Projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych: wdrożenie RODO – znaczenie dla branż internetowej i reklamowej
W połowie września bieżącego roku Ministerstwo Cyfryzacji opublikowało nowy projekt ustawy o ochronie danych osobowych oraz projekt ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych, które mają na celu ustanowienie odpowiednich regulacji wdrażających rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (dalej jako „RODO”)[1]. Obydwa projekty znajdują się aktualnie w fazie konsultacji publicznych.
Jak wynika z uzasadnienia projektowanych przepisów, polskie rozwiązania mają zapewnić skuteczne stosowanie przepisów RODO, nie powielając rozwiązań zapisanych w unijnym rozporządzeniu, a jednocześnie nie będąc z nim sprzecznymi.
****
Klauzula prasowa
Opracowywane przepisy mają szczególne znaczenie dla branż internetowej, reklamowej oraz dziennikarskiej. Warto zwrócić uwagę na art. 85 RODO, który do celów dziennikarskich lub do celów wypowiedzi akademickiej, artystycznej lub literackiej zobowiązuje państwa członkowskie do określenia wyjątków lub odstępstw od podstawowych zasad przetwarzania danych osobowych, o których mowa w RODO, jeżeli odstępstwa te są niezbędne, by pogodzić prawo do ochrony danych osobowych z wolnością wypowiedzi i informacji (tzw. klauzula prasowa). Jednym z koniecznych elementów na etapie wdrożenia RODO jest zagwarantowanie wolności prasy i wolności wypowiedzi na takim samym poziomie, jak ma to miejsce obecnie.
Nowa propozycja ustawy o ochronie danych osobowych w art. 2 ust. 1 zawiera wyjątki od stosowania RODO w odniesieniu do działalności polegającej na redagowaniu, przygotowaniu, tworzeniu lub publikowaniu materiałów prasowych w rozumieniu ustawy Prawo prasowe (dalej jako „pr. pras.”)[2] oraz do działalności literackiej lub artystycznej. Definicja prasy w pr. pras. jest bardzo szeroka, gdyż na jej gruncie również serwisy internetowe, a przynajmniej niektóre ich rodzaje, są kwalifikowane jako prasa – tak np. w postanowieniu Sądu Najwyższego z 26 lipca 2007 r., sygn. akt IV KK 174/07[3] (por. także postanowienie Sądu Apelacyjnego w Łodzi z 18 stycznia 2013 r., sygn. akt I ACA 1031/12[4]). Jak wskazał WSA w Warszawie w postanowieniu z 30 października 2008 r., sygn. akt II SA/WA 1885/07[5], jeśli ktoś „samodzielnie redaguje, tworzy i przygotowuje materiały, a nadto wyłącznie w jego gestii pozostaje publikacja opracowanych materiałów i całokształt działalności redakcji, to tym samym skupia on trzy wymienione w prawie prasowym funkcje […], tzn.: dziennikarza, redaktora i redaktora naczelnego”. Oznacza to, że działalność osób prowadzących serwisy internetowe może zostać uznana za objętą pojęciem prasy.
Projektowany przepis przewiduje, że do takiej działalności nie będą miały zastosowania przepisy art. 5–9, 11, 13–16, 18–22, 27, 28 ust. 2–10 i art. 30 RODO. Oznacza to, że w obszarze wyjątków nie znalazł się m.in. art. 10 RODO, odnoszący się do przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, którego „wolno dokonywać wyłącznie pod nadzorem władz publicznych” lub jeżeli jest ono „dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą”, przy jednoczesnym zastrzeżeniu, iż wszystkie „kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych”. Nieuwzględnienie wśród wyliczonych powyżej wyjątków art. 10 RODO w praktyce oznacza dodatkowe wymagania w odniesieniu do przetwarzania przez prasę informacji dotyczących wyroków skazujących i naruszeń prawa, co wydaje się niemożliwe do pogodzenia z zagwarantowaną konstytucyjnie wolnością prasy, a także wynikającą z art. 1 pr. pras. wolnością wypowiedzi i prawem obywateli do rzetelnego informowania, jawności życia publicznego oraz kontroli i krytyki społecznej.
Zgoda na cookies – zmiany w Prawie telekomunikacyjnym
W projekcie ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych znalazła się modyfikacja brzmienia art. 174 ustawy Prawo telekomunikacyjne (dalej jako „pr. tel.”)[6]. W myśl proponowanego brzmienia art. 174 pr. tel. „do uzyskania zgody abonenta lub użytkownika końcowego zastosowanie mają przepisy o ochronie danych osobowych”, co oznacza, że regulacja dotyczyć będzie warunków udzielenia przez abonenta lub użytkownika końcowego zgody, w tym zgody na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego, tj. zgody dotyczącej stosowania plików typu cookies, o których mowa w art. 173 ust. 1 pkt 2) pr. tel.
W konsekwencji zgoda na cookies będzie zgodą, o której mowa w art. 4 pkt 11 RODO oraz art. 7 RODO, co może mieć negatywne skutki dla branż internetowej i reklamowej. Obecne brzmienie art. 174 pr. tel. nie odwołuje się wprost do przepisów o ochronie danych osobowych, a jedynie wskazuje warunki, jakie powinna spełnić zgoda – „jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta: 1) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści; 2) może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika; 3) może być wycofana w każdym czasie, w sposób prosty i wolny od opłat.” Takie brzmienie art. 174 pr. tel. pozwala na pełną realizację art. 173 ust. 2 pr. tel., tj. zbieranie zgód za pomocą oprogramowania zainstalowanego w wykorzystywanym przez użytkownika telekomunikacyjnym urządzeniu końcowym lub konfiguracji usługi. Choć w uzasadnieniu przepisów wprowadzających ustawę o ochronie danych osobowych projektodawca zapewnia, że „kryteria skutecznej zgody, o których mowa w art. 174 pr. tel., dookreślane są m.in. w art. 173 ust. 2 pr. tel.”, należy wątpić w to, że zmiana art. 174 pr. tel. nie wpłynie na dotychczasową praktykę zbierania zgody na przechowywanie informacji lub uzyskiwanie dostępu do informacji już przechowywanej w telekomunikacyjnym urządzeniu końcowym abonenta lub użytkownika końcowego.
Ponadto zagadnienie zgody na cookies będzie objęte zapowiadanym rozporządzeniem ePrivacy[7], tj. rozporządzeniem Parlamentu Europejskiego i Rady w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej, które jednocześnie ma uchylić dyrektywę 2002/58/WE[8]. Wobec tego rekomendowanym rozwiązaniem w tym zakresie byłoby wprowadzenie ewentualnych zmian w art. 174 pr. tel. dopiero po przyjęciu przez organy unijne rozporządzenia ePrivacy, które tę kwestię ureguluje w sposób kompleksowy.
Zmiany w ustawie o świadczeniu usług drogą elektroniczną
W kontekście branży internetowej warto wspomnieć również o propozycjach zmian dotyczących ustawy o świadczeniu usług drogą elektroniczną (dalej jako „u.ś.u.d.e.”)[9], które pojawiły się w projekcie ustawy dostosowującej. W u.ś.u.d.e. uchylono przepisy rozdziału 4. Zgodnie z uzasadnieniem projektu ustawy RODO swoim zakresem podmiotowym i przedmiotowym obejmuje przetwarzanie danych osobowych w związku ze świadczeniem usług drogą elektroniczną (regulowanych treścią u.ś.u.d.e.), nie ma więc podstaw do pozostawienia odrębnego reżimu prawnego odnoszącego się do przetwarzania danych osobowych w ramach usług społeczeństwa informacyjnego. Usunięcie przepisów tego rozdziału należy ocenić pozytywnie, gdyż dodatkowe wymagania nałożone na dostawców usług świadczonych drogą elektroniczną budziły wiele wątpliwości i utrudniały przetwarzanie danych osobowych zebranych w związku ze świadczeniem usług.
W rozdziale 4 u.ś.u.d.e. pozostawiono jednak art. 18 ust. 6 w brzmieniu: „usługodawca nieodpłatnie udostępnia dane, w tym dane eksploatacyjne, przetwarzane w związku ze świadczeniem usług drogą elektroniczną, organom państwa uprawnionym na podstawie odrębnych przepisów na potrzeby prowadzonych przez nie postępowań”. Przepis ten nie ma pierwowzoru w dyrektywie 2002/58/WE. W 2002 roku w trakcie prac nad projektem u.ś.u.d.e. korzystano z rozwiązań przewidzianych w niemieckiej ustawie z 22 lipca 1997 r. o ochronie danych uzyskanych w ramach usług telefonicznych i informatycznych (niem. Teledienstedatenschutzgesetz – dalej jako „TDDSG”), stanowiącej część (art. 2) ustawy z 22 lipca 1997 r. o usługach informacyjnych i komunikacyjnych (niem. Informations- und Kommunikationsdienste-Gesetz), i to w niej właśnie należy szukać odpowiednika omawianego przepisu. Rozwiązanie ze zdania piątego § 6 ust. 5 TDDSG przeniesiono do art. 18 ust. 6 rządowego projektu polskiej ustawy o świadczeniu usług drogą elektronicznych, przy czym wprowadzono generalną kategorię organów państwa (w miejsce sądów i innych właściwych organów) oraz zrezygnowano z bezpośredniego odesłania do odrębnych ustaw. W związku z tym art. 18 ust. 6 u.ś.u.d.e. sformułowany jest ogólnikowo – nie wskazuje ani rodzajów organów, które mogą wystąpić z żądaniem informacji, ani rodzajów postępowań: karnego, cywilnego, administracyjnego czy egzekucyjnego. Jako że przepis ten nie określa także podstaw do żądania ujawnienia informacji i zakresu przekazywanych danych (obejmuje wszystkie dane zebrane w związku ze świadczeniem usług drogą elektroniczną), nie może stanowić samodzielnej podstawy prawnej udostępnienia danych organom państwa. Co więcej, jego brzmienie może prowadzić do błędnego wniosku, że jedynym uprawnionym do uzyskania danych eksploatacyjnych gromadzonych przez usługodawcę w rozumieniu u.ś.u.d.e. są organy państwa (por. np. orzeczenie WSA z dnia 8 marca 2012 r., sygn. akt II SA/Wa 2821/11[10]).
Projekt nowej ustawy przewiduje także zmianę art. 10 u.ś.u.d.e., który dotyczy zgody na otrzymywanie informacji handlowych drogą elektroniczną, szczególnie istotnej dla przedsiębiorców w kontekście wysyłki m.in. newsletterów. W przepisie tym zmieniono ust. 2, zgodnie z którym „informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji”. Z przepisu usunięto wyrażenie: „w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny”. Zmiana ta może skutkować kwestionowaniem twierdzenia, że udostępnienie adresu elektronicznego w celu otrzymywania informacji handlowej jest równoznaczne z wyrażeniem zgody. Takie podejście byłoby niespójne z powszechną praktyką rynkową i przyzwyczajeniami klientów. Tymczasem podanie adresu e-mail w ww. celu należy uznać za formę działania spełniającego wymogi zgody określone w RODO. Jak wskazuje brzmienie motywu 32 preambuły RODO, wyrażenie zgody może polegać „na zaznaczeniu okienka wyboru podczas przeglądania strony internetowej, na wyborze ustawień technicznych do korzystania z usług społeczeństwa informacyjnego lub też na innym oświadczeniu bądź zachowaniu, które w danym kontekście jasno wskazuje, że osoba, której dane dotyczą, zaakceptowała proponowane przetwarzanie jej danych osobowych”. Co za tym idzie, zachowanie użytkownika polegające na udostępnieniu swojego adresu e-mail w określonym kontekście będzie jednocześnie oznaczało wyrażenie zgody.
Certyfikacja
Pragniemy także odnieść się do całkowicie nowego mechanizmu, który – mimo że nie jest związany jedynie z branżą internetową – także wymaga krótkiego omówienia: procesu certyfikacji. Zgodnie z art. 42 ust. 1 RODO „państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające”. Ustawodawca unijny wskazał, że certyfikacji będą mogły dokonywać podmioty certyfikujące lub właściwy organ nadzorczy, i to właśnie z tej drugiej opcji skorzystano w krajowym projekcie ustawy o ochronie danych osobowych. Uprawnienia w tym zakresie ma Prezes Urzędu Ochrony Danych Osobowych, czyli nowy organ właściwy w sprawie ochrony danych osobowych.
Procedura certyfikacji prowadzona wyłącznie przed Prezesem Urzędu Ochrony Danych Osobowych, z pominięciem akredytowanych jednostek certyfikujących, może budzić wątpliwości. Jak wskazuje prawodawca, czynnościom certyfikacyjnym powinna towarzyszyć pełna bezstronność, a wprowadzenie odpowiedniej struktury w ramach organu nadzorczego ma docelowo zapewnić sprawną realizację procedury, przeprowadzanej na wniosek administratora lub podmiotu przetwarzającego, która jest dokonywana w oparciu o kryteria określone przez Prezesa Urzędu Ochrony Danych Osobowych. Jednak biorąc pod uwagę przewidywane bardzo duże obciążenie organów nadzoru po rozpoczęciu stosowania RODO, ograniczenie możliwości dokonywania certyfikacji tylko do Prezesa Urzędu może powodować opóźnienia w polskim systemie certyfikacji.
Co więcej, rozwiązanie przyjęte w zakresie procedury certyfikacji jest odmienne w porównaniu do m.in. ustawy o usługach zaufania oraz identyfikacji elektronicznej[11], która reguluje działalność zewnętrznych dostawców usług zaufania funkcjonujących w ramach krajowej infrastruktury zaufania, takich jak m.in. Narodowe Centrum Certyfikacji. Niewątpliwie zakres usług zaufania i zakres ochrony danych osobowych to całkowicie odmienne kwestie, których nie można utożsamiać, ale należy wskazać, że docelowo obydwie regulacje mają mieć element wspólny związany z koniecznością zaadaptowania regulacji prawnych do codziennego korzystania z otaczających nas nowoczesnych technologii, niejednokrotnie w sposób zastępujący pracę jednostek. Już po zakończeniu etapu konsultacji publicznych i wprowadzeniu ewentualnych zmian w projekcie nowych regulacji dotyczących ochrony danych osobowych będzie można dokonać kompleksowej oceny nowych przepisów i ich wpływu na funkcjonowanie obszaru rozwoju nowych technologii.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, s. 1).
[2] Ustawa z dnia 26 tycznia 1984 r. Prawo prasowe (Dz. U. z 1984 r. nr 5, poz. 24 ze zm.).
[3] Postanowienie SN z dnia 26 lipca 2007 r., IV KK 174/07, OSP 2008, nr 6, poz. 60.
[4] https://orzeczenia.ms.gov.pl/content/blogu/152500000000503_I_ACa_001031_2012_Uz_2013-01-18_001 (dostęp: 26.10.2017).
[5] http://orzeczenia.nsa.gov.pl/doc/ED398BBFA0 (dostęp: 26.10.2017).
[6] Ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne (tekst jedn.: Dz. U. z 2017 r., poz. 1907).
[7] Polska wersja językowa proponowanego rozporządzenia dostępna jest m.in. na stronie https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications (dostęp: 26.10.2017).
[8] Dyrektywa 2002/58/WE Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej (Dz. Urz. WE L 201 z 31.07.2002, s. 37).
[9] Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (tekst jedn.: Dz. U. z 2017 r., poz. 1219).
[10] http://orzeczenia.nsa.gov.pl/doc/D18A849CC5 (dostęp: 26.10.2017).
[11] Ustawa z dnia 5 września 2016 r. o usługach zaufania oraz identyfikacji elektronicznej (Dz. U. z 2016 r. poz. 1579).