Podstawa prawna przetwarzania pozyskanych danych osobowych w kontekście zmian UE (RODO)

Zmiany w prawie UE w zakresie ochrony danych osobowych
Zmiany w prawie UE w zakresie ochrony danychZmiany w prawie UE w zakresie ochrony danych osobowych – Rozporządzenie z dnia 27 kwietnia 2016 roku osobowych

Podstawa prawna przetwarzania pozyskanych danych osobowych.

  1. Podstawa prawna przetwarzania danych użytkowników serwisu w celu realizacji jego głównych funkcji.
  2. Podstawa prawna wykorzystywania danych użytkowników na w oparciu o udzielone zgody na czynności dodatkowe.
  3. Przepisy przejściowe i dalsze wykorzystywanie zgód udzielonych przed 25 maja 2018 roku po przyjęciu RODO do stosowania.
  4. Zmiany legislacyjne w prawie krajowym, a sposób formułowania i pozyskiwania zgód. Porównanie zmian w uśude.

Słownik:

uodo – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

uśude – ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną

prawo telekomunikacyjne – ustawa z dnia 16 lipca 2004 r. Prawo telekomunikacyjne

pakiet legislacyjny – projekt ustawy z dnia 12 września 2017 roku „Przepisy wprowadzające ustawę o ochronie danych osobowych” w brzmieniu sformułowanym przez Ministerstwo Cyfryzacji

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

GIODO – Generalny Inspektor Ochrony Danych Osobowych

UKE – Urząd Komunikacji Elektronicznej

NSA – Naczelny Sąd Administracyjny

WSA – Wojewódzki Sąd Administracyjny

Autor: Karol Cieniak, prawnik, Dyrektor Działu Prawnego RBDO | Specjalista ds. ochrony danych osobowych

Copyright. Opracowanie autorskie. Wydawnictwo RBDO.PL

Wszelkie prawa zastrzeżone. Cytowanie i publikowanie bez zgody wydawcy RBDO.PL zabronione. Prośby o zgodę na wykorzystanie materiału prosimy wysyłać na adres: biuro@rbdo.pl

  1. Podstawa prawna przetwarzania pozyskanych danych osobowych.

Podmiot będący operatorem serwisu jest administratorem danych osobowych użytkowników dokonujących rejestracji w serwisie, ponieważ decyduje o celach i środkach przetwarzania w rozumieniu art. 7 pkt 4 uodo (ustala cele i sposoby przetwarzania w rozumieniu art. 4 pkt 7 RODO). Każdy administrator danych zobowiązany jest posiadać podstawę prawną do przetwarzania danych osobowych, przy czym sama definicja przetwarzania – zarówno w dotychczasowym stanie prawnym, jak i od 25 maja 2018 roku jest  bardzo szeroka i obejmuje choćby samo ich zbieranie lub przechowywanie. Jednocześnie, operator serwisu jest usługodawcą w rozumieniu art. 2 pkt 6 uśude, zaś użytkownik serwisu jest usługobiorcą w rozumieniu art. 2 pkt 7 uśude, z czego wynika, że zastosowanie znajdują przepisy rozdziału 4 uśude, które stanowią lex specialis w stosunku do przepisów uodo zawierających katalog ustanawiający podstawy prawne, na którym przetwarzane mogą być dane osobowe, jak podkreślono w wyroku WSA w Warszawie z 15 listopada 2011 roku (II SA/Wa 1511/12).

W  dotychczasowym stanie prawnym katalog zawierający możliwe do zastosowania podstawy prawne przetwarzania danych osobowych zwykłych został ściśle określony w art. 23 ust. 1 pkt 1-5 uodo i w kontekście rozpatrywanych zagadnień nie zawiera istotnych różnic w stosunku do katalogu podstaw prawnych zawartego w art. 6 ust. 1 lit. a-f RODO.

Zgodnie z art. 57 projektowanego pakietu legislacyjnego uchylone zostaną dotychczasowe przepisy szczególne w stosunku do uodo (także odrębne wymagania dotyczące zgód na przetwarzanie danych osobowych). Pojęcie zgody w rozumieniu uśude będzie ujednolicone z pojęciem zgody w rozumieniu RODO, uchylony zostanie też między innymi obecny przepis art. 18 ust. 4 uśude nakładający wymóg uzyskania odrębnej zgody na działania reklamowa usługodawcy, co będzie skutkowało zastosowanie ogólnych reguł dotyczących przetwarzania danych osobowych przewidzianych w RODO. Szczegółowe porównanie obecnej treści uśude do zmian wprowadzonych w pakiecie legislacyjnych zawarte jest w lit. d niniejszego rozdziału

W kontekście rozpatrywanych zagadnień znaczenie posiadają następujące podstawy prawne przetwarzania danych osobowych:

  1. Przetwarzanie danych osobowych na podstawie udzielonej zgody przez osobę, której dane dotyczą – wskazana w art. 23 ust. 1 pkt 1 uodo oraz art. 6 ust. 1 lit. a RODO w zw. z treścią art. 18 ust. 4 uśude.
  2. Przetwarzanie danych osobowych w zakresie niezbędnym do realizacji umowy z osobą, której dane dotyczą – wskazana w art. 23 ust. 1 pkt 3 uodo w zw. z art. 18 ust. 1-5 uśude oraz art. 6 ust. 1 lit. b RODO.
  3. Przetwarzanie danych osobowych w prawnie usprawiedliwionym celu administratora danych osobowych – prowadzenia marketingu bezpośredniego własnych produktów lub usług – wskazana w art. 23 ust. 1 pkt 5 w zw. z art. 23 ust. 4 pkt 1 uodo oraz 6 ust. 1 lit. f w zw. z motywem 47 preambuły RODO, przy czym RODO stanowi wprost jedynie o marketingu bezpośrednim, bez doprecyzowania, że chodzi o własne produkty lub usługi. W obecnym stanie prawnym ta podstawa prawna jest ograniczona poprzez przepis szczególny art. 18 ust. 4 uśude, który wymaga zgody na przetwarzanie danych osobowych usługobiorcy w celach reklamowych (co może być utożsamiane z celami marketingowymi), a więc zawęża możliwość oparcia się przez usługodawcę (operatora serwisu) na podstawie prawnie usprawiedliwionego celu w postaci własnych produktów lub usług (co byłoby możliwe, gdyby świadczono usługi inne niż te, do których zastosowanie mają przepisy szczególne uśude). Wedle projektu Ministerstwa Cyfryzacji (pakiet legislacyjny) obecny przepis art. 18 ust. 4 ma zostać uchylony.
  4. Podstawa prawna przetwarzania danych użytkowników serwisu w celu realizacji jego głównych funkcji.

Podstawą prawną do przetwarzania danych osobowych użytkowników serwisu dokonujących w nim rejestracji w zakresie związanym  z umożliwieniem jego funkcjonowania i działania nie jest zgoda, a niezbędność do realizacji umowy, której użytkownik jest stroną – a więc podstawa prawna wskazana w art. 23 ust. 1 pkt 3 uodo w zw. z art. 18 ust. 1-5 uśude oraz w art. 6 ust. 1 lit. a RODO. W tym kontekście wskazane w klauzuli nr 1 sformułowanie: (…) oraz wyrażam zgodę na przetwarzanie moich danych osobowych przez XXXXXX z siedzibą w Warszawie w celu realizacji usług dostępnych w Serwisie należy uznać na nieprawidłową kwalifikację podstawy prawnej przetwarzania danych użytkowników (zarówno na gruncie uodo, jak i RODO). Co więcej, gdyby przyjąć, że podstawą prawną przetwarzania danych użytkowników serwisu jest zgoda, to sama forma jej wyrażenia wskazana w klauzuli nr 1 jest nieprawidłowa, ponieważ w rozumieniu dotychczasowej definicji zgody zawartej w art. 7 ust. 5 uodo, gdyż zgoda „nie może być (…)dorozumiana z oświadczenia woli o innej treści”, a treścią oświadczenia woli składanego poprzez klauzulę nr 1 jest zaakceptowanie warunków umowy wskazanych w regulaminie.

Należy podkreślić, że w obecnym stanie prawnym w prawie krajowym obowiązują bardziej rygorystyczne przepisy dotyczące wykorzystania danych usługobiorcy przez usługodawcę jako administratora danych w porównaniu do stanu po 25 maja 2018 roku, jeżeli zachowane zostaną rozwiązania przewidziane w art. 57 pakietu legislacyjnego, dotyczących ujednolicenia pojęcia zgody oraz uchylenia przepisów stanowiących obecnie lex specialis do uodo, ustanowionych w szczególności w art. 18 oraz 19 uśude.

 

  1. Podstawa prawna wykorzystywania danych użytkowników na w oparciu o udzielone zgody na czynności dodatkowe.

Odrębnym zagadnieniem jest wskazanie podstawy prawnej w stosunku do danych osobowych przetwarzanych w celu wykraczającym poza niezbędność do realizacji umowy (zapewnienia możliwości korzystania z funkcjonalności serwisu). Takim celem jest wysyłanie informacji handlowych na wskazany adres poczty elektronicznej, przy czym należy odróżnić dwie sytuacje:

  1. Marketing bezpośredni własnych produktów lub usług

Jak wskazano w wyroku WSA w Warszawie (II SA/Wa 1061/08) każda z podstaw prawnych zawartych w art. 23 ust.1 pkt 1-5  uodo (podobnie jak i w art. 6 ust. 1 lit-a-f RODO) stanowi odrębną i niezależną podstawę do przetwarzania danych osobowych, a więc jeżeli możliwe jest wykazanie choć jednej z nich do realizowania określonego celu, nie jest konieczne wskazywanie innej podstawy prawnej. Konsekwencją powyższego jest fakt, że wszelkie działania operatora serwisu, które można zakwalifikować jako marketing bezpośredni własnych produktów lub usług nie wymagają uzyskania zgody na przetwarzanie danych osobowych. W odróżnieniu od dotychczasowego stanu prawnego, motyw 47 RODO stanowi wprost, że za „działanie w wykonywane w prawnie uzasadnionym interesie można uznać przetwarzanie danych osobowych do celów marketingu bezpośredniego – brakuje w nim jednak obecnego w dotychczasowym stanie prawnym określenia „własnych”, co może stanowić argument za stwierdzeniem, że z dniem  25 maja 2018 roku podstawa prawna prawnie uzasadnionego interesu będzie mogła znaleźć szersze zastosowanie niż dotychczas, ponieważ definicja „marketingu bezpośredniego” została zawarta w art. 1 rekomendacji R(85)20 Komitetu Ministrów dla Państw Członkowskich z 25 października 1985 roku, i sama w sobie nie zawiera ograniczenia wyłącznie do oferowania własnych produktów lub usług:

„Przez marketing bezpośredni należy rozumieć ogół działań, jak również wszelkich dotyczących go usług pomocniczych, umożliwiających oferowanie produktów lub usług bądź przekazywanie innych informacji do grupy ludności – za pośrednictwem poczty, telefonu lub innych bezpośrednich środków – w celach informacyjnych bądź w celu wywołania reakcji ze strony osoby, której dane dotyczą.”

Przy kwalifikacji podstawy prawnej należy być jednak konsekwentnym, a więc jeżeli spółka będąca operatorem serwisu wskaże jako podstawę prawną prowadzenie działań marketingowych wobec użytkowników serwisu „prawnie usprawiedliwiony cel” jako „marketing własnych produktów lub usług” należy wypełnić obowiązek informacyjny obejmujący ten cel przetwarzania, i jednocześnie zapewnić możliwość wyrażenia sprzeciwu co do wykorzystywania danych użytkowniku w celach marketingowych – należy przy tym pamiętać, że sprzeciw nie jest odwołaniem zgody (która w tym przypadku w ogóle nie byłaby wyrażana). Powyższa uwaga dotyczy jednak stanu prawnego po 25 maja 2018 roku, przy założeniu, że wejdą w życie postanowienia art. 57 pakietu legislacyjnego w pierwotnej treści, ponieważ w dotychczasowym stanie prawnym treść art. 18 ust. 4 uśude wyklucza możliwość wskazania rzez usługodawcę prawnie usprawiedliwionego interesu w postaci marketingu własnych produktów lub usług jako podstawy prawnej przetwarzania danych usługobiorcy poprzez nałożenie na usługodawcę obowiązku uzyskiwania zgody usługobiorcy do przetwarzania jego danych w celach reklamowych.

  1. Marketing bezpośredni produktów lub usług innych podmiotów

Art. 23 ust. 4 pkt 1 zawiera jedynie przykładowe wyliczenie działań, które mogą być kwalifikowane jako prawnie usprawiedliwiony cel, poprzez użycie zwrotu w szczególności przepis ten zawiera katalog otwarty, a więc nie wyklucza uznania innych działań jako prawnie usprawiedliwiony cel.

Jednak w praktyce, z uwagi na stanowisko prezentowane przez GIODO w linii orzeczniczej (decyzje GI-DEC-DS-129/04 oraz DOLiS-440-275/09 ) oraz w aktualnych  komunikatach zawartych na oficjalnej stronie(http://www.giodo.gov.pl/pl/259/10003): „Nie istnieją bowiem przepisy prawa, które pozwalałyby na przesyłanie oferty marketingowej innego podmiotu bez zgody osoby, której dane dotyczą. Nawet zawarcie przez oba pomioty umowy w sprawie wzajemnej promocji nie jest wystarczającą podstawą do uznania, że wysyłanie oferty marketingowej podmiotu współpracującego jest prawnie usprawiedliwionym celem administratora danych.”. wprost przyjmuje się, że działania marketingowe na rzecz podmiotów innych niż administrator danych nie mogą być kwalifikowane jako „prawnie usprawiedliwiony cel administratora danych”, nawet jeżeli dotyczy to usług lub produktów wspólnych, z czego wynika, że na działania marketingowe dotyczące produktów lub usług innych podmiotów niż operator serwisu, konieczne jest wyrażenie zgody na przetwarzanie danych osobowych w tym celu, przy czym powinno być jasno wskazane, że zgody dotyczy właśnie produktów lub usług innych podmiotów.

Powyższa uwaga dotyczy dotychczasowego stanu prawnego – nie sposób przewidzieć w jakim kierunku pójdzie interpretacja nowego organu nadzorczego po 25 maja 2018 roku, natomiast zmiany legislacyjne prowadzą do uchylenia przepisów, na podstawie których GIODO opierał swoją argumentację przytoczona powyżej.

Jeżeli klauzula nr 2 (Wyrażam zgodę na przetwarzanie moich danych osobowych przez XXXXXX w celach marketingowych.)  miałaby stanowić podstawę prawną do przetwarzania danych osobowych użytkowników serwisu w celu marketingu bezpośredniego produktów lub usług innych podmiotów, to należałoby to wyraźnie określić w treści klauzuli –  należałoby więc dodać do klauzuli nr 2 jasno wskazujące na to sformułowanie. W dotychczasowym stanie prawnym nie jest możliwe przetwarzanie danych osobowych w celu prowadzenia marketingu bezpośredniego produktów lub usług podmiotów innych niż administrator ( a w przypadku usługodawcy w rozumieniu uśude zgoda jest konieczna nawet na marketing własnych produktów lub usług, z uwagi na art. 18 ust. 4 uśude) jako prawnie usprawiedliwiony cel, należy jednak dostrzec uwagi dokonane w pkt 1 dotyczące odmiennej definicji prawnie uzasadnionego interesu w RODO.

  1. Przepisy przejściowe i dalsze wykorzystywanie zgód udzielonych przed 25 maja 2018 roku po przyjęciu RODO do stosowania.

RODO zostanie przyjęte do stosowania z dniem 25 maja 2018 roku, zgodnie z motywem 171 preambuły RODO, „(…) przetwarzanie, które w dniu rozpoczęcia stosowania niniejszego rozporządzenia już się toczy, powinno w terminie dwóch lat od wejścia niniejszego rozporządzenia w życie zostać dostosowane do jego przepisów. Jeżeli przetwarzanie ma za podstawę zgodę w myśl dyrektywy 95/46/WE, osoba, której dane dotyczą, nie musi ponownie wyrażać zgody, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom niniejszego rozporządzenia; dzięki temu administrator może kontynuować przetwarzanie po dacie rozpoczęcia stosowania niniejszego rozporządzenia. (…)”.

Z czego wynika, że od dnia 24 maja 2016 roku (dzień wejścia w życie) do dnia 24 maja 2018 (dzień przyjęcia do stosowania) istnieje okres przejściowy, w którym wszelkie elementy, które mogą powodować niezgodność z przepisami RODO powinny zostać dostosowane do nowych przepisów. W szczególności dotyczy to warunków, jakim powinna odpowiadać zgoda na przetwarzanie danych. Jeżeli klauzule zgód stosowane dotychczasowo nie spełniają warunków RODO, do dnia 24 maja należy odebrać prawidłowe zgody, inaczej nie będzie można przetwarzać danych osobowych na podstawie zgód niezgodnych z RODO. Analiza warunków, jakim powinna odpowiadać klauzula zgody w świetle RODO została zawarta w części IV.

  1. Zmiany legislacyjne w prawie krajowym, a sposób formułowania i pozyskiwania zgód. Rola wytycznych grupy roboczej art. 29. Znaczenie tzw. rozporządzenia „e-privacy”.

Dnia 13 września Ministerstwo Cyfryzacji wydało projekt nowej ustawy „o ochronie danych osobowych” oraz ustawy „przepisy wprowadzające ustawę o ochronie danych osobowych” (https://www.gov.pl/cyfryzacja/konsultacje-spoleczne-projektu-przepisow-wdrazajacych-ogolne-rozporzadzenie-o-ochronie-danych-rodo-). Jednak nie będą to akty prawne, których celem będzie zastąpienie regulacji zawartych w RODO, a jedynie doprecyzowanie tych elementów, które RODO pozostawia do uregulowania na szczeblu krajowym. RODO będzie od 25 maja 2018 roku stosowane bezpośrednio (w odróżnieniu od dyrektywy – tak, jakby było ustawą) a zatem niezależnie od ostatecznego kształtu przepisów krajowych nie ulegną zmianie zasady formułowania zgód z uwagi na treść prawa krajowego.

Najistotniejsze zmiany przepisów szczególnych dotyczących przetwarzania danych osobowych usługobiorców przez usługodawcę w rozumieniu uśude zawarte w art. 57 pakietu legislacyjnego zostały przytoczone poniżej:

  1. Obecna treść art. 4 uśude:

Art. 4.

  1. Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, to zgoda ta:

1) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;

2) może być odwołana w każdym czasie.

  1. Usługodawca wykazuje uzyskanie zgody, o której mowa w ust. 1, dla celów dowodowych.

Treść art. 4 uśude określona w art. 57 pakietu legislacyjnego:

Art. 4. Do uzyskania zgody usługobiorcy zastosowanie mają przepisy o ochronie danych osobowych.

  1. Obecna treść art. 10 ust. 2 uśude:

Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji, w szczególności udostępnił w tym celu identyfikujący go adres elektroniczny.

Treść art. 10 ust. 2 uśude określona w art. 57 pakietu legislacyjnego:

Informację handlową uważa się za zamówioną, jeżeli odbiorca wyraził zgodę na otrzymywanie takiej informacji.

Należy dostrzec, że zachowana ma być dotychczasowa treść art. 10 ust. 1 uśude, ustanawiająca zakaz przesyłania niezamówionej informacji handlowej:

Zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej, w szczególności poczty elektronicznej.

  1. Dotychczasowa treść art. 18 ust 1-4 uśude ma zostać uchylona. W szczególności istotne jest uchylenia ust.
  2. Usługodawca może przetwarzać następujące dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi:

1) nazwisko i imiona usługobiorcy;

2) numer ewidencyjny PESEL lub – gdy ten numer nie został nadany – numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość;

3) adres zameldowania na pobyt stały;

4) adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 3;

5) dane służące do weryfikacji podpisu elektronicznego usługobiorcy;

6) adresy elektroniczne usługobiorcy.

  1. W celu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą, usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia.
  2. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną zgodnie z art. 22 ust. 1.
  3. Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów określonych w art. 19 ust. 2 pkt 2, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.

Modyfikacji ulegnie treść ust. 5 i 6 przytaczanego artykułu.

  1. Dotychczasowa treść art. 19 ust. 1-2 oraz 4-5 ma zostać uchylona. W szczególności istotne jest uchylenia ust. 2 pkt 2. Zachowane zostanie zaś dotychczasowe brzmienie ust. 3.
  2. Usługodawca nie może przetwarzać danych osobowych usługobiorcy po zakończeniu korzystania z usługi świadczonej drogą elektroniczną, z zastrzeżeniem ust. 2.
  3. Po zakończeniu korzystania z usługi świadczonej drogą elektroniczną usługodawca, na zasadach określonych w ust. 3–5, może przetwarzać tylko te spośród danych określonych w art. 18, które są:

1) niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi;

2) niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, za zgodą usługobiorcy; 3

(…)

Pakiet legislacyjny w art. 69 przewiduje zmiany podobnej natury poprzez wprowadzenie odniesienia do art. 174 prawa telekomunikacyjnego:

  1. Dotychczasowa treść art. 174 prawa telekomunikacyjnego:

Art. 174. Jeżeli przepisy ustawy wymagają wyrażenia zgody przez abonenta lub użytkownika końcowego, zgoda ta:

1) nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści;

2) może być wyrażona drogą elektroniczną, pod warunkiem jej utrwalenia i potwierdzenia przez użytkownika;

3) może być wycofana w każdym czasie, w sposób prosty i wolny od opłat.

Treść art. 174 prawa telekomunikacyjnego określona w art. 69 pakietu legislacyjnego:

Art. 174. Do uzyskania zgody abonenta lub użytkownika końcowego zastosowanie mają przepisy o ochronie danych osobowych

  1. Uchylone zostaną art. 174a-174d prawa telekomunikacyjnego.

Z komunikatu sformułowanego przez grupę roboczą art. 29 wynika, że planowane jest wydanie do grudnia 2017 roku (http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083) wytycznych w przedmiocie zgód na przetwarzanie danych osobowych w rozumieniu RODO. Grupa robocza ds. art. 29 jest ciałem, które od dnia 25 maja 2018 roku przekształci się w Europejską Radę Ochrony Danych Osobowych (EROD), co ma być powiązane z przyjęciem (zatwierdzeniem) przez ten organ wytycznych wydanych jeszcze przez grupę roboczą jako oficjalne dokumenty. Choć na poziomie powszechnie obowiązujących przepisów nie będzie regulacji, które będą precyzowały sposób pozyskiwania zgód, to wykazanie przez administratora danych spełnienia kryteriów wskazanych w wytycznych EROD będzie stanowiło istotny argument potwierdzający prawidłowości pozyskania danych.

Niezależnie od obowiązków wynikających z przyjęcia RODO należy pamiętać o tym że obecnie ma szczeblu Komisji Europejskiej toczą się prace nad tzw. rozporządzeniem „e-privacy” (rozporządzenie w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylające dyrektywę 2002/58/WE (rozporządzenie w sprawie prywatności i łączności elektronicznej)). Tak, jak można powiedzieć, że RODO zastąpi obecną ustawę o ochronie danych z 1997 roku, tak rozporządzenie „e-privacy” ma zastąpić ustawę o świadczeniu usług drogą elektroniczną z 2002 roku. Tekst projektu tego rozporządzenia jest dostępny od stycznia 2017 roku  (https://ec.europa.eu/digital-single-market/en/news/proposal-regulation-privacy-and-electronic-communications) – w wielu miejsca zawiera on postanowienia w zakresie zgód na przetwarzanie danych pochodzących z łączności elektronicznej odnoszące się do postanowień RODO, jednak na obecnym etapie wciąż jest możliwych wiele zmian w jego treści. Z porównania projektu wspomnianego rozporządzenia „e-privacy” oraz nowelizacji uśude zawartej w projekcie pakietu legislacyjnego uzasadniony wydaje się wniosek, że krajowy ustawodawca wychodzi naprzeciw przyszłym zmianom legislacyjnym – w szczególności poprze ujednolicenie przepisów dotyczących podstaw prawnych przetwarzania danych.

 

Autor: Karol Cieniak, prawnik, Dyrektor Działu Prawnego RBDO | Specjalista ds. ochrony danych osobowych

Copyright. Opracowanie autorskie. Wydawnictwo RBDO.PL

Wszelkie prawa zastrzeżone. Cytowanie i publikowanie bez zgody wydawcy RBDO.PL zabronione. Prośby o zgodę na wykorzystanie materiału prosimy wysyłać na adres: biuro@rbdo.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *