Wkrótce wchodzące zmiany w ustawie o świadczeniu usług drogą elektroniczną nakazują m.in., by wszędzie tam, gdzie ustawa mówi o zgodzie, stosować przepisy o ochronie danych osobowych. A więc także do zgód nie dotyczących danych osobowych. Czy intencją ustawodawcy było zatem, aby użytkownik zamawiający informację handlową uzyskał co najmniej informację o administratorze tak pozyskanych danych (np. adresie e-mail) oraz celu ich pozyskania, zgodnie z motywem 42 preambuły RODO?
Wysyłanie informacji handlowej wymaga zgody odbiorcy. Do uzyskania zgody stosuje się, zgodnie ze znowelizowanym art. 4 u.ś.u.d.e., przepisy o ochronie danych. A zatem stosuje się wymogi z RODO, w tym obowiązki informacyjne. Faktycznie w przypadku, gdy usługodawca dysponuje jedynie adresem e-mail odbiorcy (bez powiązania z innymi danymi, jak np. imię i nazwisko), który w swojej nazwie nie wskazuje na tożsamość osoby, to wówczas taki adres nie stanowi danej osobowej. Ministerstwo, nowelizując art. 4 u.ś.u.d.e., miało na celu to, aby odbiorca przede wszystkim udzielił zgody zgodnie z wymaganiami RODO, tj. aby była to zgoda dobrowolna, świadoma, konkretna i jednoznaczna. Odbiorca powinien również mieć informację o tym, kto i do jakich celów będzie wykorzystywał jego dane, w tym adres e-mail. Należy zwrócić uwagę, że nie będzie to nadmiarowy obowiązek, gdyż już art. 9 u.ś.u.d.e. wskazuje, jakie informacje należy zawrzeć, przesyłając informację handlową. Katalog ten będą zatem uzupełniały przepisy o ochronie danych osobowych. W opinii MC podmiot przesyłający informacje handlowe powinien przygotować stosowną klauzulę informacyjną, rozsyłaną generalnie do odbiorców informacji handlowej. Należy przy tym zaznaczyć, że część adresów e-mail będzie stanowiła dane osobowe (w tym np. adres e-mail zawierający imię i nazwisko), a część – nie. Oddzielanie tych danych i rozsyłanie odrębnych klauzul informacyjnych byłoby dla przedsiębiorców kłopotliwe i niejednokrotnie mogłoby prowadzić do pomyłek, dlatego zdecydowano o zawarciu generalnego odesłania do przepisów o ochronie danych osobowych. Ma to również na celu ochronę obywateli przed nadużyciami.
Jaka była intencja art. 18 u.ś.u.d.e.? Czy jego celem było ograniczenie podstaw przetwarzania danych marketingowych wyłącznie do zgody osoby, której dane dotyczą?
Na gruncie u.ś.u.d.e. rozsyłanie informacji handlowych możliwe jest jedynie po uzyskaniu zgody odbiorcy, zgodnie z art. 10 u.ś.u.d.e.
Wątpliwości budzą wprowadzone zmiany do prawa telekomunikacyjnego. Z jednej strony stanowią one, że do uzyskania zgody abonenta lub użytkownika końcowego (np. zgody na cookies) stosuje się przepisy o ochronie danych. Ale jednocześnie nie został zmieniony art. 173 ust. 2 tej ustawy, zgodnie z którym zgoda taka może być wyrażona za pomocą ustawień oprogramowania (np. przeglądarki). Jak w praktyce pogodzić te przepisy?
Pozostawiono brzmienie art. 173 ust. 2 prawa telekomunikacyjnego, gdyż przepis ten nawiązuje do motywu 66 dyrektywy 2009/136/WE z 25 listopada 2009 r. zmieniającej dyrektywę 2002/22/WE w sprawie usługi powszechnej i związanych z sieciami i usługami łączności elektronicznej praw użytkowników (Dz.Urz. z 2009 r. L 337, s. 11). Zgodnie z tym motywem, w przypadku gdy jest to technicznie możliwe i skuteczne, użytkownik może wyrazić zgodę na działanie (stosowanie) plików cookies poprzez zastosowanie odpowiednich ustawień w przeglądarce lub innej aplikacji.
Dodam, że procedowany obecnie projekt rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, uchylającego dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej) – rozporządzenie ePrivacy – zawiera analogiczny przepis. Projektowany art. 4a przewiduje możliwość wyrażenia zgody na cookies, o ile jest to technicznie możliwe i wykonalne, przy użyciu odpowiednich ustawień technicznych oprogramowania wprowadzonego na rynek, umożliwiającego komunikację elektroniczną, w tym wyszukiwanie i prezentację informacji w internecie. Zarówno przepisy projektowanego rozporządzenia ePrivacy, jak i obecnie obowiązującej dyrektywy 2002/58/WE stanowią lex specialis w stosunku do RODO, a zatem na zasadzie regulacji szczególnej możliwe jest uregulowanie tej kwestii odmiennie do RODO.