9 stycznia 2023
Dyrektywa Omnibus – płatność danymi osobowymi
6 grudnia 2022 r. Prezydent podpisał uchwaloną w dniu 1 grudnia 2022 r. ustawę o zmianie ustawy o prawach konsumenta oraz niektórych innych ustaw[1], która implementuje do polskiego prawa dyrektywę Parlamentu Europejskiego i Rady 2019/2161 (tzw. dyrektywę Omnibus)[2]. Ustawa weszła w życie z dniem 1 stycznia 2023 r. Z tym momentem przedsiębiorców zaczęły obowiązywać szereg nowych obowiązków związanych z prowadzeniem przez nich działalności gospodarczej, mających na celu unowocześnienie i poprawę egzekwowania praw konsumentów, jak również zwiększenie transparentności rynku e-commerce. Poza obowiązkami związanymi z informowaniem o obniżkach cenowych oraz nowymi zobowiązaniami nałożonymi na dostawców internetowych platform handlowych, w tym dotyczącymi weryfikowania opinii o produktach czy plasowania ofert, omówionymi w poprzednich artykułach poświęconych dyrektywie Omnibus, w nowych przepisach uregulowane zostały kwestie dostarczania konsumentowi przez przedsiębiorcę treści bądź usług w zamian za dane osobowe (czyli, inaczej mówiąc, kwestie opłacania treści i usług danymi osobowymi).
Geneza przepisów o płatności danymi osobowymi.
Wraz z rozwojem e-handlu pojawiło się wiele modeli biznesowych, w ramach których w zamian za dostarczenie usługi konsument nie płaci przedsiębiorcy ceny w tradycyjny sposób, lecz przekazuje mu swoje dane osobowe. Choć na pierwszy rzut oka może wydawać się, że taka transakcja jest dla konsumenta korzystna (darmowa – klient nic nie płaci), to jednak należy mieć świadomość, że dane osobowe użytkowników stanowią dla przedsiębiorców bardzo cenny nabytek, gdyż dane te – jeśli zostaną przez przedsiębiorcę odpowiednio wykorzystane – przekładają się dla niego na realną wartość pieniężną. Najpopularniejszym przykładem takiej sytuacji jest założenie konta w serwisie mailingowym (poczta www – np. gmail.com, onet.pl, wp.pl, interia.pl, yahoo.com, itd.) bądź w serwisie społecznościowym (np. Facebook, Instagram, Twitter, Snapchat, YouTube, TikTok, LinkedIn i wiele innych). Uruchomienie konta i korzystanie z niego w wymienionych przypadkach jest dla konsumenta bezpłatne, ale wiąże się z przekazaniem przez konsumenta na rzecz dostawcy serwisu imienia i nazwiska oraz adresu e-mail. Skutkuje to tym, że podczas korzystania z serwisu konsument otrzymuje treści reklamowe pochodzące od podmiotów, którym nie udostępniał swoich danych osobowych. Dzieje się tak dlatego, że przedsiębiorca będący właścicielem serwisu w zamian za udostępnienie konsumentowi „darmowej” usługi w postaci konta użytkownika wykorzystuje jego dane osobowe w celach analitycznych, ustalając na ich podstawie, jakie towary i usługi interesują użytkowników, oraz w celach marketingowych, stosując reklamę dopasowaną do ich zainteresowań. W efekcie tych działań właściciel serwisu zarabia na reklamach, za których umieszczenie płacą inne podmioty. Można to podsumować popularnym frazesem, że „jeśli produkt jest darmowy, ty jesteś produktem”. Opisywana praktyka została dostrzeżona przez unijnego prawodawcę, który dostrzegł wiążące się z nią zagrożenia dla konsumentów i postanowił uregulować zasady ochrony konsumentów w tym zakresie.
Treści i usługi cyfrowe.
Płatność danymi osobowymi dotyczy umów, na podstawie których przedsiębiorca dostarcza konsumentowi treści cyfrowe bądź usługi cyfrowe. Umowy te są przedmiotem regulacji dyrektywy 2019/770 (tzw. dyrektywa cyfrowa)[3]. Przez treści cyfrowe należy rozumieć dane wytwarzane i dostarczane w formie cyfrowej. Pojęcie to zostało po raz pierwszy zdefiniowane w dyrektywie 2011/83/UE[4], zaś transpozycja definicji treści cyfrowych do polskiego porządku prawnego – w niezmienionej w stosunku do dyrektywy w sprawie praw konsumentów treści – została dokonana w art. 2 pkt 5) ustawy z dnia 30 maja 2014 r. o prawach konsumenta[5].
Dyrektywa cyfrowa nie wprowadziła zmian w definicji pojęcia treści cyfrowych, jednak w związku z tym, że zgodnie z założeniem ustawodawcy unijnego dyrektywa cyfrowa miała stać się aktem prawnym, który regulował będzie całościowo kwestie związane z dostarczaniem treści cyfrowych na terytorium UE, legalna definicja treści cyfrowych została zamieszczona w art. 2 pkt 1) dyrektywy cyfrowej. Z kolei dyrektywą Omnibus do dyrektywy 2011/83/UE wprowadzono zabieg legislacyjny polegający na tym, że w art. 2 pkt 11) dyrektywy 2011/83/UE zamieszczono odwołanie do definicji treści cyfrowych znajdującej się w dyrektywie cyfrowej.
Treści cyfrowe oznaczają dane zapisane w postaci cyfrowej, co oznacza dane, dla których odkodowania i przetworzenia na wartość informacyjną niezbędne jest wykorzystanie odpowiednich urządzeń informatycznych i oprogramowania[6]. Określenie „treści cyfrowe” obejmuje m.in. programy komputerowe, aplikacje, gry, pliki wideo, pliki audio, pliki muzyczne, gry elektroniczne, e-booki lub inne publikacje elektroniczne, newslettery czy e-mail marketing, bez względu na to, czy dostęp do nich osiąga się przez pobieranie czy przez odbiór danych przesyłanych strumieniowo, na nośniku materialnym czy przy użyciu jakichkolwiek innych środków. Cechą wspólną treści cyfrowych, niezależnie od tego, w jakiej z wyżej wymienionych form występują, jest to, że mają one postać niematerialną i mogą być wielokrotnie powielane i zapisywane na nośnikach, a ponadto może z nich korzystać potencjalnie nieograniczony krąg użytkowników.
Z kolei zgodnie z art. 2 ust. 2 dyrektywy 2019/770 usługa cyfrowa oznacza usługę pozwalającą konsumentowi na wytwarzanie, przetwarzanie i przechowywanie danych lub dostęp do nich w postaci cyfrowej lub usługę pozwalającą na wspólne korzystanie z danych w postaci cyfrowej, które zostały przesłane lub wytworzone przez konsumenta lub innych użytkowników tej usługi, lub inne formy interakcji za pomocą takich danych. Przykładami usług cyfrowych są usługi typu oprogramowanie jako usługa, takie jak udostępnianie treści wideo i audio (np. YouTube) oraz innego rodzaju hosting plików, edycja tekstu lub gry oferowane w chmurze obliczeniowej i w mediach społecznościowych, a także usługi typu SaaS, takie jak udostępnianie treści wideo i audio (np. VoD, radia internetowe), jak również dostęp do funkcjonalności konta w sklepach internetowych.
Regulacje dyrektywy cyfrowej odnoszą się nie tylko do umów o dostarczanie treści cyfrowej lub usługi cyfrowej zakładających dostarczanie tych treści bądź usług nie tylko w zamian za zapłatę ceny, ale również w zamian za dane osobowe. W art. 3 ust. 1 akapit 2 dyrektywy cyfrowej wyraźnie wskazuje się, że dyrektywa znajduje zastosowanie, gdy przedsiębiorca dostarcza lub zobowiązuje się dostarczyć konsumentowi treści cyfrowe lub usługę cyfrową, a konsument dostarcza lub zobowiązuje się dostarczyć przedsiębiorcy dane osobowe, z wyjątkiem przypadków, gdy dane osobowe dostarczone przez konsumenta są przetwarzane przez przedsiębiorcę wyłącznie w celu dostarczania treści cyfrowych lub usługi cyfrowej zgodnie z dyrektywą lub w celu umożliwienia przedsiębiorcy spełnienia wymogów prawnych, którym on podlega, a przedsiębiorca nie przetwarza tych danych do żadnych innych celów.
Przepis powyższy należy czytać wraz z art. 3 ust. 1 a) dyrektywy 2011/83/ UE, dodanym przez art. 4 pkt 2) lit. b) dyrektywy Omnibus, który stanowi: „Niniejsza dyrektywa ma również zastosowanie w przypadkach, gdy przedsiębiorca dostarcza lub zobowiązuje się dostarczyć konsumentowi treści cyfrowe, które nie są dostarczane na nośniku materialnym, lub usługę cyfrową, a konsument dostarcza lub zobowiązuje się dostarczyć przedsiębiorcy dane osobowe, z wyjątkiem przypadków, gdy dane osobowe dostarczone przez konsumenta są przetwarzane przez przedsiębiorcę wyłącznie w celu dostarczenia treści cyfrowych, które nie są dostarczane na nośniku materialnym, lub usługi cyfrowej zgodnie z niniejszą dyrektywą lub w celu umożliwienia przedsiębiorcy spełnienia wymogów prawnych, którym on podlega, a przedsiębiorca nie przetwarza tych danych do żadnych innych celów”.
Wprowadzenie zacytowanego przepisu do dyrektywy 2011/83/UE powoduje rozszerzenie zakresu stosowania dyrektywy w sprawie praw konsumentów na umowy o dostarczanie treści lub usług cyfrowych w zamian za środki niepieniężne, takie jak dane osobowe, co stanowi jednocześnie systemowe ujednolicenie regulacji umów o dostarczanie treści cyfrowych i umów o dostarczanie usług cyfrowych. Zatem w chwili obecnej konsument, który w ramach świadczenia wzajemnego dostarcza lub zobowiązuje się do dostarczenia przedsiębiorcy danych osobowych, ma zagwarantowaną ochronę prawną zarówno w zakresie aspektów regulowanych przez dyrektywę 2019/770, tj. w zakresie środków ochrony prawnej na wypadek stwierdzenia niezgodności dostarczonych treści lub usług z umową (w tym prawo do żądania doprowadzenia do stanu zgodności z umową oraz prawo do odstąpienia od umowy), jak i w zakresie rozwiązań przewidzianych przez dyrektywę w sprawie praw konsumentów (dyrektywę 2011/83/UE), tj. w szczególności w zakresie obowiązków informacyjnych, jakie powinien spełnić przedsiębiorca wobec konsumenta przed zawarciem umowy oraz w zakresie uprawnień konsumenta związanych z odstąpieniem od umowy.
W prawie polskim omawiane regulacje od 1 stycznia 2023 r. znajdą odzwierciedlenie w art. 3 ust. 1 pkt 11) ustawy o prawach konsumenta, który będzie stanowił, że przepisów ustawy nie stosuje się do umów o dostarczanie treści cyfrowej lub usługi cyfrowej, jeżeli konsument nie jest zobowiązany do świadczeń innych niż dostarczanie danych osobowych, a dane te są przetwarzane przez przedsiębiorcę wyłącznie w celu wykonania umowy lub obowiązku ustawowego.
Odstąpienie od umowy o dostarczanie treści lub usług cyfrowych.
Jak wspomniano wyżej, w związku z objęciem umów o dostarczanie treści lub usług cyfrowych zakresem zastosowania dyrektywy w sprawie praw konsumenta obecnie (w warunkach polskich od 1 stycznia 2023 r.) konsumentowi zawierającemu umowę o dostarczanie treści lub usług cyfrowych przysługuje prawo odstąpienia od umowy w ciągu 14 dni od dnia jej zawarcia, podobnie jak to ma miejsce w przypadku zawarcia umowy na odległość lub poza lokalem przedsiębiorstwa dotyczącej wszystkich innych usług do tej pory objętych zakresem zastosowania dyrektywy 2011/83/UE (w Polsce – ustawy o prawach konsumenta). Oczywiście regulacja ta, lege non distinguente, stosować się będzie także do umów o dostarczanie treści i usług cyfrowych w przypadku, gdy środek płatności po stronie konsumenta stanowią dane osobowe.
Ponadto dyrektywa Omnibus wprowadza dodatkowe unormowanie związane z prawem odstąpienia od umowy o dostarczanie treści cyfrowych. Mianowicie, w przypadku treści cyfrowych niedostarczanych na nośniku materialnym, za które konsument jest zobowiązany do zapłaty ceny (a więc już nie w przypadku, gdy środkiem płatności są dane osobowe), konsument nie ma prawa do odstąpienia od umowy, jeżeli przedsiębiorca rozpoczął świadczenie za wyraźną i uprzednią zgodą konsumenta, który został poinformowany przed rozpoczęciem świadczenia, że po spełnieniu świadczenia przez przedsiębiorcę utraci prawo odstąpienia od umowy, i przyjął to do wiadomości (tj. konsument zażądał udostępnienia treści cyfrowych przed upływem terminu na skorzystanie z prawa odstąpienia przy jednoczesnej rezygnacji z tego prawa). W ustawie o prawach konsumenta rozwiązanie to będzie zawarte w znowelizowanym art. 38 ust. 1 pkt 13) ustawy.
Co jest także istotne, zgodnie z planowanym art. 32a ustawy o prawach konsumenta w przypadku odstąpienia przez konsumenta od umowy o dostarczanie treści cyfrowej lub usługi cyfrowej przedsiębiorca od dnia otrzymania oświadczenia konsumenta o odstąpieniu od umowy nie może wykorzystywać treści innych niż dane osobowe dostarczone lub wytworzone przez konsumenta w trakcie korzystania z treści cyfrowych lub usługi cyfrowej dostarczonych przez przedsiębiorcę, z wyjątkiem treści, które:
są użyteczne wyłącznie w związku z treścią cyfrową lub usługą cyfrową, które stanowiły przedmiot umowy;
dotyczą wyłącznie aktywności konsumenta w trakcie korzystania z treści cyfrowych lub usługi cyfrowej dostarczonych przez przedsiębiorcę;
zostały połączone przez przedsiębiorcę z innymi danymi i nie mogą zostać z nich wydzielone lub mogą zostać wydzielone jedynie przy nakładzie niewspółmiernych wysiłków;
zostały wytworzone przez konsumenta wspólnie z innymi konsumentami, którzy nadal mogą z nich korzystać.
Z wyjątkiem przypadków, o których mowa w punktach 1)-3) przedsiębiorca na żądanie konsumenta udostępnia mu treści inne niż dane osobowe, które zostały dostarczone lub wytworzone przez konsumenta w trakcie korzystania z treści cyfrowych lub usługi cyfrowej dostarczonych przez przedsiębiorcę. Konsument ma prawo odzyskać treści cyfrowe od przedsiębiorcy nieodpłatnie, bez przeszkód ze strony przedsiębiorcy, w rozsądnym terminie i powszechnie używanym formacie przeznaczonym do odczytu maszynowego.
W przypadku odstąpienia od umowy przedsiębiorca może uniemożliwić konsumentowi dalsze korzystanie z treści cyfrowych lub usługi cyfrowej, w szczególności przez uniemożliwienie konsumentowi dostępu do treści cyfrowych lub usługi cyfrowej lub zablokowanie konta użytkownika.
Wyjątki od zasady zastosowania nowych przepisów
Zgodnie z brzmieniem cytowanych powyżej art. 3 ust. 1 akapit 2 dyrektywy cyfrowej oraz art. 3 ust. 1 a) dyrektywy w sprawie praw konsumenta, omawiane regulacje dotyczące dostarczania treści cyfrowych lub usług cyfrowych w zamian za dane osobowe nie znajdą zastosowania w następujących przypadkach:
jeżeli dane osobowe dostarczone przez konsumenta są przetwarzane przez przedsiębiorcę wyłącznie w celu dostarczania treści cyfrowych lub usługi cyfrowej;
jeżeli dane osobowe dostarczone przez konsumenta są przetwarzane przez przedsiębiorcę wyłącznie w celu umożliwienia przedsiębiorcy spełnienia wymogów prawnych.
W pierwszym przypadku chodzi zatem np. o sytuację, w której konsument w celu umożliwienia przesłania żądanej treści cyfrowej podaje swój adres e-mail, który nie będzie przez przedsiębiorcę wykorzystywany w żadnym dodatkowym celu, zaś w drugim – przykładowo o sytuację, gdy przepisy prawa wymagają zidentyfikowania kupującego ze względów bezpieczeństwa lub kontroli obrotu.
Omawiane regulacje a przepisy RODO
Ani przepisy dyrektywy 2019/770, ani dyrektywy Omnibus (a w konsekwencji dyrektywy 2011/83/UE) nie wyłączają zastosowania przepisów rozporządzenia o ochronie danych osobowych[7], ani też ich w żaden sposób nie ograniczają. Wręcz przeciwnie, w dyrektywie Omnibus wskazuje się wprost, że w odniesieniu do danych osobowych konsumenta przedsiębiorca musi wykonywać obowiązki mające zastosowanie na mocy przepisów RODO.
Celem omawianych w niniejszym artykule regulacji nie jest wprowadzenie odrębnych niż wskazane w RODO przesłanek legalizujących przetwarzanie danych osobowych, gdyż – jak podkreślono w motywie 24 dyrektywy cyfrowej – prawo Unii Europejskiej dotyczące ochrony danych osobowych przewiduje wyczerpujący zbiór podstaw prawnych zgodnego z prawem przetwarzania danych osobowych. Celem tych regulacji jest zatem wskazanie konsekwencji cywilnoprawnych – dopuszczalnego na gruncie RODO – mechanizmu „zapłaty” danymi osobowymi[8], w szczególności w zakresie konieczności zapewnienia zgodności treści cyfrowych lub usługi cyfrowej z umową i związanej z tym odpowiedzialności przedsiębiorcy oraz środków ochrony prawnej przysługujących konsumentowi w przypadku braku dostarczenia treści/usług cyfrowych lub ich niezgodności z umową.
Podsumowanie
Wejście w życie omówionych w niniejszym artykule regulacji spowoduje, że rzeczywistość prawna, w jakiej poruszają się przedsiębiorcy, stanie się jeszcze bardziej skomplikowana. Wzajemne przenikanie i uzupełnianie się przepisów z zakresu ochrony danych osobowych oraz z zakresu prawa konsumenckiego spowoduje, że organem właściwym do oceny ewentualnych naruszeń przepisów po stronie przedsiębiorców będzie zarówno Prezes Urzędu Ochrony Konkurencji i Konsumentów, jak i Prezes Urzędu
Ochrony Danych Osobowych. Dla zachowania zgodności z przepisami konieczne będzie w pierwszej kolejności określenie przez przedsiębiorcę, czy produkty, które oferuje, są treściami cyfrowymi bądź usługami cyfrowymi. W przypadku pozytywnej odpowiedzi na to pytanie w celu prawidłowego wypełnienia obowiązków nakładanych na przedsiębiorców nowymi przepisami konieczna będzie modyfikacja stosowanych wobec konsumentów wzorów umów, regulaminów oraz stosownych procesów, w tym również w zakresie obejmującym zasady dostarczania treści i usług cyfrowych w zamian za możliwość przetwarzania danych osobowych w celach innych niż tylko realizacja umowy.
Marta Czeladzka – autorka jest radcą prawnym, specjalizuje się w prawie własności intelektualnej oraz prawie nowych technologii, współpracuje z kancelarią Leśniewski Borkiewicz & Partners S.K.A.
oraz;
[2] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/2161 z dnia 27 listopada 2019 r. zmieniająca dyrektywę Rady 93/13/EWG i dyrektywy Parlamentu Europejskiego i Rady 98/6/WE, 2005/29/WE oraz 2011/83/UE w odniesieniu do lepszego egzekwowania i unowocześnienia unijnych przepisów dotyczących ochrony konsumenta, OJ L 328, 18.12.2019, s. 7–28.
[3] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/770 z dnia 20 maja 2019 r. w sprawie niektórych aspektów umów o dostarczanie treści cyfrowych i usług cyfrowych, OJ L 136, 22.5.2019, s. 1–27.
[4] Dyrektywa Parlamentu Europejskiego i Rady 2011/83/UE z dnia 25 października 2011 r. w sprawie praw konsumentów, zmieniająca dyrektywę Rady 93/13/EWG i dyrektywę 1999/44/WE Parlamentu Europejskiego i Rady oraz uchylająca dyrektywę Rady 85/577/EWG i dyrektywę 97/7/WE Parlamentu Europejskiego i Rady (OJ L 304, 22.11.2011, s. 64–88, z późn. zmianami).
[5] Dz.U.2020.287 t.j. z dnia 2020.02.21.
[6] D. Lubasz, Komentarz do art. 2 [w:] D. Lubasz, M. Namysłowska (red.), Ustawa o prawach konsumenta. Komentarz, Wolters Kluwer, 2015, dostęp: System Informacji Prawnej Lex 2022.
[7] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), OJ L 119, 4.5.2016, s. 1–88.
[8] M. Gumularz, Zapłata danymi osobowymi - co musisz wiedzieć o nowej dyrektywie o dostarczaniu treści cyfrowych i usług cyfrowych, Wolters Kluwer, 2019, dostęp: System Informacji Prawnej Lex 2022.
Dyrektywa Omnibus – płatność danymi osobowymi - PARP - Centrum Rozwoju MŚP
Brak komentarzy:
Prześlij komentarz
» niechaj ci sie darzy«zdrawiam«