Zmiany w ustawie Prawo telekomunikacyjne i ustawie o świadczeniu usług drogą elektroniczną

W tej części cyklu poświęconego ustawie o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 omówione zostaną zmiany w dwóch ustawach tj. ustawie z dnia 16 lipca 2004 r. − Prawo telekomunikacyjne (dalej: PT), oraz w ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (dalej: UŚUDE).

Omówienie dwóch aktów prawnych w jednym artykule podyktowane jest częściowo pokrywającym się zakresem uchwalonych zmian znajdujących się w szczególnym obszarze zainteresowania sektora e-commerce. Zarówno PT jak i UŚUDE w kwestii przesyłania informacji handlowych/marketingu bezpośredniego nazywane są popularnie regulacjami antyspamowymi. Wprowadzone zmiany mają na celu dostosowanie przepisów do treści RODO.

ZGODA NA MARKETING BEZPOŚREDNI / PRZESYŁANIE NIEZAMÓWIONYCH INFORMACJI HANDLOWYCH

UŚUDE

1) art. 4 otrzymuje brzmienie:

„Art. 4. Jeżeli ustawa wymaga uzyskania zgody usługobiorcy, stosuje się przepisy o ochronie danych osobowych.”;

PT:

5) art. 174 otrzymuje brzmienie:

„Art. 174. Do uzyskania zgody abonenta lub użytkownika końcowego stosuje się przepisy o ochronie danych osobowych.”;

Historycznie zagadnienie przetwarzania danych w obydwu analizowanych aktach prawnych wynikało między innymi z implementacji dyrektywy 2002/58 Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 r. dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej (dyrektywa o prywatności i łączności elektronicznej) (Dz.U. L 201 z 31.7.2002, s. 37) (dalej: dyrektywa 2002/58). Art. 13 ust. 1 dyrektywy 2002/58 wskazuje, iż używanie automatycznych systemów wywołujących bez ludzkiej ingerencji (aparaty wywołujące automatycznie), faksów lub poczty elektronicznej do celów marketingu bezpośredniego może być dozwolone jedynie wobec abonentów, którzy uprzednio wyrazili na to zgodę. W tym kontekście należy zwrócić uwagę, iż dyrektywa 2002/58 nie zawiera samodzielnej definicji zgody na przesyłanie informacji handlowej za pomocą środków komunikacji elektronicznej i w tym zakresie odwołuje się do dyrektywy 95/46. Zgodnie z motywem 17 dyrektywy 2002/58 „Do celów niniejszej dyrektywy, zgoda użytkownika lub abonenta, niezależnie od tego czy abonentem jest osoba fizyczna czy prawna, powinna mieć to samo znaczenie co zgoda podmiotu danych opisana i szerzej określona w dyrektywie 95/46/WE. Zgoda może być udzielona w jakikolwiek sposób umożliwiający swobodne i świadome wyrażenie woli użytkownika, włączając zaznaczenie okna wyboru podczas przeglądania witryny internetowej”. Zgodnie z treścią art. 94 ust. 1 RODO „Dyrektywa 95/46/WE zostaje uchylona ze skutkiem od dnia 25 maja 2018 r. W związku z tym porządkując rodzime regulacje należało odwołać się do przepisów zawartych w RODO a dot. zgody tj. w szczególności w art. 4 ust. 11, art. 7 oraz art. 8 RODO, a także art. 3 projektowanej ustawy o ochronie danych osobowych, realizujący kompetencję wskazaną w art. 8 ust. 1 in fine RODO w zakresie zgody dziecka.

Reasumując, po przyjęciu nowelizacji pojęcie zgody w PT i UŚUDE ma to samo znaczenie co w RODO.

Na łamach GDPR.PL kilkukrotnie pisaliśmy o „zgodzie” oraz warunkach jej wyrażania i w tym zakresie odsyłamy do:

https://gdpr.pl/przejscie-ze-starego-do-nowego-porzadku-prawnego-ochrony-danych-osobowych-zgoda-oraz-obowiazek-informacyjny

https://gdpr.pl/dzieci-w-sieci-zgoda-dziecka-w-gdpr
https://gdpr.pl/czy-zgoda-na-przetwarzanie-danych-wyrazona-dzis-bedzie-wazna-w-gdpr

https://gdpr.pl/zgody-na-przetwarzanie-danych-osobowych-w-gdpr-9-rozwiazan

Z praktycznego punktu widzenia ujednolicenie w PT i UŚUDE definicji zgody z jej brzmieniem w treści RODO znacząco wpływa na kwestie marketingu produktów i usług. Przedsiębiorcy mogą mieć teraz pewność, że stosując się do zasad wyrażonych w RODO nie naruszą innych regulacji (antyspamowych).

Polecamy również zapoznanie się z wytycznymi grupy roboczej dotyczącymi zgody:(W259): https://uodo.gov.pl/pl/file/1207

POZOSTAŁE ZMIANY W PT

PT:

W ustawie z dnia 16 lipca 2004 r. − Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 1954, 2245 i 2354) wprowadza się następujące zmiany:

1) w art. 57 w ust. 1 w pkt 2 średnik zastępuje się kropką i uchyla się pkt 3;

2) w art. 78 w ust. 2 pkt 1 otrzymuje brzmienie:

„1) w przypadku abonenta będącego konsumentem:

a) dane, o których mowa w art. 169 ust. 1,

b) adres miejsca zamieszkania i adres korespondencyjny – jeżeli jest on inny niż adres miejsca zamieszkania,

c) numer PESEL − w przypadku obywatela Rzeczypospolitej Polskiej,

d) nazwę, serię i numeru dokumentu potwierdzającego tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej − numer paszportu lub karty pobytu,”;

3) w art. 159 w ust. 1 pkt 1 otrzymuje brzmienie:

„1) dane dotyczące użytkownika, z zastrzeżeniem art. 161 ust. 2;”;

4) w art. 161 ust. 2 otrzymuje brzmienie:

„2. Przetwarzanie danych osobowych użytkownika – innych niż wskazane w art. 159 ust. 1 pkt 2–5 − będącego osobą fizyczną odbywa się na podstawie przepisów o ochronie danych osobowych.”;

Wskazane powyżej zmiany mają charter porządkujący i są konsekwencją zmiany w art. 161 PT.

PT:

W ustawie z dnia 16 lipca 2004 r. − Prawo telekomunikacyjne (Dz. U. z 2018 r. poz. 1954, 2245 i 2354) wprowadza się następujące zmiany:

6) po art. 174 dodaje się art. 174(1) w brzmieniu:

„Art. 174(1). Dostawca publicznie dostępnych usług telekomunikacyjnych obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.59), zwanym dalej „rozporządzeniem 2016/679”, środki ochrony co najmniej:

1) zapewniają, aby dostęp do danych osobowych miała osoba posiadająca pisemne upoważnienie wydane przez administratora danych oraz

2) chronią przechowywane lub przekazywane dane osobowe przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem, oraz

3) zapewniają wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.”;

7) w art. 174a:

a) ust. 1 otrzymuje brzmienie:

„1. Dostawca publicznie dostępnych usług telekomunikacyjnych zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych w terminie i na zasadach określonych w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. Urz. UE L 173 z 26.06.2013, str. 2), zwanym dalej „rozporządzeniem 611/2013”.”,

b) po ust. 2 dodaje się ust. 2a w brzmieniu: „2a. Prezes Urzędu Ochrony Danych Osobowych zapewnia bezpieczne środki elektroniczne służące do powiadamiania o przypadkach naruszenia danych osobowych, o których mowa w ust. 1, oraz informacje dotyczące trybu dostępu do tych środków i ich stosowania.”,

c) ust. 3 otrzymuje brzmienie: „3. W przypadku, gdy naruszenie danych osobowych może mieć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną, dostawca publicznie dostępnych usług telekomunikacyjnych niezwłocznie zawiadamia o takim naruszeniu również abonenta lub użytkownika końcowego na zasadach określonych w rozporządzeniu 611/2013, z zastrzeżeniem ust. 5.”,

d) po ust. 3 dodaje się ust. 3a w brzmieniu: „3a. Zgodę, o której mowa w art. 3 ust. 5 rozporządzenia 611/2013, Prezes Urzędu Ochrony Danych Osobowych wydaje w drodze decyzji.”,

e) ust. 5 otrzymuje brzmienie:

„5. Zawiadomienie, o którym mowa w ust. 3, nie jest wymagane, jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych wykazał wdrożenie technologicznych środków ochrony, o których mowa w art. 4 ust. 1 i 2 rozporządzenia 611/2013, które uniemożliwiają odczytanie danych przez osoby nieuprawnione oraz zastosowanie tych środków do danych, których ochrona została naruszona.”,

f) po ust. 5 dodaje się ust. 5a w brzmieniu:

„5a. Dostawca publicznie dostępnych usług telekomunikacyjnych wykazuje spełnienie warunków, o których mowa w ust. 5, przekazując 125 niezwłocznie Prezesowi Urzędu Ochrony Danych Osobowych odpowiednią dokumentację.”,

g) ust. 6 otrzymuje brzmienie:

„6. Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Prezes Urzędu Ochrony Danych Osobowych może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym, będącym osobami fizycznymi takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.”,

h) uchyla się ust. 7 i 8, i) dodaje się ust. 9 w brzmieniu:

„9. W przypadku, gdy naruszenie danych osobowych ma wpływ na abonentów lub użytkowników końcowych będących osobami fizycznymi z innych państw członkowskich, Prezes Urzędu Ochrony Danych Osobowych informuje inne zainteresowane organy z państw członkowskich.”;

8) art. 174b i art. 174c otrzymują brzmienie:

„Art. 174b. Do sprawowanej przez Prezesa Urzędu Ochrony Danych Osobowych kontroli wykonywania przez dostawcę publicznie dostępnych usług telekomunikacyjnych obowiązków, o których mowa w art. 174(1), art. 174a oraz art. 174d, stosuje się odpowiednio przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Art. 174c. Prezes Urzędu Ochrony Danych Osobowych, kierując wystąpienie, o którym mowa w art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, do dostawcy publicznie dostępnych usług telekomunikacyjnych uwzględnia wytyczne Komisji Europejskiej dotyczące realizacji obowiązku powiadomienia abonenta lub użytkownika końcowego będącego osobą fizyczną o naruszeniu jego danych osobowych i wskazuje okoliczności, formę i sposób takiego powiadomienia. Prezes Urzędu Ochrony Danych Osobowych może udostępniać wystąpienia w Biuletynie Informacji Publicznej na swojej stronie podmiotowej, o ile nie będą one zawierać informacji stanowiących tajemnicę przedsiębiorstwa.”;

9) w art. 174d w ust. 1 wprowadzenie do wyliczenia otrzymuje brzmienie:

„Dostawca publicznie dostępnych usług telekomunikacyjnych prowadzi rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań, zawierający w szczególności:”;

10) po art. 210 dodaje się art. 210a w brzmieniu:

„Art. 210a. 1. Kto nie wypełnia obowiązku:

1) wdrożenia technicznych i organizacyjnych środków ochrony, o których mowa w art. 174(1),

2) informacyjnego, względem Prezesa Urzędu Ochrony Danych Osobowych, o którym mowa w art. 174a ust. 1,

3) informacyjnego, względem abonenta lub użytkownika końcowego, o którym mowa w art. 174a ust. 3,

4) prowadzenia rejestru naruszeń danych osobowych, o którym mowa w art. 174d ust. 1

− podlega karze pieniężnej nakładanej przez Prezesa Urzędu Ochrony Danych Osobowych w wysokości do 3% przychodu ukaranego podmiotu osiągniętego w poprzednim roku kalendarzowym. 2. Do kar nakładanych na podstawie ust. 1 stosuje się odpowiednio przepisy art. 209 ust. 1a–3 oraz art. 210. Uprawnienia Prezesa UKE określone w tych przepisach przysługują Prezesowi Urzędu Ochrony Danych Osobowych.”

Obecnie obowiązujące art. 174a–174d stanowią implementację art. 2 lit. i oraz art. 4 dyrektywy 2002/58/WE dotyczących bezpieczeństwa przetwarzania danych. Przepisy dyrektywy zostały następnie uzupełnione i uszczegółowione w rozporządzeniu Komisji (UE) nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej (Dz. Urz. UE L 173 z 26.06.2013, str. 2), zwanym dalej „rozporządzeniem 611/2013”.”, które jest bezpośrednio stosowane. W konsekwencji wejścia w życie RODO omawiane nowelizacje porządkują i usuwają niezgodności z art. 174a–174d. Pozostawiono po odpowiednim przeredagowaniu te przepisy PT, które stanowią implementację dyrektywy 2002/58/WE.

Istotny jest fakt, że do obowiązującej regulacji dodano art. 174(1) PT stanowiący implementację art. 4 ust. 1 dyrektywy 2002/58/WE art. 174a ust. 2a wdrażający art. 2 ust. 4 rozporządzenia 611/2013 oraz art. 174a ust. 9 wdrażający art. 2 ust. 5 rozporządzenia 611/2013.

Wprowadzony przepis w art. 210a ma za zadanie wzmocnić nowo dodaną regulacje z art. 174(1) poprzez wprowadzenie sankcji za jego nieprzestrzegania nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych „wstępującego” tu w rolę Prezesa UKE. Jest to ważna informacja z uwagi na rozszerzenie katalogu kar o kolejną dotkliwą procentową sankcję, która wynika z implementacji art. 4 ust. 4 oraz art. 15a ust. 1 dyrektywy 2002/58/WE.

POZOSTAŁE ZMIANY W UŚUDE

UŚUDE

2) uchyla się art. 16 i art. 17;

3) w art. 18 ust. 3 i 4 otrzymują brzmienie:

„3. Usługodawca wyróżnia i oznacza te spośród danych, o których mowa w ust. 2, jako dane, których podanie jest niezbędne do świadczenia usługi drogą elektroniczną.

Usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną.”;

4) w art. 19 uchyla się ust. 1, 2, 4 i 5;

5) uchyla się art. 20−22.

RODO swoim zakresem podmiotowym i przedmiotowym obejmuje przetwarzanie danych osobowych związku ze świadczeniem usług drogą elektroniczną. Jednocześnie RODO nie daje podstaw do doprecyzowania lub zawężenia jego przepisów w zakresie i w sposób jaki ma to miejsce obecnie w rozdziale IV ustawy. W związku z tym zdecydowano się w rozdziale IV UŚUDE uchylić przepisy dotyczące materii regulowanych treścią RODO. Uchylenie w rozdziale IV UŚUDE poszczególnych przepisów (art. 16-17, ust. 1, 2, 4 i 5, 20-22) nie może być traktowane jako zakaz przetwarzania danych osobowych (w związku ze świadczeniem usług drogą elektroniczną) w sposób określony w tych przepisach albo tym bardziej dopuszczenie przetwarzania tych danych w sposób dowolny. Legalność takiego przetwarzania danych osobowych oceniać należy w świetle przepisów RODO, w tym przede wszystkim zasad ogólnych określonych w art. 5 tego aktu prawnego. Tym samym, można powiedzieć, że mamy w tej materii ujednolicony standard postępowania z danymi osobowymi – standard RODO.

Uchwalone nowelizacje PT i UŚUDE wprowadzają zmiany uwzględniające utworzenie nowego organu właściwego w sprawach ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych w miejsce Generalnego Inspektora Ochrony Danych Osobowych.

Podsumowanie

Wprowadzone zmiany oceniamy w większości jako techniczne, ale niezbędne dla zachowania spójności regulacji. Zagadnienie „zgody” i warunków jej wyrażania jest jednym z kluczowych pojęć przepisów ochrony danych osobowych i dobrze, że wraz z wejściem w życie omawianych nowelizacji będziemy mieć w tej materii spójne regulacje. Pewien niedosyt pozostawia jednak fakt, że ustawodawca nie poszedł o krok dalej i wraz z nowelizacją nie zajął się zgłaszanymi od właściwie samego początku uchwalenia UŚUDE i PT problematycznymi kwestiami takimi jak chociażby jak:

kwestia zapytania o zgodę na przesyłanie informacji handlowych / marketing usług własnych;
kwestia rozróżnienia marketingu B2B od marketingu B2C.

Niestety, z lektury projektu zbliżającej się regulacji ePrivacy na te pytania również nie uzyskamy jednoznacznej odpowiedzi. Nie mniej, polecamy zaznajomić się z podstawami rozporządzenia ePrivacy, które opisaliśmy na łamach GDPR.PL: https://gdpr.pl/projekt-e-privacy-a-rodo