Przewidywane zmiany w ustawie o świadczeniu umów drogą elektroniczną nakazują m.in. stosowanie przepisów o ochronie danych osobowych, jeżeli ustawa wymaga uzyskania zgody usługobiorcy. Czy intencją wprowadzonych zmian było, aby użytkownik zamawiający informację handlową uzyskał co najmniej informację o administratorze tak pozyskanych danych (np. adresu e-mail) oraz celu ich pozyskania, zgodnie z motywem 42 preambuły RODO?
Efekty takiej zmiany trzeba rozpatrywać na dwóch płaszczyznach. Po pierwsze, powstaje możliwość wyrażania zgody przez wyraźne działanie potwierdzające, czyli np. przez podanie adresu e-mail w kontekście prenumeraty newslettera. Co ciekawe, taka możliwość istniała już wcześniej na gruncie art. 10 ust. 2 u.ś.u.d.e., ale wydaje się, że nie przyjęła się w praktyce. Po drugie, zgoda musi spełniać warunki określone w RODO, czyli m.in. być zgodą świadomą (zgodą osoby poinformowanej). A to znaczy, że przy zbieraniu zgody trzeba będzie wykonywać obowiązki informacyjne z art. 13 RODO. Zgodnie z motywem 42 RODO i koncepcją warstw informacyjnych, żeby zgoda była świadoma, powinno się podać co najmniej informacje o tym, komu zgoda jest udzielana, o celu wyrażenia zgody oraz o możliwości jej odwołania.
Według części komentatorów brzmienie zmienionego art. 18 u.ś.u.d.e. może oznaczać każdorazową konieczność uzyskania zgody na jakiekolwiek przetwarzanie danych dla celów marketingowych. Inni uznają, że zmiana ma charakter porządkujący i dostosowujący do RODO – a dla celów marketingowych w dalszym ciągu można stosować inne podstawy przewidziane przez RODO (np. uzasadniony interes, o którym mowa w art. 6 ust. 1 lit. f. RODO). Jaka mogła być intencja wprowadzanych zmian – czy celem było ograniczenie podstaw przetwarzania danych marketingowych wyłącznie do zgody osoby, której dane dotyczą?
Nie rozumiem, dlaczego nie zdecydowano się na uchwalenie projektu w pierwotnej wersji skierowanej do Sejmu i pozostawiono art. 18 ust. 4 u.ś.u.d.e. RODO nie umożliwia wprowadzenia przez prawodawcę krajowego odstępstw od przepisów o podstawach przetwarzania danych. Co najwyżej – jak choćby w przypadku profilowania – umożliwia przesądzenie w prawie krajowym, że określone operacje przetwarzania danych mogą być wykonywane; nadal jednak będzie to poruszanie się w ramach ustanowionych przez RODO. Nie ma natomiast możliwości wyłączenia niektórych podstaw przetwarzania danych w odniesieniu do konkretnych operacji na danych, a tak właśnie postąpiono utrzymując w mocy art. 18 ust. 4 ‒ pozostawiono wyłącznie zgodę jako podstawę przetwarzania danych dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców, wyłączając inne podstawy. W mojej ocenie taka treść art. 18 ust. 4 u.ś.u.d.e. jest sprzeczna z RODO, konkretnie z art. 6, 9 i 10, a przez to – zgodnie z zasadą pierwszeństwa prawa wspólnotowego – należy w tym zakresie stosować przepisy RODO.
Wprowadzone zostały także zmiany do prawa telekomunikacyjnego. Z jednej strony stanowią one, że do uzyskania zgody abonenta lub użytkownika końcowego (np. zgody na cookies) stosuje się przepisy o ochronie danych. Jednocześnie nie został zmieniony art. 173 ust. 2 prawa telekomunikacyjnego, zgodnie z którym zgoda taka może być wyrażona za pomocą ustawień oprogramowania (np. przeglądarki). Jak w praktyce pogodzić te przepisy – czy zgoda na cookies wyrażona w ustawieniach przeglądarki będzie spełniała wymogi z RODO?
Ta sytuacja to efekt opóźnienia prac nad rozporządzeniem ePrivacy, które ureguluje m.in. kwestie związane z plikami cookies. Mamy więc powtórzone rozwiązanie znane już od kilku lat. Podkreślam przy tym, że wymóg, aby zgoda była zgodą świadomą, był znany także przed RODO na gruncie ustawy o ochronie danych osobowych z 1997 r. W mojej ocenie nie zmienia się więc nic. Nadal możliwość wyrażenia świadomej zgody dotyczącej konkretnego pliku cookie przez ustawienia przeglądarki, udzielonej czasem lata temu, jest mocno wątpliwa. Nie pozostaje nam jednak nic innego, jak poczekać na rozwiązania, które przyniesie ePrivacy.