Zmiany w ustawie o prawach konsumenta

W tej części cyklu poświęconego ustawie o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, omówione zostaną najistotniejsze zmiany w ustawie z dnia 30 maja 2014 r. o prawach konsumenta. Jak daleko idą projektowane zmiany?

W ustawie o prawach konsumenta po art. 4 dodaje się art. 4a w brzmieniu:

„Art. 4a.  1. Administrator będący przedsiębiorcą, o którym mowa w art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców, wykonuje obowiązki informacyjne określone w art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanym dalej „rozporządzeniem 2016/679”, w zakresie umów, o których mowa w rozdziale 2 i 3, przez wywieszenie w widocznym miejscu w lokalu przedsiębiorstwa lub udostępnienie na swojej stronie internetowej stosownych informacji.

Zmiany w zakresie praw konsumentów dotyczyć będą mikroprzedsiębiorców. Stanowi o tym dyspozycja dodanego w nowelizacji art. 4a ust. 1, dotycząca „administratora będącego przedsiębiorcą, o którym mowa w art. 7 ust. 1 pkt 1 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców”.

Zgodnie z treścią przywołanego przepisu mikroprzedsiębiorcą jest przedsiębiorca, który w co najmniej jednym roku z dwóch ostatnich lat obrotowych spełniał łącznie następujące warunki:

1. a) zatrudniał średniorocznie mniej niż 10 pracowników oraz
2. b) osiągnął roczny obrót netto ze sprzedaży towarów, wyrobów i usług oraz z operacji finansowych nieprzekraczający równowartości w złotych 2 milionów euro, lub sumy aktywów jego bilansu sporządzonego na koniec jednego z tych lat nie przekroczyły równowartości w złotych 2 milionów euro.

Dlaczego tylko mikroprzedsiębiorcy? W uzasadnieniu do projektu wskazano, że  „Co do zasady, całość obowiązków przewidzianych RODO, w jego literalnym brzmieniu, obciąży w równym stopniu wszystkich przedsiębiorców, bez względu na ich wielkość, możliwości organizacyjne, doświadczenie, czy zakres przetwarzanych danych. Nie może też budzić żadnych wątpliwości, że w celu dostosowania się do wymogów RODO najmniejsi przedsiębiorcy będą musieli ponieść wysokie koszty (czy to w celu zatrudnienia wyspecjalizowanego pracownika czy zapewnienia sobie fachowego doradztwa prawnego). W porównaniu do skali prowadzonej działalności wydatki te będą stanowiły dla nich nieproporcjonalnie większe obciążenie aniżeli w przypadku firm dużych, które najczęściej dysponują odpowiednim zapleczem organizacyjnym oraz środkami finansowymi. Z tego powodu projektodawca proponuje doprecyzowanie na poziomie prawa krajowego, że najmniejsi przedsiębiorcy (mikroprzedsiębiorcy, którzy – co do zasady – nie udostępniają przetwarzanych przez siebie danych innym administratorom) będą mieli możliwość wypełnienia części ciążących na nich na podstawie art. 13 RODO obowiązków informacyjnych w określony sposób”.

Artykuł 4a ust. 1 dotyczy kwestii realizacji obowiązku informacyjnego przez mikroprzedsiębiorcę w przypadku zbierania danych od osoby, której dane dotyczą przy zawieraniu umów, o których mowa w rozdziale 2 i 3 ustawy o prawach konsumenta. Rozdział 2 omawianej ustawy dotyczy obowiązków przedsiębiorcy w umowach innych niż umowy zawierane poza lokalem przedsiębiorstwa lub na odległość. Natomiast rozdział 3 reguluje obowiązki przedsiębiorcy w umowach zawieranych poza lokalem przedsiębiorstwa lub na odległość. Zgodnie z powyższym, przedsiębiorca będzie mógł zamieścić informacje, o których mowa w art. 13 RODO, bądź to w widocznym miejscu w lokalu swojego przedsiębiorstwa, bądź też na swojej stronie internetowej.

2. Przepisu ust. 1 nie stosuje się, jeżeli osoba, której dane dotyczą, nie ma możliwości zapoznania się z informacjami, o których mowa w art. 13 rozporządzenia 2016/679.

Z treści art. 4a ust. 2 wynika, że warunkiem uznania ww. obowiązków informacyjnych za spełnione jest to, że osoba fizyczna, której dane dotyczą, będzie miała faktyczną możliwość zapoznania się z informacjami, o których mowa w art. 13 RODO. Z tego wynika, że administrator danych nie może umieścić klauzuli informacyjnej w miejscu, które uniemożliwia lub znacząco utrudnia konsumentowi zapoznanie się z jej treścią.

3. Przepisu ust. 1 nie stosuje się do administratora danych, który:

1) przetwarza dane, o których mowa w art. 9 ust. 1 rozporządzenia 2016/679, lub

2) udostępnia je innym administratorom, z wyjątkiem przypadku gdy:

1. a) osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych, albo
2. b) udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.”.

Artykuł 4a ust. 3 stanowi, że ułatwienia dla administratorów danych przewidziane w ust. 1 omawianego przepisu nie będą miały zastosowania w przypadku, gdy administrator:

1) przetwarza dane, o których mowa w art. 9 ust. 1 RODO (tj. dane „wrażliwe”), lub

2) udostępnia je innym administratorom, z wyjątkiem przypadku gdy:

1. a) osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych, albo
2. b) udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.

Powyższa regulacja zawęża zastosowanie art. 4a ust. 1. Będzie to miało miejsce w przypadku, gdy administrator będzie przetwarzał dane „szczególnej kategorii” wymienione w art. 9 ust. 1 RODO. Co więcej, administrator, który udostępnia dane innym administratorom również nie będzie mógł korzystać z ułatwień przewidzianych w ust. 1, chyba że osoba, której dane dotyczą, wyraziła zgodę na udostępnienie swoich danych lub udostępnienie danych jest niezbędne do wypełnienia obowiązku ciążącego na administratorze.

Podsumowanie

Wprowadzone dla mikroprzedsiębiorców ułatwienia w zakresie spełniania obowiązków informacyjnych wskazanych w art. 13 RODO należy ocenić pozytywnie, przy czym specyfika konkretnych branż może wymagać podejmowania przez nich innych sposobów dotarcia do podmiotów danych niż wskazane w przepisie. Zasadniczo jednak proponowana regulacja pozwoli zmniejszyć dolegliwość i problemy praktyczne wynikające z konieczności przekazywania stosownych informacji, przy jednoczesnym zapewnieniu należytej ochrony podmiotom danych. Podkreślić należy, że nowelizacja pozostaje bez wpływu na prawa i obowiązki pozostałych przedsiębiorców.