WKB Legal Alert | Implementacja dyrektywy Omnibus: zmiany w prawie krajowym. Część 2
Unijna dyrektywa Omnibus jeszcze przed uchwaleniem określana była mianem New Deal dla konsumentów. Jej implementacja do polskiego porządku prawnego może wprowadzić sporą rewolucję nie tylko w kwestii samego komunikowania się z konsumentami (szczególnie w świecie cyfrowym), lecz także w ich zwyczajach zakupowych. To, w jaki sposób zmienią się wymagania stawiane przedsiębiorcom, będą wyjaśniać eksperci WKB w tej i w kolejnych częściach niniejszego cyklu.
Usługi płatne czy bezpłatne? Nowe obowiązki przedsiębiorców w przypadku „płatności” danymi osobowymi
Opublikowany w lipcu projekt ustawy implementującej dyrektywę Omnibus[1] („Projekt ustawy”) przewiduje, że ustawa o prawach konsumenta[2] („UPK”), m.in. w zakresie obowiązków informacyjnych, będzie miała zastosowanie do nowej kategorii umów – umów, w których za otrzymane treści lub usługi cyfrowe „płacimy” danymi osobowymi. Jednak nie każda taka umowa będzie podlegać nowym regulacjom. Poniżej sygnalizujemy, jakie umowy mogą podpadać pod nowe rozwiązania.
Co znajdziemy w nowych przepisach?
Projekt ustawy wskazuje, że przepisy UPK będą stosowane do umów, na podstawie których:
- przedsiębiorca zobowiązał się dostarczyć lub dostarczył treści cyfrowe niedostarczane na nośniku materialnym, lub usługi cyfrowe, a
- konsument zobowiązał się udostępnić lub udostępnił przedsiębiorcy dane osobowe.
Aby stwierdzić, czy nowe regulacje mają zastosowanie, trzeba będzie ustalić w pierwszej kolejności, czy przedsiębiorca dostarcza treść lub usługę cyfrową. Treść cyfrowa została już zdefiniowana w UPK. Natomiast czym jest usługa cyfrowa, dowiemy się z projektu innej ustawy[3] – ustawy implementującej tzw. dyrektywę towarową[4] i dyrektywę cyfrową[5]. Takie rozbicie projektów, które – jak się wydaje – powinny być procedowane równolegle, może wprowadzić niemałe zamieszanie, gdyby ustawa implementująca dyrektywę Omnibus weszła w życie wcześniej niż ustawa implementująca pozostałe dyrektywy.
Już teraz wiemy jednak, że za usługi cyfrowe będą uznawane m.in. usługi wymiany treści wideo i audio, gry oferowane w chmurze, usługi przechowywania danych w chmurze, poczty elektronicznej, mediów społecznościowych. Okazuje się zatem, że wiele usług, które do tej pory postrzegaliśmy jako darmowe, wcale nie musi takimi być. Co więcej, wymieniony katalog, określony w uzasadnieniu do Projektu ustawy, nie jest zamknięty. Można się zatem spodziewać, że niektóre usługi – póki co – niewymienione przez projektodawcę, również będą w praktyce objęte nowymi regulacjami. Pytanie o podleganie regulacjom ustawy o prawach konsumenta może dotyczyć np. umów ramowych, na podstawie których następuje jedynie „wprowadzenie” konsumenta do systemów, które pozwalają na zawieranie poszczególnych transakcji, np. umowa „darmowego” konta w serwisie oferującym zakup filmów do oglądania online.
Istotne będzie również ustalenie, czy udostępnienie danych osobowych następuje w ramach tej samej umowy, co dostarczenie treści lub usługi cyfrowej. Ani Projekt ustawy, ani dyrektywa Omnibus, nie rozwijają jednak tego wątku. Może zatem pojawić się pytanie, co z sytuacjami, gdy przekazanie danych osobowych w zamyśle przedsiębiorcy nie ma być formą odpłatności za usługę, ale następuje niejako „przy okazji” świadczenia usługi bądź dostarczania treści cyfrowej, np. dane osobowe zbierane są wyłącznie w celach statystycznych.
Kiedy ustawa o prawach konsumenta nie znajdzie zastosowania?
Projekt przewiduje 3 wyłączenia od ogólnej zasady opisanej wyżej. Przepisów UPK nie będzie się stosować do wskazanych umów, jeżeli dane osobowe będą przetwarzane przez przedsiębiorcę wyłącznie w celu:
- dostarczenia treści cyfrowych niedostarczanych na nośniku materialnym lub usługi
cyfrowej, - poprawy bezpieczeństwa, kompatybilności lub interoperacyjności oprogramowania oferowanego na podstawie wolnej i otwartej licencji, lub
- wykonania obowiązku ustawowego, a przedsiębiorca nie przetwarza tych danych do żadnych innych celów.
W istocie te wyjątki mają bardzo wąski zakres stosowania i trudno wyznaczyć rodzajowo umowy, które byłyby wyłączone spod nowej regulacji, np. wspomniane umowy konta w serwisie internetowym. Zatem to cechy konkretnej umowy będą decydować o tym, czy umowa podlega przepisom UPK, czy nie. Tymczasem wielu przedsiębiorców wykorzystuje zbierane dane w celach marketingowych lub wskazanych wcześniej celach statystycznych. Wydaje się, że w większości takich wypadków przedsiębiorca będzie jednak musiał dostosować się do przepisów UPK.
Na marginesie warto wspomnieć też o tym, że kwestia wykorzystania przez przedsiębiorców wyłącznie metadanych (uwzględniona w motywach dyrektywy Omnibus) nie doczekała się regulacji w Projekcie ustawy.
Czy zgodność działania przedsiębiorcy z RODO ma znaczenie?
W pracach nad dyrektywą Omnibus podkreślana była konieczność stosowania przepisów RODO[6] do przetwarzania danych. Ma to znaczenie przy określaniu, jaka podstawa prawna przetwarzania danych osobowych jest właściwa przy przetwarzaniu danych osoby fizycznej dla danego celu.
Przyjęta podstawa prawna przetwarzania ma jednak pośrednie znaczenie dla oceny, czy „darmowa” usługa będzie podlegała ochronie konsumenckiej na podstawie projektowanych przepisów. Można przy tym zaryzykować stwierdzenie, że inna podstawa prawna przetwarzania, niż realizacja umowy lub obowiązki prawne dostawcy usług, będzie jedną z przesłanek do przyjęcia, że rzeczywiście doszło do zapłaty danymi osobowymi za otrzymaną usługę. W takim wypadku UPK powinno być więc stosowane.
W związku z tym, sama zgodność podstawy przetwarzania danych osobowych z RODO jeszcze nie przesądza o tym, że przedsiębiorca wykonał wszystkie ciążące na nim obowiązki. Ocena pod kątem zgodności jego działania z ustawą o prawach konsumenta powinna być zatem przeprowadzana niezależnie, z uwzględnieniem specyfiki prawa konsumenckiego.
W przypadku jakichkolwiek pytań serdecznie zapraszamy do kontaktu z naszymi prawniczkami z zespołu prawa konkurencji i prawa konsumenckiego oraz zespołu prawa własności intelektualnej i TMT: Dorotą Karczewską, Anną Grzybowską lub Karoliną Miksą.
Alert można pobrać TUTAJ.
[1] Dyrektywa Parlamentu Europejskiego i Rady 2019/2161 z dnia 27 listopada 2019 r. dotycząca lepszego egzekwowania i unowocześnienia unijnych przepisów regulujących ochronę konsumenta (Dz. U. UE. L. z 2019 r. Nr 328, str.7).
[2] Ustawa z dnia 30 maja 2014 r. o prawach konsumenta (tj. Dz. U. z 2020 r. poz. 287 z późn. zm.).
[3] Projekt ustawy o zmianie ustawy o prawach konsumenta oraz ustawy – Kodeks cywilny, nr UC53, https://legislacja.rcl.gov.pl
[4] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/771 z dnia 20 maja 2019 r. w sprawie niektórych aspektów umów sprzedaży towarów, zmieniająca rozporządzenie (UE) 2017/2394 oraz dyrektywę 2009/22/WE i uchylająca dyrektywę 1999/44/WE (Dz. U. UE. L. z 2019 r. Nr 136, str. 28 z późn. zm.).
[5] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/770 z dnia 20 maja 2019 r. w sprawie niektórych aspektów umów
o dostarczanie treści cyfrowych i usług cyfrowych (Dz. U. UE. L. z 2019 r. Nr 136, str. 1 z późn. zm.).
[6] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).