03 cze RODO, dyrektywa czy e-privacy – które przepisy o ochronie danych stosować?

25 maja 2019 minął rok odkąd przedsiębiorcy zobowiązani są do stosowania przepisów RODO. Jak pierwotnie zakładano, RODO miało jednak stanowić jedynie część regulacji dotyczących ochrony danych osobowych. „Pakiet” przepisów w tym zakresie miał zostać uzupełniony i uszczegółowiony przez rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, zwane „e-privacy”.

Nie tylko RODO

Prac nad rozporządzeniem e-privacy nie udało się zakończyć przed rozpoczęciem stosowania RODO. Należy jednak pamiętać, że w dalszym ciągu obowiązuje dyrektywa 2002/58/WE, dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (regulująca kwestie zbliżone do projektowanego e-privacy), której przepisy znalazły odzwierciedlenie m.in. w polskiej ustawie o świadczeniu usług drogą elektroniczną czy prawie telekomunikacyjnym. W marcu Europejska Rada Ochrony Danych przyjęła opinię w sprawie wzajemnych relacji pomiędzy ww. dyrektywą a RODO.

Które przepisy mają pierwszeństwo?

Jak wskazano w opinii, szereg przepisów dyrektywy stanowi uszczegółowienie tych zawartych w RODO, dotyczących przetwarzania danych osobowych w sektorze komunikacji elektronicznej. Jeśli określone zagadnienie uregulowane jest jednocześnie przepisami RODO i uszczegóławiającymi je przepisami dyrektywy, pierwszeństwo stosowania powinien mieć drugi z aktów.

Przykładowo, jeśli dyrektywa wymaga uzyskania zgody użytkownika na wykonywanie określonych operacji przetwarzania danych, ich administrator nie może prowadzić tych operacji powołując się na inne przewidziane przez RODO podstawy przetwarzania (np. umowę albo swój uzasadniony interes).

Taka sytuacja może wystąpić m.in. w przypadku korzystania z plików cookies, co zgodnie z dyrektywą wymaga uzyskania wcześniejszej zgody użytkownika. Jeśli pliki cookies zbierają informacje stanowiące dane osobowe, przepisy dyrektywy będą mieć pierwszeństwo stosowania względem przepisów RODO. Oznacza to, że podstawą takiego zbierania danych może być jedynie zgoda użytkownika, a nie inne podstawy przetwarzania danych przewidziane przez RODO.

Oczywiście procesy przetwarzania danych nieobjęte szczególnymi postanowieniami dyrektywy powinny w dalszym ciągu podlegać wszelkim wymogom określonym w RODO.

Ważne jest więc, aby prawidłowo ocenić zakres regulacji stanowiącej przepis szczególny (tzw. lex specialis). Przykładowo, jeśli przedsiębiorca zbiera informacje, w tym dane osobowe z wykorzystaniem plików cookies – ma obowiązek uzyskania uprzedniej, wynikającej z dyrektywy, zgody użytkownika. Jeśli następnie dane te są przetwarzane dalej np. w celach marketingowych, przedsiębiorca powinien posiadać odpowiednią podstawę takiego przetwarzania wynikającą z RODO.

RODO, mimo że w ostatnim roku stało się jednym z kluczowych aktów wpływających na działalność przedsiębiorców, nie stanowi więc całości unijnych regulacji dotyczących ochrony danych osobowych. Warto pamiętać o istnieniu dyrektywy 2002/58/WE oraz projektowanym rozporządzeniu e-privacy, szczególnie w przypadku przedsiębiorców świadczących usługi online.