Ustawa sektorowa wdrażająca RODO zaczęła obowiązywać od 4 maja 2019 roku. Jej głównym zadaniem jest dostosowanie blisko 170 ustaw do wymogów unijnego rozporządzenia o ochronie danych. Jakie zmiany przyniesie dla firm i przedsiębiorców?
Warunki wyrażenia zgody
Zarówno ustawa – Prawo telekomunikacyjne, jak i ustawa o świadczeniu usług drogą elektroniczną wymagają w określonych w nich sytuacjach – zgody osoby fizycznej. Ma to miejsce na przykład w przypadku kierowania informacji o charakterze marketingowym za pośrednictwem określonych kanałów komunikacji 1. Dotychczas każda z ustaw przewidywała określone warunki, jakie musiała spełniać zgoda, aby mogła zostać uznana za ważnie udzieloną. I tak,
Prawo telekomunikacyjne w brzmieniu obowiązującym do dnia 3 maja 2019 r. (art. 174) stanowiło, iż jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta:
a) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;
b) może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika;
c) może być wycofana w każdym czasie, w sposób prosty i wolny od opłat.
W podobny (aczkolwiek nie identyczny) sposób regulowała to ustawa o świadczeniu usług drogą elektroniczną (art.4), stanowiąc, iż jeżeli ustawa o świadczeniu usług drogą elektroniczną wymaga uzyskania zgody usługobiorcy, to zgoda ta:
a) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;
b) może być odwołana w każdym czasie.
Usługodawca zobowiązany był wykazać uzyskanie zgody dla celów dowodowych.
Od dnia 4 maja, na gruncie obu ustaw, do uzyskania zgody stosuje się przepisy o ochronie danych osobowych. Oznacza to, iż „zgoda” osoby, której dane dotyczą (jak przewiduje RODO), wyrażana zgodnie z przepisami Prawa telekomunikacyjnego lub ustawy o świadczeniu usług drogą elektroniczną – powinna stanowić dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.
Należy jednak podkreślić, iż ujednolicenie wymogów dotyczących zgody na przetwarzanie danych osobowych oraz zgód wyrażanych na gruncie ustawy o świadczeniu usług drogą elektroniczną oraz Prawa telekomunikacyjnego – nie rozwiązuje w sposób jednoznaczny problemu, czy administrator będzie miał w określonych okolicznościach obowiązek pozyskania odrębnych zgód na gruncie każdego ze wspomnianych wyżej aktów prawnych (oraz RODO), czy też wystarczy jedna zgoda. – Agata Jankowska-Galińska, Radca prawny, Senior Managing Associate kancelarii Deloitte Legal.
Profilowanie
W art. 18 ust. 1 ustawy o świadczeniu usług drogą elektroniczną pozostawiono katalog danych usługobiorcy, które usługodawca może przetwarzać do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego. Należą do nich w szczególności – imię i nazwisko usługobiorcy, PESEL, adresy elektroniczne usługobiorcy.
Zgodnie z nowym brzmieniem art. 18 ust. 4 ustawy o świadczeniu usług drogą elektroniczną – usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.
Należy podkreślić, iż RODO dopuszcza również jako podstawę prawną przetwarzania danych dla celów marketingu (także z wykorzystaniem profilowania) – w określonych okolicznościach – przesłankę prawnie uzasadnionego interesu administratora. Stąd nowe brzmienie przepisów powodować może szereg problemów praktycznych, w związku z tym, iż nakazuje pozyskanie zgody dla celów reklamy. – Julia Rojewska, Senior Associate, Aplikantka adwokacka kancelarii Deloitte Legal.
Kiedy zgoda na przetwarzanie danych użytkowników
Znowelizowany został także art. 161 Prawa telekomunikacyjnego. Zgodnie z dotychczasowym brzmieniem – art. 161 ust. 2 wskazywał na katalog danych użytkowników, do przetwarzania których uprawniony był dostawca publicznie dostępnych usług telekomunikacyjnych. Zgodnie z ust.3 – oprócz danych, o których mowa była w ust. 2, dostawca publicznie dostępnych usług telekomunikacyjnych mógł, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także numery telefonów kontaktowych.
Ustawa sektorowa usuwa katalog danych, wskazując jednocześnie, iż przetwarzanie danych osobowych użytkownika – innych niż wskazane w art. 159 ust. 1 pkt 2-52– będącego osobą fizyczną odbywa się na podstawie przepisów o ochronie danych osobowych. Pozostawiono jednak przepis ust. 3 – mówiący o przetwarzaniu danych za zgodą. W rezultacie, nie jest jasne, które z danych użytkownika przetwarzane będą na podstawie zgody, a które na podstawie innych przesłanek wskazanych w RODO (pełen katalog przesłanek w stosunku do danych zwykłych przewiduje art. 6 RODO).
Przypisy:
1. Zgodnie z art. 172 ust. 1 Prawa Telekomunikacyjnego – zakazane jest używanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego, chyba że abonent lub użytkownik końcowy uprzednio wyraził na to zgodę. Przykładowo, zarówno telefon stacjonarny, jak i telefon komórkowy spełniają definicję telekomunikacyjnego urządzenia końcowego, a np. system służący do masowej wysyłki wiadomości tekstowych SMS będzie automatycznym systemem wywołującym. Za marketing bezpośredni zostanie z kolei uznana wysyłka komunikacji o usługach, czy produktach administratora lub podmiotów trzecich.
Zgodnie z art. art. 10 ust. 1 ustawy o świadczeniu usług drogą elektroniczną – zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej. Przykładowo, środkiem komunikacji elektronicznej będzie więc też np. wiadomość tekstowa SMS oraz wiadomość multimedialna MMS.
2. Art. 159 [Zakres tajemnicy telekomunikacyjnej]
1. Tajemnica komunikowania się w sieciach telekomunikacyjnych, zwana dalej „tajemnicą telekomunikacyjną”, obejmuje:
1) dane dotyczące użytkownika, z zastrzeżeniem art. 161 ust. 2;
2) treść indywidualnych komunikatów;
3) dane transmisyjne, które oznaczają dane przetwarzane dla celów przekazywania komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za usługi telekomunikacyjne, w tym dane lokalizacyjne, które oznaczają wszelkie dane przetwarzane w sieci telekomunikacyjnej lub w ramach usług telekomunikacyjnych wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych;
4) dane o lokalizacji, które oznaczają dane lokalizacyjne wykraczające poza dane niezbędne do transmisji komunikatu lub wystawienia rachunku;
5) dane o próbach uzyskania połączenia między zakończeniami sieci, w tym dane o nieudanych próbach połączeń, oznaczających połączenia między telekomunikacyjnymi urządzeniami końcowymi lub zakończeniami sieci, które zostały zestawione i nie zostały odebrane przez użytkownika końcowego lub nastąpiło przerwanie zestawianych połączeń.
