Parlament w ekspresowym tempie przyjął tzw. ustawę wdrażającą RODO. Jej dokładna nazwa brzmi ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Liczący 176 artykułów, 216 stron projekt wpłynął do Sejmu 26 listopada. Posłowie uchwalili go 21 lutego, a senatorowie przyjęli bez poprawek 21 marca. Ustawa opuszczająca Parlament, która zmienia aż 167 ustaw znacznie jednak różni się od projektu przyjętego przez rząd. Posłowie istotne poprawki wprowadzili m.in.: do ustawy o świadczeniu usług drogą elektroniczną (uśude).

Czytaj również: Przepisy dotyczące internetowych gigantów mogą naruszać RODO i zaszkodzić branży online >>

Nagła zmiana koncepcji

Wniesiony do Sejmu rządowy projekt przewidywał wykreślenie art. 18 ust. 1-4 uśude, który zawiera przepisy dotyczące przetwarzania danych osobowych. Przepisy te określają m.in.:

• katalog danych jakie mogą być przetwarzane w ramach usług świadczonych drogą elektroniczną (art. 18 ust. 1 -2 uśude);
• obowiązek wyróżnienia i oznaczania danych, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną;
• podstawę przetwarzania danych, które nie są niezbędne do świadczenia usługi drogą elektroniczną (art. 18 ust. 4 uśude).

Na etapie prac w Sejmie przywrócono co do zasady przepis art. 18 uśude. Posłowie wprowadzili wyłącznie kosmetyczne zmiany zmieniające art. 18 ust. 3 i 4. Po nowelizacji art. 18 ust. 1-4 będzie brzmiał:

1. Usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi: nazwisko i imiona usługobiorcy, numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość, adres zameldowania na pobyt stały, adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3, dane służące do weryfikacji podpisu elektronicznego usługobiorcy, adresy elektroniczne usługobiorcy.
2. W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą, usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia.
3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną.
4. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.

Ochrona danych osobowych. Kontrola i postępowanie w sprawie naruszenia przepisów. Poradnik ze wzorami

Mirosław Gumularz, Patrycja Kozik

Sprawdź  

Dlaczego art. 18 narusza rozporządzenie ogólne

W efekcie uśude zmodyfikuje aż trzy istotne zasady wynikające z RODO. Po pierwsze określa katalog danych niezbędnych do realizacji usługi (art. 18 ust. 1-2 uśude). Tymczasem według art. 5 ust. 1 lit. c RODO, to administrator, a nie ustawa, powinien każdorazowo określać, jakie dane są niezbędne dla realizacji usługi (tzw. zasada minimalizacji). W konkretnym stanie faktycznym przetwarzanie tych danych, np. nr pesel może naruszać zasadę minimalizacji.

Po drugie art. 18 ust. 3 uśude przewiduje obowiązek wyróżnienia i oznaczania danych, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną. To jest wbrew zasadzie privacy by default z art. 25 ust. 2 RODO. Zgodnie z nią to administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. Sposób wdrożenia zasady zależy od analizy ryzyka dla praw lub wolności. Tymczasem ustawa wbrew RODO przesądza sposób realizacji zasady privacy by default.

Po trzecie art. 18 ust. 4 uśude narusza art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 i 4 RODO poprzez wyraźne przesądzenie podstawy przetwarzania danych w określonych celach.

Co istotne unijne rozporządzenie zawiera podstawy kompetencyjnej - inaczej niż np. w prawie pracy lub sektorze publicznym - wprowadzenia lub utrzymywania wskazanych powyżej modyfikacji na poziomie prawa krajowego. Nawet jeżeli ich przyjęcie może się wydawać korzystne dla użytkowników, jest ono sprzeczne z prawem europejskim. Dlatego rządowy projekt (druk 3050) zmierzał do uchylenia przepisów art. 18 ust. 1-4.  Należy przyjąć więc, że znowelizowany art. 18 ust. 1-3 uśude jako sprzeczny z rozporządzeniem UE nie powinien być stosowany. Choć kwestię tę przesądzi dopiero praktyka Urzędu Ochrony Danych Osobowych i orzecznictwo. Do tego czasu usługodawcy będą skazani na niepewność.

Profilowanie bardziej rygorystyczne niż w RODO

Dla praktyki usług świadczonych drogą elektroniczną najbardziej istotne będzie jednak pozostawienie art. 18 ust. 4 uśude. W szczególności w związku ze stosowaniem mechanizmu profilowania. Artykuł ten w nowym brzmieniu wymaga bowiem pozyskania zgody na przetwarzanie danych użytkowników w zakresie danych wykraczającym poza to co niezbędne do świadczenia usługi drogą elektroniczną (np. usługi konta w portalu) i jednocześnie, które mają być wykorzystane w innym celu niż świadczenie tej usługi. Przykładem takiej sytuacji będzie profilowanie użytkowników. Polega ono na „tworzeniu” czy „uzupełnianiu” danych użytkowników „nowymi” informacjami (np. wnioskowanie o zainteresowaniach) zwykle w zakresie szerszym niż niezbędny do świadczenia samej usługi i do innych celów niż jej świadczenie (np. do celów statystycznych, marketingowych, czy poprawy usługi lub bezpieczeństwa). Zgodnie z nowym art. 18 ust. 4 uśude w takim przypadku potrzebna będzie zgoda bo chodzi o dane przetwarzane w zakresie szerszym niż niezbędny do świadczenia usługi i w celu innym niż świadczenie tej usługi.
Tymczasem RODO w art. 21 dotyczącym prawa do sprzeciwu pośrednio przyznaje, że takie profilowanie może opierać się na przesłankach innych niż zgoda, w szczególności przesłankach tzw. uzasadnionego interesu. Natomiast Art. 22 RODO precyzuje, że zgoda jest konieczna, jeśli profilowanie prowadzi do automatycznego podjęcia decyzji. Na gruncie rodo więc, jeżeli profilowanie nie prowadzi do automatycznego podjęcia decyzji (np. kredytowej), to istnieje możliwość oparcia go na innej – niż zgoda – podstawie przetwarzania danych tj. uzasadnionym interesie administratora danych.  Oczywiście wymaga to każdorazowej analizy przesłanek z art. 6 ust. 1 lit. f) RODO. Nie mniej potencjalnie istnieje taka możliwość. W tym zakresie RODO jest bardziej elastyczne niż wskazany art. 18 ust. 4 uśude, a mówiąc inaczej polskie prawo bardziej rygorystyczne. Stosując art. 18 ust. 4 usude przedsiębiorca e-commerce musi sprawdzić jakie kategorie danych przetwarza w celu innym niż świadczenie usługi i jakie to są cele. Ponadto przepis ten będzie rodzić dodatkowo wątpliwości interpretacyjne.  

Dodatkowe wątpliwości

W praktyce pojawią się pytania, czy zgoda dotyczy wyłącznie sytuacji, gdy w celach wskazanych w art. 18 ust. 4 uśude wykorzystywane mają być wyłącznie danych w zakresie szerszym niż niezbędny do realizacji usługi (a contrario gdy do tych celów wykorzystywane są tylko dane pozyskane do świadczenia usługi zgoda nie będzie potrzebna)? Wydaje się, że w tym przypadku należy odpowiedzieć pozytywnie. Co jeszcze zrodzi pytanie o relacje tego mechanizmu do art. 6 ust. 1lit. f) rodo tj. uzasadnionego interesu administratora danych. Ponadto powstaje wątpliwość, czy wskazany przepis zawiera wyczerpującą listę dopuszczalnych innych celów, niż realizacja usługi? Przyjęcie takiej wykładni literalnie nie jest wykluczone ale bardzo wątpliwe praktycznie.

Na koniec warto zauważyć, że Senat miał szansę pochylić się nad tymi kontrowersyjnymi przepisami. Nie uczynił tego jednak. Przyjął ustawę w wersji uchwalonej przez Sejm. Teraz trafi ona do podpisu prezydenta, a zacznie obowiązywać już po 14 dniach od publikacji w Dzienniku Ustaw. Dla branży cyfrowej oznacza to niełatwe wyzwanie.

Mirosław Gumularz jest radcą prawnym w kancelarii GKK Gumularz Kozik, doktorem nauk prawnych, audytorem wewnętrzny systemu zarządzania bezpieczeństwem informacji według normy ISO 27001:2013. Jako doradca społeczny ds. ochrony danych osobowych w Ministerstwie Cyfryzacji brał udział w pracach nad wdrożeniem RODO do polskiego porządku prawnego.