Eksperci uspokajają: po zmianie prawa pozostaną ważne, o ile spełniają wymogi RODO. Tak więc już dziś, gromadząc je, należy zadbać, aby zostały wyrażone w jednoznaczny sposób, świadomie i konkretnie.
Projekty prawa komunikacji elektronicznej (dalej: p.k.e.) oraz ustawy wprowadzającej p.k.e., które znajdują się w konsultacjach publicznych, m.in. porządkują kwestię uzyskiwania zgód na niezamówione informacje handlowe oraz marketing bezpośredni (pisaliśmy o tym w DGP 149). Obie zgody, dziś ujęte w różnych przepisach, w przyszłości mają być uregulowane w jednym artykule – 360 p.k.e.
Proponowany przepis przewiduje, że używanie automatycznych systemów wywołujących lub telekomunikacyjnych urządzeń dla celów przesyłania niezamówionej informacji handlowej w rozumieniu ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (t.j. Dz.U. z 2020 r. poz. 344; dalej: u.ś.u.d.e.), w tym marketingu bezpośredniego do oznaczonego odbiorcy, jest możliwe tylko wtedy, gdy przedsiębiorca otrzymał na takie działanie uprzednią zgodę użytkownika końcowego. Taka zgoda może być wyrażona np. poprzez udostępnienie przez tego użytkownika identyfikującego go adresu poczty elektronicznej (e-maila).
Piotr Liwszic, ekspert ds. danych osobowych ODO 24 i autor bloga Jawneprzezpoufne.pl, wyjaśnia, że to będzie istotne usprawnienie dla przedsiębiorców. Projekt p.k.e. łączy bowiem obowiązujący obecnie – szalenie kontrowersyjny – art. 172 ustawy z 16 lipca 2004 r. – Prawo telekomunikacyjne (t.j. Dz.U. z 2019 r. poz. 2460, ost. zm. Dz.U. z 2020 r. poz. 695) z art. 10 u.ś.u.d.e. – Do dziś nikt nie jest jednak do końca pewien, kiedy trzeba zebrać jedną zgodę, a kiedy drugą. Doktryna też tego nie rozstrzyga. Po zmianach ma być już tylko jedna zgoda, która – o ile spełni odpowiednie warunki – będzie tożsama w zakresie sposobu jej uzyskiwania z tą zgodą, którą znamy z RODO – wyjaśnia Piotr Liwszic.
Jego zdaniem jedna zgoda z p.k.e. może obejmować wszelkie sposoby komunikacji elektronicznej z użytkownikami, a zatem także telefony, wiadomości SMS lub MMS oraz – coraz modniejsze – powiadomienia push z aplikacji na smartfony. Co więcej, z racji tego, że wymienione sposoby prowadzą do uzyskania zgody wyłącznie na jeden cel komunikacji – marketing, może wystarczyć zaledwie jedna zgoda, wypełniająca wymogi RODO.
Jak przygotować bazę danych do zmian
Powstaje pytanie: co z dotychczas posiadanymi przez przedsiębiorcę w bazach danych zgodami? Czy zachowają ważność? Zgodnie z art. 83 projektu ustawy wdrażającej p.k.e. tak. Ale tylko wówczas, jeśli wyrażone zostały w sposób spełniający wymogi z art. 4 pkt 11 oraz art. 7 rozporządzenia RODO. Zatem już dziś, ci przedsiębiorcy, którzy chcą , aby ich bazy danych pozostały ważne w nowych warunkach prawnych, powinni sprawdzić i ewentualnie uzupełnić posiadane bazy, dbając o to, aby posiadane oraz nowo zbierane obecnie zgody spełniały wymogi. Co to oznacza w praktyce?
Każda zgoda powinna być pozyskana w taki sposób, aby m.in. była:
- dobrowolna, czyli taka, przy której osoba fizyczna nie została przymuszona i rozumiała, że nie miała obowiązku wyrażenia akceptacji;
- konkretna, co oznacza, że powinna dotyczyć dokładnie określonych celów przetwarzania danych osobowych;
- świadoma – osoba musi być dostatecznie poinformowana, jaki będzie skutek wyrażenia przez nią akceptacji na przetwarzanie danych w określonym celu;
- jednoznaczna, czyli że jej wyrażenie było jednoznacznym okazaniem woli, np. w formie wyraźnego działania potwierdzającego.
Ponadto należy spełnić również obowiązek informacyjny z art. 13 RODO, czyli m.in. przedstawić tożsamość administratora przetwarzającego dane osobowe, ewentualnie również (o ile podmiot takowego zatrudnia) kontakt do inspektora ochrony danych. W informacji powinna być również wskazana podstawa prawna do owego przetwarzania (art. 6 ust. 1 RODO) oraz okres przechowywania danych. Osoba wyrażająca zgodę musi być poinformowana o swoich prawach wynikających z RODO, czyli np. do sprostowania, usunięcia lub wniesienia sprzeciwu wobec przetwarzania. Ponadto o prawie przenoszenia danych, dostępu do nich oraz możliwości wniesienia skargi do organu nadzorczego. Przy ustalaniu, czy zgody spełniają warunki z RODO, pomocny może być wyrok z 1 października 2019 r. Trybunału Sprawiedliwości Unii Europejskiej ws. Planet49 (C-673/17) oraz wytyczne 05/2020 Europejskiej Rady Ochrony Danych Osobowych (EROD) z 4 maja 2020 r.
Nie wszystkie problemy rozwiązane
Polski ustawodawca nie zdecydował się na wprowadzenie regulacji, na którą pozwalała dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (Dz. Urz. UE L 201 s. 37). Chodzi o możliwość przesyłania oferty handlowej do dotychczasowego klienta bez jego uprzedniej zgody na kontakt w celach marketingowych. – Szkoda, że nie skorzystano z tej okazji. Wszak zachodzi w takiej sytuacji uzasadnione podejrzenie, że klient może być zainteresowany rozszerzeniem współpracy bądź nowymi usługami – zauważa Piotr Liwszic.
Jednocześnie krytykuje, że projekt p.k.e. nadal wymaga w takiej sytuacji uzyskania „uprzedniej zgody”. Termin ten zaś jest przedmiotem wielu sporów w doktrynie. Od lat nie wiadomo, jak go rozumieć. Czy np. dozwolona będzie taka sytuacja, gdy podczas pierwszego kontaktu klient został zapytany o wyrażenie zgody na przedstawienie oferty, a dopiero podczas drugiego połączenia doszło do przedstawienia oferty marketingowej? – Rodzimy ustawodawca marnuje szansę na rozstrzygnięcie tej dyskusji – twierdzi ekspert.
Dyrektywa EKŁE zobowiązuje kraje członkowskie do dostosowania krajowych przepisów najpóźniej do 21 grudnia 2020 r. Tego też dnia prawo komunikacji elektronicznej ma wejść w życie. Z tego powodu konsultacje publiczne w zakresie projektu PKE potrwają zaledwie 30 dni od czasu opublikowania projektu (29 lipca br.). ©℗
Propozycje budzące kontrowersje
• Dzwonienie przedstawicieli firm. Przytoczony wcześniej art. 360 projektu p.k.e. wskazuje, że trzeba uzyskać zgodę od „oznaczonego odbiorcy, będącego użytkownikiem końcowym” na kontakt w celach marketingowych. Przy czym projekt definiuje użytkownika końcowego jako „podmiot korzystający z publicznie dostępnej usługi komunikacji elektronicznej lub żądający świadczenia takiej usługi, dla zaspokojenia własnych potrzeb” (art. 2 ust. 85 projektu). Tak skonstruowana definicja sprawia, że nadal kontrowersyjne będzie wykonywanie połączeń np. do przedstawicieli firm w celu przedstawienia oferty. – Pozostanie problem, czy można zadzwonić np. do głównego księgowego dużej firmy z ofertą oprogramowania do wystawiania faktur. Wiadomo, że kontakt odbywa się w związku z wykonywanymi przez księgowego obowiązkami służbowymi, a nie w celu reklamy kierowanej do osoby fizycznej. Projekt p.k.e. nie dopuszcza jednak takiej możliwości – uważa Piotr Liwszic.
• Ustawienia przeglądarki. Ustawodawca w zakresie uzyskiwania zgody na przetwarzanie danych z tzw. cookies skopiował rozwiązanie z art. 173 ust. 2, czyli możliwość wyrażenia zgody poprzez ustawienia przeglądarki internetowej użytkownika. Rzecz w tym, że takie rozwiązanie jest niezgodne z przytoczonym wcześniej wyrokiem TSUE oraz wytycznymi EROD. Zdaniem Piotra Liwszica ustawodawca powinien więc przyjąć nowe rozwiązania dotyczące cookies, bazując na wytycznych EROD oraz orzecznictwie europejskim. Trudno bowiem uznać zgodę za świadomą, jeśli jest ona wyrażana poprzez brak określonego działania (zmiany ustawień przeglądarki). Tymczasem konsekwencje mogą być nieznane dla użytkownika, przykładowo wyrażenie nieświadomej zgody na przetwarzanie danych z ciasteczek przez kilkunastu bądź nawet kilkuset partnerów odwiedzanych witryn.
• Kary od kilku organów. Kontrowersje budzi też projektowany system sankcji. W projekcie PKE pojawia się art. 411, zgodnie z którym prezes Urzędu Ochrony Danych Osobowych będzie mógł nałożyć kary w wysokości do 3 proc. przychodu osiągniętego w poprzednim roku kalendarzowym, m.in. za niewypełnienie obowiązków wdrożenia technicznych i organizacyjnych środków ochrony czy prowadzenia rejestru naruszeń danych osobowych. Tymczasem kompetencje w zakresie karania z tego tytułu przedsiębiorców prezes UODO posiada już za sprawą RODO. – Wpisywanie zakresu jego kompetencji do projektu PKE jest więc dość niezrozumiałym posunięciem ze strony ustawodawcy – mówi Liwszic. Co ciekawe z kolei prezes UKE będzie organem właściwym m.in. w zakresie badania, czy przedsiębiorca wypełnił obowiązek uzyskania zgody użytkownika końcowego i zostanie wyposażony w możliwość nałożenia kary pieniężnej w wysokości do 3 proc. przychodu lub do 1 mln zł, przy czym zastosowanie będzie miała kwota wyższa. Tymczasem prezes UODO też ma podobne kompetencje. Co więcej, od lat kary za wprowadzanie w błąd klientów przez firmy telekomunikacyjne nakłada również Urząd Ochrony Konkurencji i Konsumentów. – Można sobie zatem wyobrazić szczególne sytuacje, kiedy przedsiębiorca za jedno działanie będzie mógł mieć na głowie postępowania aż trzech organów nadzorczych – wskazuje Piotr Liwszic.