Znaczenie usług internetowych w nowoczesnym społeczeństwie ma odzwierciedlenie w systematycznym rozwoju prawa Unii Europejskiej. Oprócz powstającego obecnie rozporządzenia Parlamentu Europejskiego i Rady w sprawie prywatności i łączności elektronicznej, tzw. ePrivacy, dowodem tego są również wytyczne 2/2019 w związku ze stosowaniem art. 6 ust. 1 lit. b RODO w odniesieniu do świadczenia usług online, wydane 9 kwietnia 2019 r. przez Europejską Radę Ochrony Danych (dalej: „EROD”). Po przeprowadzeniu konsultacji społecznych jesienią br. opublikowano ostateczną wersję aktu wskazującego dyrektywy dotyczące prawidłowego postępowania względem umów zawieranych w środowisku wirtualnym.
Kto i kiedy powinien sięgnąć po wytyczne?
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Abstrahując od powyższego, trzeba pamiętać, że tego typu przetwarzanie danych osobowych powinno odpowiadać ogólnym zasadom usankcjonowanym w art. 5 RODO. Musi zatem odbywać się ono w sposób przejrzysty oraz zgodny z obowiązkami dotyczącymi ograniczenia celu i minimalizacji danych, zważywszy w szczególności na to, że umowy online zwykle nie są negocjowane indywidualnie, a konsumenci nie mają realnego wpływu na ich treść, przez co pozostają „słabszą” stroną relacji.
Art. 6 ust. 1 lit. b RODO tylko w „stosownych przypadkach”
Przybliżając poruszaną przez wytyczne materię, warto przypomnieć, że art. 6 ust. 1 lit. b RODO ma zastosowanie jedynie wówczas, gdy spełniony jest jeden z dwóch poniższych warunków:
- przetwarzanie jest obiektywnie konieczne do wykonania umowy z osobą, której dane dotyczą,
- przetwarzanie jest obiektywnie konieczne w celu podjęcia umowy jeszcze przed jej zawarciem, a podjęte w związku z tym czynności są dokonywane z inicjatywy osoby, której dane dotyczą.
Mimo że zasadniczą przesłanką legalizującą przetwarzanie danych osobowych w związku z wykonaniem umowy online jest właśnie art. 6 ust. 1 lit. b RODO, nie można wykluczyć, że inna podstawa prawna może lepiej odpowiadać pewnym wtórnym celom przetwarzania. w świetle wypowiedzi EROD należy wskazać, że jeżeli przetwarzanie nie jest faktycznie konieczne do wykonania umowy, czynności te wręcz muszą mieć przełożenie na inne przepisy art. 6 bądź art. 9 RODO.
Dążąc zatem do ustalenia, czy przetwarzanie będzie opierać się na art. 6 ust. 1 lit. b RODO, z perspektywy administratora szczególnie istotna jest ocena każdej czynności wymagającej przetwarzania danych w kontekście rzeczywistej niezbędności do realizacji zasadniczego przedmiotu umowy. Do zastosowania przywołanego przepisu wymagane jest, aby przetwarzanie było faktycznie i obiektywnie konieczne do osiągnięcia konkretnego celu, który jednocześnie musi być nierozerwalnie związany z wykonaniem świadczenia głównego na rzecz konsumenta. Stosownie do treści wytycznych wskazana przesłanka obejmuje np. przetwarzanie szczegółów płatności w celu wyliczenia pełnych kosztów oraz realizacji należnej zapłaty.
Art. 6 ust. 1 lit. b RODO a inne podstawy przetwarzania
Powołując się na wytyczne Grupy Roboczej Art. 29 dotyczące zgody, EROD zwróciła uwagę, że niezbędność do wykonania umowy nigdy nie może być uznana za wyjątek od ogólnego zakazu przetwarzania danych osobowych szczególnych kategorii. To oznacza, że uzyskanie wyraźnej zgody, stosownie do warunków przewidzianych w tym zakresie przez RODO, pozostaje jedynym możliwym, a zarazem zgodnym z prawem wyłączeniem z zakazu przetwarzania danych wrażliwych w związku z realizacją usług społeczeństwa informacyjnego.
Przykład:
Osoba, której dane dotyczą, kupuje produkty od sprzedawcy internetowego i chce zapłacić kartą kredytową za produkt, który ma zostać dostarczony do domu. Aby zrealizować umowę, sprzedawca musi przetwarzać dane karty kredytowej i adres rozliczeniowy osoby, której dane dotyczą, do celów płatności oraz adres domowy klienta w celu dokonania dostawy. Zatem art. 6 ust. 1 lit. b RODO ma zastosowanie jako podstawa prawna tych czynności przetwarzania. Jeżeli jednak klient zdecydował się na wysyłkę produktu do punktu odbioru, przetwarzanie adresu domowego osoby, której dane dotyczą, nie jest już konieczne do wykonania umowy zakupu, a więc wymagana jest inna podstawa prawna niż art. 6 ust. 1 lit. b RODO.
Sprzedawca internetowy chce budować profile preferencji oraz stylu życia użytkownika na podstawie jego aktywności w serwisie. Realizacja umowy sprzedaży niewątpliwie nie jest uzależniona od utworzenia takiego profilu. Nawet jeśli profilowanie byłoby wyraźnie uzgodnione w umowie, sam ten fakt nie czyni tego działania „niezbędnym” do wykonania umowy. Jeśli zatem administrator chce dokonywać profilowania, musi opierać się na innej podstawie prawnej niż art. 6 ust. 1 lit. b RODO.
Niezbędność przetwarzania danych przed zawarciem umowy
Alternatywnym warunkiem oparcia się na art. 6 ust. 1 lit. b RODO – oprócz wykonania umowy – jest konieczność podjęcia określonych działań zmierzających do jej zawarcia. Zazwyczaj wymaga to pozyskania przez administratora szeregu informacji dotyczących osoby, której dane dotyczą.
Przykład:
Klient podaje swój kod pocztowy, aby sprawdzić, czy dany usługodawca działa w jego okolicy. Można to uznać za przetwarzanie w związku z podjęciem kroków przed zawarciem umowy, na wniosek osoby, której dane dotyczą, zgodnie z art. 6 ust. 1 lit. b RODO.
W określonych sytuacjach, na gruncie regulacji krajowych, instytucje finansowe mają obowiązek zidentyfikować swoich klientów. Wobec tego przed zawarciem umowy z osobą fizyczną bank uprawniony jest do żądania przedłożenia mu dokumentu tożsamości przez osobę, której dane dotyczą. Wówczas pozyskanie danych podyktowane jest koniecznością wypełnienia obowiązku prawnego, nie zaś podjęciem kroków zmierzających do zawarcia umowy na żądanie konsumenta. Dlatego w analogicznych przypadkach odpowiednią podstawą prawną nie będzie art. 6 ust. 1 lit. b RODO, lecz art. 6 ust. 1 lit. c RODO.
Czynności niezwiązane ze świadczeniem głównym
-
Przetwarzanie w celu ulepszenia usługi
Funkcja IOD.
To się dobrze przekazuje
-
Reklama behawioralna
Nie sposób zaprzeczyć, że co do zasady tzw. reklama behawioralna nie będzie stanowiła nieodłącznego elementu usług świadczonych drogą elektroniczną. Trudno byłoby bowiem uznać za zasadny argument, że umowa nie może zostać wykonana z uwagi na brak reklam behawioralnych. Chociaż takie przetwarzanie może wspierać świadczenie usługi, jest bez wątpienia odrębne od głównego celu umowy. Wobec tego obligatoryjne dla administratora będzie oparcie tego typu działań na alternatywnych podstawach prawnych.
-
Personalizacja treści
Przykład:
Internetowy serwis informacyjny oferuje użytkownikom usługę polegającą na dostarczaniu dostosowanych indywidualnie treści pochodzących z różnorodnych źródeł, za pośrednictwem jednego interfejsu. w związku z tym żąda od użytkowników utworzenia profilu ich zainteresowań. w takim przypadku personalizację wiążącą się z dostarczaniem zamówionych treści można uznać za obiektywnie niezbędną do wykonania umowy między usługodawcą a użytkownikiem, ponieważ istotą usługi jest właśnie dostarczanie spersonalizowanych treści. Zatem art. 6 ust. 1 lit. b RODO będzie stanowić odpowiednią podstawę prawną przetwarzania danych osobowych pozyskanych w celu realizacji usługi.
Wyszukiwarka hoteli online monitoruje wcześniejsze rezerwacje użytkowników w celu stworzenia profilu ich najczęstszych wyborów. Wykreowany profil jest następnie wykorzystywany do polecania użytkownikom określonych hoteli w kolejnych wyszukiwaniach. w takim przypadku profilowanie dotychczasowych zachowań użytkownika nie może być uznane za obiektywnie konieczne do wykonania umowy. Przepis art. 6 ust. 1 lit. b RODO nie ma więc zastosowania do tej czynności przetwarzania.
Zgodność nie tylko z RODO
Odbiegając od tematu ochrony danych osobowych, warto zwrócić uwagę na część wytycznych EROD, z której wynika, że zawieranie umów online implikuje szereg interdyscyplinarnych restrykcji. Wszelkie postanowienia umowne muszą być bowiem uczciwe i zgodne nie tylko z ogólnymi wymogami prawa kontraktowego, lecz także z przepisami z obszaru ochrony konsumentów, a w szczególności regulacjami krajowymi dotyczącymi zdolności do podejmowania czynności prawnych przez dzieci. Wobec tego w odniesieniu do umów funkcjonujących w obrocie konsumenckim może mieć zastosowanie m.in. dyrektywa 93/13/EWG w sprawie nieuczciwych warunków w umowach konsumenckich, a na gruncie rodzimym – także ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji czy ustawa z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów.
Mając na względzie przywołane wyżej ustalenia, nie ma wątpliwości, że świadczenie usług drogą elektroniczną – z pozoru nieskomplikowane i prostsze niż działalność offline – w rzeczywistości jest obwarowane wymogami nastręczającymi usługodawcom licznych trudności. Jednak czy warunki te mogą stać na przeszkodzie dalszej ekspansji rynku e-commerce? Biorąc pod uwagę skalę, na którą działają internetowi przedsiębiorcy, oraz przychody, jakie generują tego typu usługi, trudno wyciągać aż tak daleko idące wnioski. Mimo to sukcesywny rozrost ustawodawstwa w tym obszarze rodzi ryzyko kontestacji ze strony usługodawców, co z kolei mogłoby pociągnąć za sobą nieoczekiwane rezultaty nie tylko dla nich samych, lecz także dla całego elektronicznego obrotu gospodarczego.