Od kilku dni obowiązuje ustawa wdrażająca RODO, tj. ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO. Ze względu na niewielką ilość przepisów przejściowych, większość zasad ma zastosowanie od 4 maja br., również te odnoszące się do usług on-line. Jak się okazało, krajowe wymagania okazały się, wbrew oczekiwaniom, bardziej rygorystyczne niż unijne rozporządzenie.
Czytaj: W Polsce RODO już w pełni obowiązuje>>
Zmiany w uśude a zasada minimalizacji
Podczas prac projektowych nad nowym kształtem ustawy o świadczeniu usług drogą elektroniczną (uśude) zakładano usunięcie szeregu dotychczasowych przepisów, w tym art. 18 ust. 1-4. Ostatecznie tego nie uczyniono i artykuł 18 ust. 1-2 zawiera katalog danych niezbędnych do realizacji usługi. W rzeczywistości przetwarzanie niektórych z nich, takich jak np. numer PESEL, może naruszać zasadę minimalizacji, czyli przetwarzania przez administratora tylko adekwatnego, ograniczonego katalogu danych.
Traktowanie przepisu uśude jako zwalniającego z konieczności dokonywania odpowiedniej oceny w przypadku kontroli może być ryzykowne i należy być w tym przypadku ostrożnym. Dla przetwarzania innych danych dotyczących usługobiorcy, a które nie są niezbędne do świadczenia usług drogą elektroniczną wymagana jest zgoda. Według artykułu 18 ust. 4 stanowi ona podstawę przetwarzania danych dla celów reklamy, badania rynku oraz zachowań i preferencji użytkowników z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości świadczonych usług. Dlatego nie może być bez niej mowy np. o profilowaniu dla przyznania rabatu, czy oferowania zgodnej z preferencjami reklamy w oparciu o inne wcześniej dopuszczone przez RODO podstawy profilowania, np. uzasadniony interes administratora. Zgoda będzie konieczna wbrew brzmieniu art. 22 RODO nawet wówczas, gdy kategoryzowanie nie prowadzi do automatycznego podjęcia decyzji – dodaje.
Czytaj: RODO: nowe przepisy to pułapka dla wielu firm>>
Nowy wymiar zgody
W dotychczasowym orzecznictwie polskiego organu ds. ochrony danych osobowych zgoda była traktowana w takich przypadkach jako jedna z podstaw przetwarzania danych, ale nie jedyna. Pojawienie się wymogu uzyskiwania zgody poprzez kolejne wyskakujące okienka wydaje się być nadmierne (kosztowne i uciążliwe), kiedy możliwe jest zastosowanie innego rozwiązania, np. gdy jest ona potrzebna do zawarcia lub wykonania umowy, a także wykonania obowiązków prawnych ciążących na administratorze.
Wymóg zgody użytkownika – będącego osobą fizyczną – na przetwarzanie informacji pozostawiono również w art. 161 ust. 3 Prawa telekomunikacyjnego (PT). Ma ona zastosowanie do innych danych niż wymienione w tym przepisie w ust. 2. Ponadto, nie zawiera on katalogu danych, co oznacza, że zgoda jest konieczna do przetwarzania wszystkich informacji o użytkowniku.
Twarde wymagania odnośnie zgody w uśude i PT muszą być uwzględniane w procedurach wewnętrznych, rodząc poza dodatkowymi kosztami dla usługodawców, konieczność rozwiązywania praktycznych i formalnych problemów np. w przypadku cofnięcia zgody. Nadmierność oczekiwanych, ale i koniecznych do wyrażenia zgód, jest również odczuwana przez każdego użytkownika i w rzeczywistości może prowadzić do uśpienia jego czujności i wrażliwości na zagrożenia.
Warto dodać, że w świetle nowych przepisów warunki udzielenia zgody pozostają takie same, a każdy użytkownik w dowolnym momencie może cofnąć wcześniej udzieloną zgodę bez ponoszenia jakichkolwiek konsekwencji.
Autor: dr hab. Bogdan Fischer, partner, radca prawny w Kancelarii Prawnej Chałas i Wspólnicy
