w innej części przepisy uśude i RODO są sprzeczne.

Niemożliwe? A jednak. Przyjrzyjmy się tym zmianom i zastanówmy się, kogo one dotyczą.

Rygoryzm większy niż w RODO

Najbardziej znaczącą kwestią jest przewidziany w nowelizacji uśude wymóg uzyskiwania zgody na profilowanie. Jest to o tyle zdumiewające, że samo RODO (jak też opinie Europejskiej Rady Ochrony Danych w tym zakresie) takiego wymogu nie przewidują. W obecnym stanie prawnym większość portali internetowych nie zbiera zgód na profilowanie, powołując się na swój uzasadniony interes. Od teraz się to zmieni i możemy spodziewać się fali zapytań o zgodę na profilowanie, wysyłanych przez wszystkich, którzy zajmują się śledzeniem zachowań konsumentów w Internecie.

Do tej kolizji doszło w wyniku nowelizacji art. 18 ust. 4 uśude, który przewiduje, że przetwarzanie danych

„dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę” wymaga uzyskania zgody klienta (usługobiorcy),

podczas gdy zgodnie z RODO podstawą do przetwarzania danych może być także np. uzasadniony interes administratora, o ile profilowanie nie prowadzi do podjęcia zautomatyzowanych decyzji (art. 21, 22 RODO).

Co z zasadą minimalizacji danych?

Z drugiej strony, uśude przeczy zapisom RODO. Przepis art. 18 ust. 1 i 2 polskiej ustawy określający katalog danych osobowych, jakie mogą być przetwarzane przez podmioty świadczące usługi on-line, został bowiem po nowelizacji niezmieniony i zezwala usługodawcy na przetwarzanie na przykład numeru PESEL, numeru paszportu, czy adresu zameldowania klienta dla celów realizacji usługi.

Co natomiast w tym zakresie mówi RODO i określona w art. 5 zasada minimalizacji? Po pierwsze, o zakresie danych niezbędnych do wykonania usługi decyduje administrator danych, nie ustawa. Po drugie, RODO przewiduje każdorazową analizę tego, jakie dane są niezbędne do wykonania usługi. Zapytajmy zatem retorycznie, czy w każdym przypadku dla celu realizacji usługi zasadne będzie pozyskiwanie od klienta danych powyższych danych?

Kogo dotyczą te zmiany?

Są to zmiany o niebagatelnych konsekwencjach dla każdego, kto zajmuje się profilowaniem danych w Internecie, co w dobie budowania Customer Experience, jako jednego z głównych narzędzi sprzedaży i marketingu będzie rodziło poważne problemy dla wielu podmiotów. Skutek? Zapewne wkrótce zaleje nas fala zapytań o wyrażenie zgody na profilowanie, a brak jej uzyskania zrodzi dla zainteresowanych podmiotów poważne problemy. Nie wydaje się bowiem, aby w sytuacji niepewności co do obowiązujących norm w tym zakresie, poważni gracze na rynku ryzykowali kary, jakie mogą na nich zostać nałożone w przypadku stwierdzenia naruszeń.

Ustawa czeka na publikację w Dzienniku Ustaw i wejdzie w życie 14 dni po tej dacie.