Płatność danymi osobowymi za usługi – nowe obowiązki dla przedsiębiorców po wdrożeniu dyrektywy Omnibus

Coraz mniej czasu pozostaje na przygotowanie firm do zmian wprowadzanych dyrektywą Omnibus. Już w maju 2022, wraz z wejściem w życie dyrektywy, uregulowane zostaną kwestie dotyczące „opłacania” usług danymi osobowymi. Czy to oznacza koniec otrzymywania raportów lub dostępu do szkoleń w zamian za pozostawienie swoich danych kontaktowych, które następnie będą mogły być wykorzystane do przekazywania treści marketingowych?

„Jeśli produkt jest darmowy, ty jesteś produktem”

Sprzedawcy prowadzący biznesy online często kuszą użytkowników usługami, które określają jako „darmowe”. Czy tak rzeczywiście jest? Co prawda kosztują one 0 zł, jednak przedsiębiorcy działający w e-commerce czerpią w zamian informacje o użytkownikach, które – odpowiednio wykorzystane – stanowią dla nich realną wartość pieniężną. Przykładem może być założenie bezpłatnego konta w popularnym systemie mailingowym. Za jego uruchomienie i korzystanie nie płacimy żadnej kwoty pieniężnej, jednak na naszą skrzynkę mailową po czasie zaczynają wpływać maile reklamowe dotyczące podmiotów, którym nigdy swoich danych nie udostępnialiśmy. Okazuje się, że nasze dane zostały wykorzystane w tym celu właśnie przez właściciela serwisu, z którego usług pocztowych korzystamy, ponieważ w zamian za „darmową” skrzynkę mailową wyraziliśmy zgodę na wykorzystanie naszych danych w opisanych celach marketingowych.

Dostrzegł to unijny ustawodawca, który zdecydował się na uregulowanie ochrony konsumentów także w tym zakresie. Dla zachowania spójności, zmiany były procesowane z uwzględnieniem innego ważnego aktu – tzw. dyrektywy cyfrowej[1].

Na czym polegają zmiany wprowadzane dyrektywą Omnibus?

Przede wszystkim omawiane regulacje dotyczą sytuacji, w których konsument nie płaci konkretnej kwoty za towar czy usługę, ale w zamian za nią przekazuje podmiotowi swoje dane osobowe, aby ten mógł je przetwarzać w innych celach niż tylko realizacja umowy. Zmiany odnosić się będą do umów o dostarczanie treści cyfrowej lub usługi cyfrowej, na podstawie których konsument zobowiązuje się do dostarczenia lub dostarcza dane osobowe.

Czym są wspomniane treści i usługi cyfrowe? Odpowiedzi należy szukać w przywołanej już wcześniej dyrektywie cyfrowej. Przez treści cyfrowe powinniśmy rozumieć dane wytwarzane i dostarczane w postaci cyfrowej (np. e-booki, pliki wideo). Do usług cyfrowych zaliczymy natomiast te, które pozwalają na wytwarzanie, przetwarzanie i przechowywanie danych lub dostęp do nich w postaci cyfrowej. To też usługi pozwalające na wspólne korzystanie z danych w postaci cyfrowej, które zostały przesłane lub wytworzone przez konsumenta lub innych użytkowników tej usługi (np. media społecznościowe, narzędzia do przechowywania plików w chmurze).

W praktyce zmiany oznaczają konieczność stosowania przepisów ustawy o prawach konsumenta w ramach umów o świadczenie treści lub usług cyfrowych. Tym samym konieczne będą zmiany regulaminów oraz stosownych procesów, obejmujących zasady dostarczania tego typu treści i usług cyfrowych w zamian za możliwość przetwarzania danych osobowych w celach innych, niż tylko realizacja umowy. Nie bez znaczenia pozostaje fakt, że dyrektywa Omnibus to zmiany również na innej płaszczyźnie, takie jak: nowe wymogi w zakresie reklamowania produktów / usług; dodatkowe obowiązki dotyczące informacji przekazywanych konsumentowi dokonującemu zakupów w sklepie internetowym, jak i innych treści zamieszczanych w ramach sklepu.

Odstąpienie od umowy

Do ustawy o prawach konsumenta dodano również przepis, zgodnie z którym w odniesieniu do danych osobowych, w ramach procesu odstąpienia od umowy, przedsiębiorca wykonuje obowiązki wynikające z RODO. Nie jest to jedyne odesłanie do RODO w ramach ustawy o prawach konsumenta – stąd również zaczerpnięta jest definicja danych osobowych. Także dyrektywa Omnibus, dla jasności rozgraniczenia różnych przepisów prawnych, w motywie 33. wyraźnie wskazuje, że przetwarzanie danych osobowych powinno być zgodne z RODO.

Są jednak wyjątki

Przewidziano sytuacje, w których nowe regulacje nie będą miały zastosowania. Są to umowy o dostarczanie treści cyfrowej lub usługi cyfrowej, jeżeli dane osobowe konsumenta będą przetwarzane wyłącznie w celu:

  • dostarczania treści cyfrowej lub usługi cyfrowej,
  • wykonania obowiązku ustawowego.

W praktyce tak określony zakres wyjątków będzie odnosił się do każdej typowej umowy,  Wyjątkiem będą sytuacje, gdy w związku z taką umową dane będą mogły być przetwarzane w celach marketingowych lub statystycznych, co będzie stanowiło formę ekwiwalentu za realizację tej usługi.

W toku procesu legislacyjnego przedmiotowe przepisy ulegały zmianie. Ostatecznie jednak wyjątki – jak i wdrożenie większości omawianych regulacji – wynikają z projektu ustawy nadzorowanego przez Ministra Sprawiedliwości. Zgodnie z opublikowanymi wyjaśnieniami ustalono, że cel regulacji dotyczących „opłacania” umów danymi osobowymi, zostanie osiągnięty w przepisach procedowanych przez Ministra Sprawiedliwości. [2]

Dyrektywa Omnibus a RODO

Przepisy prawa konsumenckiego oraz ochrony danych osobowych uzupełniają się wzajemnie, ponieważ nierzadko obejmują podobne obszary. Rozporządzenie o ochronie danych osobowych[3] reguluje przetwarzanie danych osobowych, z kolei dyrektywa Omnibus rozszerza przepisy konsumenckie na umowy, za które użytkownicy „płacą” swoimi danymi osobowymi. Wartość danych osobowych – określanie ich jako „waluty” – podkreśla się nie tylko przy omawianiu dyrektywy Omnibus czy RODO. Jest to ważna informacja także przy projektowaniu rozporządzenia o e-Prywatności czy rozporządzenia o usługach cyfrowych.

Niezbędne kroki

Złożoność obszarów, w których zastosowanie znajdują zasady ochrony danych osobowych oraz przepisy konsumenckie powoduje, że w odniesieniu do konkretnych aspektów organem właściwym do nadzoru będzie Prezes Urzędu Ochrony Konkurencji i Konsumentów. W innych Prezes Urzędu Ochrony Danych Osobowych. Oba organy dysponują surowymi uprawnieniami. Mogą między innymi nakładać kary pieniężne za naruszenia przepisów. Dla zachowania zgodności z przepisami, przedsiębiorcy powinni dokonać oceny, czy oferowane przez nich usługi zaliczają się do usług cyfrowych oraz w jakich konkretnie celach przetwarzają dane osobowe w ramach tych usług. Jeśli analiza wykaże, że nowe przepisy będą musiały być stosowane do usług przedsiębiorcy, niezbędne będą zmiany w dokumentacji.

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/770 z dnia 20 maja 2019 r. w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych i usług cyfrowych – „Dyrektywa Cyfrowa”.

[2] https://legislacja.rcl.gov.pl/docs//2/12348651/12800332/12800333/dokument542234.pdf

[3] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – „RODO”.

Autor: Mariusz Machowski

SENIOR ASSOCIATE RADCA PRAWNY mariusz.machowski@olesinski.com

Autor: Łukasz Pociecha

SENIOR ASSOCIATE ADWOKAT lukasz.pociecha@olesinski.com