Podmiot będący operatorem serwisu jest administratorem danych osobowych użytkowników dokonujących rejestracji w serwisie, ponieważ decyduje o celach i środkach przetwarzania w rozumieniu art. 7 pkt 4 uodo (ustala cele i sposoby przetwarzania w rozumieniu art. 4 pkt 7 RODO). Każdy administrator danych zobowiązany jest posiadać podstawę prawną do przetwarzania danych osobowych, przy czym sama definicja przetwarzania – zarówno w dotychczasowym stanie prawnym, jak i od 25 maja 2018 roku jest bardzo szeroka i obejmuje choćby samo ich zbieranie lub przechowywanie. Jednocześnie, operator serwisu jest usługodawcą w rozumieniu art. 2 pkt 6 uśude, zaś użytkownik serwisu jest usługobiorcą w rozumieniu art. 2 pkt 7 uśude, z czego wynika, że zastosowanie znajdują przepisy rozdziału 4 uśude, które stanowią lex specialis w stosunku do przepisów uodo zawierających katalog ustanawiający podstawy prawne, na którym przetwarzane mogą być dane osobowe, jak podkreślono w wyroku WSA w Warszawie z 15 listopada 2011 roku (II SA/Wa 1511/12).
W dotychczasowym stanie prawnym katalog zawierający możliwe do zastosowania podstawy prawne przetwarzania danych osobowych zwykłych został ściśle określony w art. 23 ust. 1 pkt 1-5 uodo i w kontekście rozpatrywanych zagadnień nie zawiera istotnych różnic w stosunku do katalogu podstaw prawnych zawartego w art. 6 ust. 1 lit. a-f RODO.
Zgodnie z art. 57 projektowanego pakietu legislacyjnego uchylone zostaną dotychczasowe przepisy szczególne w stosunku do uodo (także odrębne wymagania dotyczące zgód na przetwarzanie danych osobowych). Pojęcie zgody w rozumieniu uśude będzie ujednolicone z pojęciem zgody w rozumieniu RODO, uchylony zostanie też między innymi obecny przepis art. 18 ust. 4 uśude nakładający wymóg uzyskania odrębnej zgody na działania reklamowa usługodawcy, co będzie skutkowało zastosowanie ogólnych reguł dotyczących przetwarzania danych osobowych przewidzianych w RODO. Szczegółowe porównanie obecnej treści uśude do zmian wprowadzonych w pakiecie legislacyjnych zawarte jest w lit. d niniejszego rozdziału
W kontekście rozpatrywanych zagadnień znaczenie posiadają następujące podstawy prawne przetwarzania danych osobowych:
Przetwarzanie danych osobowych na podstawie udzielonej zgody przez osobę, której dane dotyczą – wskazana w art. 23 ust. 1 pkt 1 uodo oraz art. 6 ust. 1 lit. a RODO w zw. z treścią art. 18 ust. 4 uśude.
Przetwarzanie danych osobowych w zakresie niezbędnym do realizacji umowy z osobą, której dane dotyczą – wskazana w art. 23 ust. 1 pkt 3 uodo w zw. z art. 18 ust. 1-5 uśude oraz art. 6 ust. 1 lit. b RODO.
Przetwarzanie danych osobowych w prawnie usprawiedliwionym celu administratora danych osobowych – prowadzenia marketingu bezpośredniego własnych produktów lub usług – wskazana w art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 1 uodo oraz 6 ust. 1 lit. f w zw. z motywem 47 preambuły RODO, przy czym RODO stanowi wprost jedynie o marketingu bezpośrednim, bez doprecyzowania, że chodzi o własne produkty lub usługi. W obecnym stanie prawnym ta podstawa prawna jest ograniczona poprzez przepis szczególny art. 18 ust. 4 uśude, który wymaga zgody na przetwarzanie danych osobowych usługobiorcy w celach reklamowych (co może być utożsamiane z celami marketingowymi), a więc zawęża możliwość oparcia się przez usługodawcę (operatora serwisu) na podstawie prawnie usprawiedliwionego celu w postaci własnych produktów lub usług (co byłoby możliwe, gdyby świadczono usługi inne niż te, do których zastosowanie mają przepisy szczególne uśude). Wedle projektu Ministerstwa Cyfryzacji (pakiet legislacyjny) obecny przepis art. 18 ust. 4 ma zostać uchylony.
2. Podstawa prawna przetwarzania danych użytkowników serwisu w celu realizacji jego głównych funkcji.
Podstawą prawną do przetwarzania danych osobowych użytkowników serwisu dokonujących w nim rejestracji w zakresie związanym z umożliwieniem jego funkcjonowania i działania nie jest zgoda, a niezbędność do realizacji umowy, której użytkownik jest stroną – a więc podstawa prawna wskazana w art. 23 ust. 1 pkt 3 uodo w zw. z art. 18 ust. 1-5 uśude oraz w art. 6 ust. 1 lit. a RODO. W tym kontekście wskazane w klauzuli nr 1 sformułowanie: (…) oraz wyrażam zgodę na przetwarzanie moich danych osobowych przez XXXXXX z siedzibą w Warszawie w celu realizacji usług dostępnych w Serwisie należy uznać na nieprawidłową kwalifikację podstawy prawnej przetwarzania danych użytkowników (zarówno na gruncie uodo, jak i RODO). Co więcej, gdyby przyjąć, że podstawą prawną przetwarzania danych użytkowników serwisu jest zgoda, to sama forma jej wyrażenia wskazana w klauzuli nr 1 jest nieprawidłowa, ponieważ w rozumieniu dotychczasowej definicji zgody zawartej w art. 7 ust. 5 uodo, gdyż zgoda „nie może być (…)dorozumiana z oświadczenia woli o innej treści”, a treścią oświadczenia woli składanego poprzez klauzulę nr 1 jest zaakceptowanie warunków umowy wskazanych w regulaminie.
Należy podkreślić, że w obecnym stanie prawnym w prawie krajowym obowiązują bardziej rygorystyczne przepisy dotyczące wykorzystania danych usługobiorcy przez usługodawcę jako administratora danych w porównaniu do stanu po 25 maja 2018 roku, jeżeli zachowane zostaną rozwiązania przewidziane w art. 57 pakietu legislacyjnego, dotyczących ujednolicenia pojęcia zgody oraz uchylenia przepisów stanowiących obecnie lex specialis do uodo, ustanowionych w szczególności w art. 18 oraz 19 uśude.
3. Podstawa prawna wykorzystywania danych użytkowników na w oparciu o udzielone zgody na czynności dodatkowe.
Odrębnym zagadnieniem jest wskazanie podstawy prawnej w stosunku do danych osobowych przetwarzanych w celu wykraczającym poza niezbędność do realizacji umowy (zapewnienia możliwości korzystania z funkcjonalności serwisu). Takim celem jest wysyłanie informacji handlowych na wskazany adres poczty elektronicznej, przy czym należy odróżnić dwie sytuacje:
Marketing bezpośredni własnych produktów lub usług
Jak wskazano w wyroku WSA w Warszawie (II SA/Wa 1061/08) każda z podstaw prawnych zawartych w art. 23 ust.1 pkt 1-5 uodo (podobnie jak i w art. 6 ust. 1 lit-a-f RODO) stanowi odrębną i niezależną podstawę do przetwarzania danych osobowych, a więc jeżeli możliwe jest wykazanie choć jednej z nich do realizowania określonego celu, nie jest konieczne wskazywanie innej podstawy prawnej. Konsekwencją powyższego jest fakt, że wszelkie działania operatora serwisu, które można zakwalifikować jako marketing bezpośredni własnych produktów lub usług nie wymagają uzyskania zgody na przetwarzanie danych osobowych. W odróżnieniu od dotychczasowego stanu prawnego, motyw 47 RODO stanowi wprost, że za „działanie w wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego” – brakuje w nim jednak obecnego w dotychczasowym stanie prawnym określenia „własnych”, co może stanowić argument za stwierdzeniem, że z dniem 25 maja 2018 roku podstawa prawna prawnie uzasadnionego interesu będzie mogła znaleźć szersze zastosowanie niż dotychczas, ponieważ definicja „marketingu bezpośredniego” została zawarta w art. 1 rekomendacji R(85)20 Komitetu Ministrów dla Państw Członkowskich z 25 października 1985 roku, i sama w sobie nie zawiera ograniczenia wyłącznie do oferowania własnych produktów lub usług:
„Przez marketing bezpośredni należy rozumieć ogół działań, jak również wszelkich dotyczących go usług pomocniczych, umożliwiających oferowanie produktów lub usług bądź przekazywanie innych informacji do grupy ludności – za pośrednictwem poczty, telefonu lub innych bezpośrednich środków – w celach informacyjnych bądź w celu wywołania reakcji ze strony osoby, której dane dotyczą.”
Przy kwalifikacji podstawy prawnej należy być jednak konsekwentnym, a więc jeżeli spółka będąca operatorem serwisu wskaże jako podstawę prawną prowadzenie działań marketingowych wobec użytkowników serwisu „prawnie usprawiedliwiony cel” jako „marketing własnych produktów lub usług” należy wypełnić obowiązek informacyjny obejmujący ten cel przetwarzania, i jednocześnie zapewnić możliwość wyrażenia sprzeciwu co do wykorzystywania danych użytkowniku w celach marketingowych – należy przy tym pamiętać, że sprzeciw nie jest odwołaniem zgody (która w tym przypadku w ogóle nie byłaby wyrażana). Powyższa uwaga dotyczy jednak stanu prawnego po 25 maja 2018 roku, przy założeniu, że wejdą w życie postanowienia art. 57 pakietu legislacyjnego w pierwotnej treści, ponieważ w dotychczasowym stanie prawnym treść art. 18 ust. 4 uśude wyklucza możliwość wskazania rzez usługodawcę prawnie usprawiedliwionego interesu w postaci marketingu własnych produktów lub usług jako podstawy prawnej przetwarzania danych usługobiorcy poprzez nałożenie na usługodawcę obowiązku uzyskiwania zgody usługobiorcy do przetwarzania jego danych w celach reklamowych.
Marketing bezpośredni produktów lub usług innych podmiotów
Art. 23 ust. 4 pkt 1 zawiera jedynie przykładowe wyliczenie działań, które mogą być kwalifikowane jako prawnie usprawiedliwiony cel, poprzez użycie zwrotu w szczególności przepis ten zawiera katalog otwarty, a więc nie wyklucza uznania innych działań jako prawnie usprawiedliwiony cel.
Jednak w praktyce, z uwagi na stanowisko prezentowane przez GIODO w linii orzeczniczej (decyzje GI-DEC-DS-129/04 oraz DOLiS-440-275/09 ) oraz w aktualnych komunikatach zawartych na oficjalnej stronie(http://www.giodo.gov.pl/pl/259/10003): „Nie istnieją bowiem przepisy prawa, które pozwalałyby na przesyłanie oferty marketingowej innego podmiotu bez zgody osoby, której dane dotyczą. Nawet zawarcie przez oba pomioty umowy w sprawie wzajemnej promocji nie jest wystarczającą podstawą do uznania, że wysyłanie oferty marketingowej podmiotu współpracującego jest prawnie usprawiedliwionym celem administratora danych.”. wprost przyjmuje się, że działania marketingowe na rzecz podmiotów innych niż administrator danych nie mogą być kwalifikowane jako „prawnie usprawiedliwiony cel administratora danych”, nawet jeżeli dotyczy to usług lub produktów wspólnych, z czego wynika, że na działania marketingowe dotyczące produktów lub usług innych podmiotów niż operator serwisu, konieczne jest wyrażenie zgody na przetwarzanie danych osobowych w tym celu, przy czym powinno być jasno wskazane, że zgody dotyczy właśnie produktów lub usług innych podmiotów.
Powyższa uwaga dotyczy dotychczasowego stanu prawnego – nie sposób przewidzieć w jakim kierunku pójdzie interpretacja nowego organu nadzorczego po 25 maja 2018 roku, natomiast zmiany legislacyjne prowadzą do uchylenia przepisów, na podstawie których GIODO opierał swoją argumentację przytoczona powyżej.
Jeżeli klauzula nr 2 (Wyrażam zgodę na przetwarzanie moich danych osobowych przez XXXXXX w celach marketingowych.) miałaby stanowić podstawę prawną do przetwarzania danych osobowych użytkowników serwisu w celu marketingu bezpośredniego produktów lub usług innych podmiotów, to należałoby to wyraźnie określić w treści klauzuli – należałoby więc dodać do klauzuli nr 2 jasno wskazujące na to sformułowanie. W dotychczasowym stanie prawnym nie jest możliwe przetwarzanie danych osobowych w celu prowadzenia marketingu bezpośredniego produktów lub usług podmiotów innych niż administrator ( a w przypadku usługodawcy w rozumieniu uśude zgoda jest konieczna nawet na marketing własnych produktów lub usług, z uwagi na art. 18 ust. 4 uśude) jako prawnie usprawiedliwiony cel, należy jednak dostrzec uwagi dokonane w pkt 1 dotyczące odmiennej definicji prawnie uzasadnionego interesu w RODO.
4. Przepisy przejściowe i dalsze wykorzystywanie zgód udzielonych przed 25 maja 2018 roku po przyjęciu RODO do stosowania.
RODO zostanie przyjęte do stosowania z dniem 25 maja 2018 roku, zgodnie z motywem 171 preambuły RODO, „(…) przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. (…)”.
Z czego wynika, że od dnia 24 maja 2016 roku (dzień wejścia w życie) do dnia 24 maja 2018 (dzień przyjęcia do stosowania) istnieje okres przejściowy, w którym wszelkie elementy, które mogą powodować niezgodność z przepisami RODO powinny zostać dostosowane do nowych przepisów. W szczególności dotyczy to warunków, jakim powinna odpowiadać zgoda na przetwarzanie danych. Jeżeli klauzule zgód stosowane dotychczasowo nie spełniają warunków RODO, do dnia 24 maja należy odebrać prawidłowe zgody, inaczej nie będzie można przetwarzać danych osobowych na podstawie zgód niezgodnych z RODO. Analiza warunków, jakim powinna odpowiadać klauzula zgody w świetle RODO została zawarta w części IV.
5. Zmiany legislacyjne w prawie krajowym, a sposób formułowania i pozyskiwania zgód. Rola wytycznych grupy roboczej art. 29. Znaczenie tzw. rozporządzenia „e-privacy”.
Dnia 13 września Ministerstwo Cyfryzacji wydało projekt nowej ustawy „o ochronie danych osobowych” oraz ustawy „przepisy wprowadzające ustawę o ochronie danych osobowych” (https://www.gov.pl/cyfryzacja/konsultacje-spoleczne-projektu-przepisow-wdrazajacych-ogolne-rozporzadzenie-o-ochronie-danych-rodo-). Jednak nie będą to akty prawne, których celem będzie zastąpienie regulacji zawartych w RODO, a jedynie doprecyzowanie tych elementów, które RODO pozostawia do uregulowania na szczeblu krajowym. RODO będzie od 25 maja 2018 roku stosowane bezpośrednio (w odróżnieniu od dyrektywy – tak, jakby było ustawą) a zatem niezależnie od ostatecznego kształtu przepisów krajowych nie ulegną zmianie zasady formułowania zgód z uwagi na treść prawa krajowego.
Najistotniejsze zmiany przepisów szczególnych dotyczących przetwarzania danych osobowych usługobiorców przez usługodawcę w rozumieniu uśude zawarte w art. 57 pakietu legislacyjnego zostały przytoczone poniżej:
Obecna treść art. 4 uśude:
Art. 4.
Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta:
1) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;
2) może być odwołana w każdym czasie.
Usługodawca wykazuje uzyskanie zgody, o której mowa w ust. 1, dla celów dowodowych.
Treść art. 4 uśude określona w art. 57 pakietu legislacyjnego:
Art. 4. Do uzyskania zgody usługobiorcy zastosowanie mają przepisy o ochronie danych osobowych.
Obecna treść art. 10 ust. 2 uśude:
Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.
Treść art. 10 ust. 2 uśude określona w art. 57 pakietu legislacyjnego:
6. Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji.
Należy dostrzec, że zachowana ma być dotychczasowa treść art. 10 ust. 1 uśude, ustanawiająca zakaz przesyłania niezamówionej informacji handlowej:
Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.
Dotychczasowa treść art. 18 ust 1-4 uśude ma zostać uchylona. W szczególności istotne jest uchylenia ust.
Usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi:
1) nazwisko i imiona usługobiorcy;
2) numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;
3) adres zameldowania na pobyt stały;
4) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3;
5) dane służące do weryfikacji podpisu elektronicznego usługobiorcy;
6) adresy elektroniczne usługobiorcy.
W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą, usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia.
Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną zgodnie z art. 22 ust. 1.
7. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów określonych w art. 19 ust. 2 pkt 2, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.
Modyfikacji ulegnie treść ust. 5 i 6 przytaczanego artykułu.
Dotychczasowa treść art. 19 ust. 1-2 oraz 4-5 ma zostać uchylona. W szczególności istotne jest uchylenia ust. 2 pkt 2. Zachowane zostanie zaś dotychczasowe brzmienie ust. 3.
Usługodawca nie może przetwarzać danych osobowych usługobiorcy po zakończeniu korzystania z usługi świadczonej drogą elektroniczną, z zastrzeżeniem ust. 2.
Po zakończeniu korzystania z usługi świadczonej drogą elektroniczną usługodawca, na zasadach określonych w ust. 3–5, może przetwarzać tylko te spośród danych określonych w art. 18, które są:
1) niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi;
2) niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, za zgodą usługobiorcy; 3