Europejska Rada Ochrony Danych Osobowych wydała właśnie wytyczne w sprawie umów online jako podstawy przetwarzania danych (Pobierz Wytyczne EROD 2/2019). Prawnicy nie mają wątpliwości, że znacząco wpłyną na biznes internetowy, zwłaszcza sklepy, platformy sprzedażowe i dostawców usług cyfrowych. 

Kogo i co obejmują wytyczne

EROD precyzuje, że są to wytyczne dla podmiotów świadczące szeroko pojęte usługi online – tzw. usługi społeczeństwa informacyjnego i zawierające w związku z tym umowy z konsumentami. - Co istotne, EROD podkreśla, że nie chodzi tylko o świadczenia, których koszty pokrywane są bezpośrednio przez nabywców, lecz również, m.in. reklamy internetowe, w tym reklamy, przy których wykorzystuje się profilowanie użytkowników – tłumaczy Joanna Ożóg, radca prawny, specjalista ds. ochrony danych osobowych w ODO 24. Dr Mirosław Gumularz, radca prawny, partner w kancelarii GKK Gumularz Kozik mówi wprost: przedsiębiorcy internetowi muszą przeanalizować swoje umowy i regulaminy świadczenia usług pod kątem zgodności z wytycznymi. EROD bowiem dzieli operacje na danych na te, bez których w ogóle nie da się świadczyć usługi oraz pozostałe – ostrzega mec. Gumularz. Dlaczego?

 

Przetwarzać można tylko dane niezbędne do wykonania umowy

Zgodnie z art. 6 pkt. 1 ust. B RODO umowa może być podstawą przetwarzania danych, gdy jest to niezbędne do jej wykonania. EROD zaś precyzuje wyraźnie, że umowa może być podstawą przetwarzania, ale tylko danych, które są niezbędne do jej wykonania. - Gdy nie jest to niezbędne, a jedynie przydatne, trzeba znaleźć inną podstawę – tłumaczy mec. Gumularz.  Może to być uzasadniony interes administratora – tu trzeba się liczyć ze sprzeciwem na przetwarzanie, albo zgoda, którą klient ma prawo zawsze wycofać. Gdy administratorzy nie mogą wykazać, że istnieje umowa, jest zgodna z przepisami prawa prywatnego, a przetwarzanie jest obiektywnie konieczne do wykonania umowy, administrator powinien rozważyć inną podstawę prawną do przetwarzania. Co więcej, gdy umowa określa kilka usług (kilka komponentów), to nie można uznać, że pozwala łącznie przetwarzać dane niezbędne do ich realizacji. Każda usługa musi być potraktowana oddzielnie.

- Obecnie często przyjmuje się, że to co jest wpisane do umowy, której częśćią jest regulamin świadczenia usługi, to dane, które można przetwarzać bez ryzyka sprzeciwu czy wycofania zgody – mówi mec. Mirosław Gumularz. – EROD mówi takiemu podejściu "nie". Podkreśla, że liczy się to, co obiektywny obserwator uzna za niezbędne do wykonania usługi. Projektując umowę, trzeba się więc zastanowić, które dane są konieczne, a które tylko przydatne. Pod tym kątem trzeba też przeanalizować obecne umowy i regulaminy. W tym sensie istnieje ścisły związek pomiędzy prawem ochrony danych i prawem prywatnym – podkreśla mec. Gumularz. 

Przykładowo, gdy klient dokonuje zakup w sklepie internetowym, płaci kartą, a dostawa ma być na wskazany adres, to sprzedawca do wykonania umowy potrzebuje tylko danych karty kredytowej, adresu rozliczeniowego  oraz adresu dostawy. – Realizacja umowy nie wymaga więc podania numeru telefonu. Jeśli ma on być przydatny, to trzeba uzyskać na niego oddzielnie zgodę – wyjaśnia dr Mirosław Gumularz. Jeśli jednak klient chce fakturę, to musi podać wszystkie dane, których wymaga polskie prawo. Ponadto, jeśli ma być realizowana gwarancja, to – co jest logiczne – dane mogą być przechowywane po sfinalizowaniu transakcji i dostarczeniu towaru, aż przez okres, który obejmuje gwarancja. Należy też bowiem uwzględnić przepisy prawa publicznego, które mogą być także podstawą przetwarzania w celu realizacji obowiązków np. podatkowych. 

 


Ulepszanie serwisu i reklama nie jest w interesie użytkownika

Co więcej - według EROD umowa nie jest właściwą podstawą prawną przetwarzania w celu ulepszenia usługi lub opracowania nowych funkcji w ramach istniejącej usługi. Według EROD użytkownicy zawierają umowę, bo chcą korzystać z istniejącej umowy. Przetwarzanie danych w celu polepszenia usługi nie można więc uznać za obiektywnie konieczne do wykonania umowy. - W każdym przypadku należy oczywiście dokonać analizy stanu faktycznego oraz treści umowy. Jednak, co do zasady, ulepszanie usługi leży w interesie usługodawcy, któremu ma przynieść to korzyści w przyszłości. Trudno uznać, że jest to niezbędne do wykonania określonego już w umowie świadczenia – wyjaśnia Joanna Ożóg.
Umowa nie jest też podstawą do przetwarzania danych w celu wyświetlania reklamy behawioralnejonline czy profilowania.  Fakt, że wyświetlana tak reklama pośrednio finansuje świadczenie usługi nie przesądza, że dorozumiana umowa jest podstawą zbierania danych. Na przykład, gdy serwis rezerwacyjny monitoruje nasze rezerwacje, w celu podpowiadania nam konkretnych hoteli. - Według EROD nie jest to obiektywnie konieczne do wykonania pierwotnej umowy, a zatem art. 6 ust. 1 lit. b nie znajdzie tu zastosowania – precyzuje Joanna Ożóg. 

Umowa musi być ważna, czyli zgodna z prawem 

EROD wskazuje też, że by umowy oraz wszystkie jej warunki mogły być podstawą przetwarzania, musi być zgodna z krajowymi przepisami dotyczącymi ważności umów, w szczególności dotyczącymi zdolności do podejmowania czynności prawnych przez dzieci. Nie może też naruszać przepisów chroniących konsumentów, w tym znanej dzięki frankowiczom, Dyrektywie 93/13 w sprawie nieuczciwych warunków umownych. EROD podkreśla, że umowy o usługi online zwykle nie są negocjowane indywidualnie, a wówczas, jeśli powoduje znaczną nierównowagę w prawach i obowiązkach, szkodząc konsumentowi, mogą być uznane za nieważne. Co to oznacza w praktyce? – Jeśli umowa jest nieważna, bo np. zawiera niedozwolone klauzule, to nie może być podstawą przetwarzania danych – tłumaczy dr Mirosław Gumularz.
I podkreśla, że tym samym RODO wpływa jednak na prawo prywatne. W konsekwencji nie tylko UOKiK może mieć do wątpliwości dotyczące danej umowy, ale też Urząd Ochrony Danych Osobowych ze względu na brak podstawy przetwarzania danych. - Kwestią otwartą będzie na ile UODO może w czasie kontroli weryfikować kwestię z zakresu prawa prywatnego tj. ważności umowy - dodaje mec. Gumularz.