Artykuł ukazał się w Magazynie ODO
Autor: Agnieszka Zwierzyńska
Obecnie w Sejmie toczą się prace nad projektem ustawy o zmianie ustawy o prawach konsumenta mającej na celu przyjęcie tzw. Dyrektywy Omnibus[1] z 27 listopada 2019 r.
Termin wdrożenia Dyrektywy Omnibus do polskiego porządku prawnego minął 28 listopada 2021 r., zaś od 28 maja 2022 r. Państwa członkowskie, w tym Polska miały już rozpocząć stosowanie nowych przepisów. Mimo tego, polskie przepisy implementujące Dyrektywę są nadal na etapie prac legislacyjnych. Dyrektywa Omnibus przewiduje szereg interesujących zmian mających na celu ochronę konsumentów. W tym artykule skupiamy się na jednej z nich, dotyczącej tzw. płatności danymi osobowymi.
To w Dyrektywie Omnibus zauważono po raz pierwszy potrzebę uwzględnienia modeli biznesowych przewidujących „płatności danymi” w regulacjach konsumenckich. W rezultacie, Dyrektywa Omnibus – dotycząca ochrony praw konsumenta – będzie mieć zastosowanie do umów, na podstawie których konsument – w zamian za dostarczone treści lub usługi cyfrowe – dostarcza lub zobowiązuje się dostarczyć przedsiębiorcy dane osobowe.
Co nakazuje w takim przypadku Ustawa o prawach konsumenta?
W Polsce przepisy wdrażające Dyrektywę Omnibus są nadal w fazie projektowania, dlatego obecnie trudno jest jednoznacznie przesądzić, jakie dokładnie obowiązki będzie miał przedsiębiorca przyjmujący zapłatę danymi osobowymi. Z dużą dozą prawdopodobieństwa można już jednak stwierdzić, że do takich transakcji znajdzie zastosowanie ustawa o prawach konsumenta[2] („Ustawa o prawach konsumenta”). Jak wynika bowiem z opublikowanego niedawno na stronach Sejmu uzasadnienia projektu ustawy o zmianie ustawy o prawach konsumenta oraz niektórych innych ustaw[3] („Projekt”), Ustawa o prawach konsumenta (w tym obowiązki informacyjne) ma zastosowanie do wszystkich umów z udziałem konsumentów, zatem także do umów o dostarczanie treści cyfrowych lub usług cyfrowych, nawet w przypadkach, gdy jedynym świadczeniem konsumenta jest dostarczenie danych osobowych (a więc gdy konsument „płaci danymi”).
W rezultacie, przedsiębiorcy przyjmujący płatność danymi w zamian za dostarczane treści/usług cyfrowych będą musieli m.in. spełnić wobec konsumenta obowiązek informacyjny wynikający z Ustawy o prawach konsumenta. Oznacza to w szczególności konieczność przekazania szerokiego katalogu informacji, obejmujących m.in. informację o głównych cechach świadczenia, wynagrodzeniu za świadczenie czy sposobie i terminie wykonania prawa odstąpienia od umowy. Projekt reguluje też odpowiedzialność przedsiębiorcy za niezgodność dostarczonych treści lub usług cyfrowych z umową. Dla wielu przedsiębiorców istotną nowością będzie też przyznanie konsumentowi płacącemu danymi za treści lub usługi prawa odstąpienia od umowy o dostarczenie treści lub usług cyfrowych. Dodatkowo, Projekt zakłada wprowadzenie zakazu korzystania przez przedsiębiorcę z treści (innych niż dane osobowe) dostarczonych lub wytworzonych przez konsumenta w trakcie korzystania z treści cyfrowych lub usługi cyfrowej w przypadku odstąpienia od umowy.
Kiedy stosować nowe obowiązki dla przedsiębiorców?
Aby stwierdzić, czy nowe regulacje znajdą zastosowanie, trzeba będzie ustalić w pierwszej kolejności, czy przedsiębiorca dostarcza treść lub usługę cyfrową.
Treści cyfrowe to, zgodnie z definicją zawartą w Ustawie o prawach konsumenta, dane wytwarzane i dostarczane w postaci cyfrowej. Treści cyfrowe to m.in. programy komputerowe, aplikacje, gry, muzyka, nagrania wizualne lub teksty, bez względu na to, czy przedsiębiorca umożliwi do nich dostęp poprzez pobieranie, w formie streamingu czy na nośniku materialnym czy przy użyciu jakichkolwiek innych środków. Natomiast usługami cyfrowymi będą np. usługi typu „oprogramowanie jako usługa” (software as a service), udostępnianie treści wideo i audio, usługi przechowywania danych w chmurze, edycja tekstu lub gry oferowane w chmurze obliczeniowej i w mediach społecznościowych.
Po drugie, w celu ustalenia czy przepisy o ochronie konsumentów znajdą zastosowanie, e-sklep powinien określić czy rzeczywiście dochodzi do zapłaty danymi za dostarczone treści lub usługę. Dzieje się tak w przypadku, gdy dane osobowe są przetwarzane przez przedsiębiorcę w celu innym niż w celu wykonania umowy lub obowiązku ustawowego. Może tak być np. gdy konsument zakłada „darmowe” konto w mediach społecznościowych oraz podaje imię i nazwisko oraz adres e-mail, jednocześnie wyrażając zgodę na przetwarzanie tych danych w celach marketingowych. Z „płatnością danymi” będziemy też mieć do czynienia w przypadku, gdy konsument udziela zgody na przetwarzanie przez przedsiębiorcę do celów marketingowych przesyłanych przez siebie materiałów stanowiących dane osobowe, takich jak zdjęcia lub wpisy.
Projekt przewiduje też wyłączenia od ogólnej zasady – Ustawy o prawach konsumenta nie będzie się stosować do umów o dostarczenie treści cyfrowych lub usług, gdzie konsument „płaci danymi” , jeżeli dane osobowe będą przetwarzane przez przedsiębiorcę wyłącznie w celu wykonania umowy lub obowiązku ustawowego. Mogą to być sytuacje, w których e-sklep zbiera dane (np. adres e-mail) tylko po to, żeby wysłać konsumentowi na wskazany adres e-mail hasło dostępu do udostępnianych treści cyfrowych.
Ponadto, wybrane przepisy Ustawy o prawach konsumenta nie znajdą zastosowania:
- do umów, na mocy których konsument nie jest zobowiązany do świadczeń innych niż dostarczanie danych osobowych, a dane te są przetwarzane przez przedsiębiorcę wyłącznie w celu poprawy bezpieczeństwa, kompatybilności lub interoperacyjności oprogramowania oferowanego na podstawie otwartej i wolnej licencji;
- jeżeli umowa przewiduje dostarczenie treści cyfrowej za pośrednictwem materialnego nośnika.
Jak wynika z powyższego, przedsiębiorca niewątpliwie będzie musiał stosować Ustawę o prawach konsumenta, gdy zamierza wykorzystywać zbierane dane w celach marketingowych. Przykładem takiego działania może być np. odsprzedaż bazy danych podmiotowi trzeciemu, w celach nie związanych z realizacją usługi lub wykonania umowy.
Można więc stwierdzić, że w sytuacji, gdy podstawą prawną przetwarzania danych zbieranych jest wykonanie umowy (np. przetwarzanie adresu e-mail w celu wysłania programu komputerowego na ten adres) lub w celu wykonania obowiązku ustawowego (np. w celu przechowywania dokumentacji przez wymagany prawem okres), wówczas nie ma obowiązku stosowania Ustawy o prawach konsumenta. Natomiast obowiązek stosowania ustawy pojawia się, gdy przedsiębiorca zamierza przetwarzać te dane w innych celach, np. w celu marketingu własnego lub osób trzecich. Wówczas ustawodawca przyjmuje, że rzeczywiście doszło do zapłaty danymi osobowymi za otrzymaną usługę. I w takim wypadku Ustawa o prawach konsumenta powinna być więc stosowana.
Co na to RODO?
Ciekawym zagadnieniem jest ocena legalności mechanizmu „płatności danymi” z punktu widzenia RODO[4]. Jak już wspomniano powyżej, o „płatności danymi” można mówić w sytuacji, gdy dane przekazane przez użytkownika są wykorzystywane w celach marketingowych. Takie działanie (przetwarzanie danych w celach marketingowych) wymaga co do zasady zgody użytkownika lub ewentualnie oparcia się na innej postawie, np. uzasadnionym interesie administratora. Jeśli e-sklep decyduje się na pobieranie zgody na przetwarzanie danych, stanowiących „wynagrodzenie” za dostarczone treści, powinien mieć na względzie, że na gruncie RODO zgoda powinna być „dobrowolna”. W przeszłości, Prezes Urzędu Ochrony Danych Osobowych lub unijne organy ochrony danych wypowiadały się negatywnie na temat mechanizmu „płatności danymi” twierdząc, że takie działanie może naruszać przepisy dotyczące dobrowolności zgody na przetwarzanie danych osobowych.
Przykładem może być stanowisko Generalnego Inspektora Ochrony Danych (GIODO), dostępne jeszcze na archiwalnych stronach GIODO, który na pytanie: „Czy prawidłową praktyką jest zamieszczanie w treści umowy zawieranej z klientem klauzuli zgody na przetwarzanie danych osobowych tak, by osoba zgadzająca się na zaproponowane warunki umowy, zgadzała się jednocześnie na przetwarzanie danych w celu wykonania tej umowy lub w innych celach wskazanych przez administratora?” odpowiedział przecząco, wskazując, że nie można uzależniać wykonania umowy od wyrażenia zgody na przetwarzanie danych osobowych w określonym celu[5]. Co prawda stanowisko to zostało wyrażone na gruncie już nieobowiązującej ustawy o ochronie danych osobowych z 1997 r. jednak w uzasadnieniu GIODO powołał się na fakt, że zgoda na przetwarzanie danych nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; a także może być w każdym czasie odwołana – co również wynika z aktualnych przepisów RODO.
W kwestii tej wypowiadała się też Grupa Robocza art. 29 w Wytycznych dotyczących zgody na mocy rozporządzenia 2016/679[6], wskazując, że „jeżeli osobie, której dane dotyczą, nie przysługuje rzeczywista możliwość wyboru, czuje się ona zmuszona do wyrażenia zgody lub poniesie negatywne konsekwencje w przypadku jej niewyrażenia, zgoda będzie nieważna. (…) W związku z tym wyrażenie zgody nie zostanie uznane za dobrowolne, jeżeli osoba, której dane dotyczą, nie może odmówić ani wycofać zgody bez niekorzystnych konsekwencji.” W tym kontekście, można mieć wątpliwości co do dobrowolności zgody na przetwarzanie danych w celach marketingowych, wyrażanej niejako w ramach „wynagrodzenia” za dostęp do treści cyfrowej lub usługi cyfrowej. Gdy e-sklep nie zapewnia alternatywnej możliwości zapłaty za daną treść lub usługę w formie pieniężnej, wówczas konsument de facto jest pozbawiony możliwości wyboru.
W mojej ocenie, Dyrektywa Omnibus ani projektowane zmiany w Ustawie o prawach konsumenta nie przesądzają automatycznie o legalności transakcji polegających za „zapłacie danymi” z punktu widzenia RODO. Istotne tu będzie każdorazowo wskazanie odpowiedniej podstawy prawnej przetwarzania danych. Wymaga to odpowiedniego sformułowania Polityki prywatności sklepu, który zamierza przyjmować płatność danymi.
Podsumowanie
Ponieważ obecnie procedowane są równolegle dwa odrębne projekty ustaw wdrażających Dyrektywę Omnibus, nie można wykluczać, że kształt projektowych przepisów ulegnie jeszcze zmianie. Niemniej jednak warto śledzić prace nad projektami, gdyż ich wejście w życie może spowodować konieczność aktualizacji lub dostosowania regulaminów lub warunków sprzedaży e-sklepów, a także wymusić zmiany w klauzulach informacyjnych RODO (Polityki prywatności) sklepów internetowych.
[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/2161 z dnia 27 listopada 2019 r. zmieniająca dyrektywę Rady 93/13/EWG i dyrektywy Parlamentu Europejskiego i Rady 98/6/WE, 2005/29/WE oraz 2011/83/UE w odniesieniu do lepszego egzekwowania i unowocześnienia unijnych przepisów dotyczących ochrony konsumenta.
[2] Ustawa z dnia 30 maja 2014 r. o prawach konsumenta (t.j. Dz. U. z 2020 r. poz. 287 z późn. zm.).
[3] Druk nr 2425 – Rządowy projekt ustawy o zmianie ustawy o prawach konsumenta oraz niektórych innych ustaw (https://www.sejm.gov.pl/sejm9.nsf/druk.xsp?nr=2425).
[4] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[5] https://archiwum.giodo.gov.pl/pl/325/1507.
[6] Grupa Robocza Art. 29: Wytyczne dotyczące zgody na mocy rozporządzenia 2016/679.
https://www.uodo.gov.pl/pl/file/2608.
- Szukasz szkoleń prawniczych? Sprawdź nasz kalendarz wydarzeń >>>
- Abonament szkoleniowy. Sprawdź ile zaoszczędzisz >>>
