Zmiany w ustawie o świadczeniu usług drogą elektroniczną

Jak wynika z dotychczasowego brzmienia art. 4 ustawy o świadczeniu usług drogą elektroniczną, jeżeli ustawa wymagała uzyskania zgody usługobiorcy, zgoda ta nie mogła być domniemana lub dorozumiana z oświadczenia woli o innej treści i mogła być odwołana w każdym czasie. Osoba świadcząca usługi drogą elektroniczną musiała dbać również o to, aby wykazać uzyskanie zgody dla celów dowodowych.

Według ustawy dostosowującej przepis art. 4 ustawy o świadczeniu usług drogą elektroniczną ma brzmieć następująco:

 „Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych”.

Przepisy dotyczące zgody znajdują się w przepisach RODO, w tym w art. 4 ust. 11 oraz art. 7 i 8.

 Zgoda musi więc spełniać następujące wymagania: powinna być dobrowolna, konkretna, świadoma i jednoznaczna. Zgodnie z przepisami RODO zgoda może być złożona w formie oświadczenia, ale także może być wyraźnym działaniem potwierdzającym. Nie będzie więc istniał obowiązujący do tej pory zakaz domniemywania lub dorozumienia zgody na przetwarzanie danych osobowych z oświadczenia woli o innej treści. Jako przykład wyraźnego działania potwierdzającego Grupa Robocza art. 29 wskazała włożenie wizytówki do szklanego naczynia czy wysłanie przez osobę fizyczną swojego nazwiska i adresu w celu uzyskania informacji.

Konieczne jest również zachowanie warunków wyrażenia zgody wskazanych w art. 7 RODO. Oznacza to, że administrator powinien być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. To na administratorze ciąży więc ciężar dowodu, iż uzyskał zgodę na przetwarzanie danych osobowych od danej osoby. Ponadto, gdy zgoda udzielana jest w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione tak, aby można było wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie oraz jasnym i prostym językiem. Zgoda wyrażona z pominięciem tych warunków będzie nieważna.

Poza tym osoba, która udziela zgody, musi mieć możliwość jej wycofania w dowolnym momencie – możliwość swobodnego wycofania zgody pozostała więc bez zmian. Wycofanie zgody nie będzie przy tym wpływało na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. O możliwości wycofania zgody w każdej chwili oraz o braku wpływu tego wycofania na wcześniejsze przetwarzanie danych należy poinformować taką osobę, zanim wyrazi ona zgodę. Wycofanie zgody musi być równie łatwe, jak jej wyrażenie.

Zgodnie z art. 8 RODO w przypadku dzieci, które nie ukończyły 16 lat, zgodę na przetwarzanie danych powinna wyrazić lub zaaprobować osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem. Administrator jest obowiązany, uwzględniając dostępną technologię, podjąć rozsądne starania, aby zweryfikować, czy osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem wyraziła zgodę lub ją zaaprobowała. Przedmiotowa regulacja będzie miała zastosowanie do usług społeczeństwa informacyjnego, a więc usług świadczonych za wynagrodzeniem, na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług. Jeżeli dziecko ukończyło 16 lat, wówczas jego dane osobowe można przetwarzać na podstawie jego zgody, bez konieczności uzyskiwania odrębnej zgody lub aprobaty rodzica bądź opiekuna.

Ustawa uchyla większość przepisów ustawy o świadczeniu usług drogą elektroniczną znajdujących się w rozdziale 4 zatytułowanym „Zasady ochrony danych osobowych w związku ze świadczeniem usług drogą elektroniczną”, a mianowicie: art. 16, art. 17, art. 19 ust. 1, 2, 4 i 5 oraz art. 20–22. RODO nie daje bowiem podstaw do takiego ujęcia zasad ochrony danych osobowych, jak ma to miejsce obecnie w rozdziale 4.

 Jak wyraźnie podkreślono w uzasadnieniu do ustawy, uchylenie większości przepisów rozdziału 4 nie może oznaczać automatycznie zakazu przetwarzania danych w związku ze świadczeniem usług drogą elektroniczną w sposób określony w tych przepisach bądź dopuszczenie przetwarzania tych danych osobowych w sposób dowolny. Należy zbadać legalność przetwarzania w kontekście przepisów RODO (w szczególności biorąc pod uwagę art. 5 RODO).

W związku z rozpoczęciem stosowania RODO oczywiste jest, że do przetwarzania danych w związku ze świadczeniem usług drogą elektroniczną nie będzie stosowało się już ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, stąd potrzeba uchylenia dotychczasowego art. 16 ustawy o świadczeniu usług drogą elektroniczną.
Ustawodawca zamierza również uchylić art. 17, który wskazywał, iż dane osobowe usługobiorcy mogą być przetwarzane przez usługodawcę w celu i zakresie określonym w ustawie o świadczeniu usług drogą elektroniczną. Ustawodawca uchylił również art. 19,  w znacznej części (z wyjątkiem ust. 3), dotyczący zakazu przetwarzania danych oraz art. 20–22, które regulowały odpowiednio: zapewnienie usługobiorcy dostępu do wskazanego szczegółowo w ustawie zakresu informacji, bezprawne działania usługobiorcy oraz odmowę świadczenia usługi drogą elektroniczną z powodu nieudostępnienia przez usługobiorcę danych.

Nie ulega zmianie natomiast zakres danych, jakie usługo­dawca może przetwarzać, a które są niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego. Do tych danych zalicza się:

  • nazwisko i imiona usługobiorcy,
  • numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość,
  • adres zameldowania na pobyt stały,
  • adres do korespondencji, jeżeli jest inny niż adres zameldowania na pobyt stały,
  • dane służące do weryfikacji podpisu elektronicznego usługobiorcy,
  • adresy elektroniczne usługobiorcy.

Nadal usługodawca będzie mógł, w celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą, przetwarzać inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia, będąc jednocześnie zobowiązanym do wyróżnienia i oznaczenia tych danych jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną (zmiana art. 18 ust. 3 ustawy o świadczeniu usług drogą elektroniczną).

Możliwe będzie także przetwarzanie przez usługodawcę, za zgodą usługobiorcy, innych danych dotyczących usługo­biorcy, które to dane nie są niezbędne do świadczenia usługi drogą elektroniczną dla następujących celów:

  • reklamy,
  • badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługo­dawcę.

Zmianie nie będzie podlegała natomiast możliwość przetwarzania danych eksploatacyjnych oraz kwestia konieczności nieodpłatnego udostępniania danych organom państwa, uprawnionym na podstawie odrębnych przepisów, na potrzeby prowadzonych przez nie postępowań.

 

Konieczna będzie więc weryfikacja posiadanych regulaminów świadczenia usług drogą elektroniczną.