Powrót do wszystkich artykułów25 maja mijają trzy lata stosowania na terenie całej Unii Europejskiej przepisów ogólnego rozporządzenia o ochronie danych, zwanego powszechnie RODO (Dz.U.UE.L.2016.119.1, ze zm.). Czy rzeczywiście okazało się ono być taką zmianą i rewolucją, na jaką było zapowiadane? A może jest tak, że największa zmiana, jaka zaszła, wcale nie dotyczyła samych regulacji, ale miejsca danych osobowych w świadomości administratorów i podmiotów danych?
Za niewątpliwy sukces RODO trzeba uznać zwrócenie uwagi wszystkich – przedsiębiorców, organów państwowych, osób, których dane dotyczą – na problematykę danych osobowych. Przed majem 2018 r. zarówno w Polsce, jak i w Europie obowiązywały przepisy chroniące dane osobowe, jednakże regulacje te nie miały swojego miejsca w debacie publicznej. Ewolucja podejścia jest dostrzegalna w wielu obszarach, jednak jednym z najbardziej widocznych, bo dotyczącym każdego użytkownika Internetu, jest kwestia przetwarzania danych przez portale i sklepy internetowe. Widocznym przejawem tej zmiany jest rosnąca liczba wyskakujących okienek zawierających zgody na pliki cookie oraz wydłużająca się lista zgód, jaka pojawia się przy korzystaniu z usług portali i sprzedawców internetowych.
Wskazać jednak należy, że RODO jest tylko jedną z regulacji, które dotyczą zagadnień korzystania z danych w obszarze e-commerce. W zakresie plików cookie i innych tego rodzaju narzędzi należy uwzględnić także przepisy ustawy – Prawo telekomunikacyjne (Dz.U.2021.576 t.j.), a w odniesieniu do zgód udzielanych w związku z korzystaniem z usług e-commerce, szczególnie w zakresie marketingu, będzie to zarówno Prawo telekomunikacyjne, jak i ustawa o świadczeniu usług drogą elektroniczną (Dz.U.2020.344 t.j.). Obie te regulacje, po zmianach wprowadzonych 4 maja 2019 r., (Dz.U.2019.730) w zakresie zbierania zgód zawierają odwołania do RODO. Oznacza to, że zgody wymagane na gruncie tych ustaw powinny spełniać takie wymagania, jakie wobec zgody stawia RODO. Mowa tu przede wszystkim o zgodzie dotyczącej informacji handlowych (art. 10 w zw. z art. 4 ustawy o świadczeniu usług drogą elektroniczną) oraz zgodzie w zakresie marketingu bezpośredniego (art. 172 w zw. z art. 174 ustawy – Prawo telekomunikacyjne). Zgoda na każdą z tych kwestii powinna więc być wyraźna, odróżnialna od innych oświadczeń, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Ponadto, osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę, co nie wpływa na zgodność z prawem działań dokonanych na podstawie zgody przed jej wycofaniem.
Jednym ze skutków powyższych zmian przepisów, a także pojawiającego się orzecznictwa, szczególnie Trybunału Sprawiedliwości Unii Europejskiej (chociażby wyrok z dnia 1 października 2019 r. w sprawie C‑673/17), oraz aktywności organów ochrony danych osobowych, jest zintensyfikowanie w ostatnim czasie działań po stronie portali i sprzedawców internetowych związanych z wprowadzeniem na swoich stronach systemów zarządzania zgodami użytkowników. Trzeba zaznaczyć, że chronionymi na gruncie RODO danymi osobowymi są zarówno wszelkiego rodzaju „klasyczne” dane wpisywane na kolejnych stronach i formularzach przez użytkowników, jak i dane związane z samym korzystaniem z Internetu (metadane), zbierane przez pliki cookie, wtyczki społecznościowe i podobne narzędzia śledzące użytkowników. Pojawianie się systemów do wyrażania zgody należy ocenić pozytywnie, jednakże aby pełniły one swoją funkcję, a więc zapewniały zgodność z przepisami, nie stanowiły dużej uciążliwości dla użytkownika, a także nie niweczyły wysiłków marketingowych właściciela strony, muszą być wprowadzane w sposób przemyślany.
Kolejną reakcją na wprowadzenie RODO a związaną z działalnością witryn internetowych, są pojawiające się w dużych ilościach zgody na przetwarzanie danych, wysyłkę ofert, newslettery, uczestnictwo w konkursach, promocjach i inne działania. Zgody te obowiązkowo lub dobrowolnie należy zaznaczyć, aby dokończyć proces rejestracji na stronie internetowej lub dokonać zakupu produktu. Zwiększenie ilości zgód z jednej strony jest „winą” RODO i dodatkowych przepisów, jakie mają zapewnić jego stosowanie, ale z drugiej strony zjawisko to jest związane z wynikającym z poprzedniego stanu prawnego przywiązaniem do zbierania zgód.
Wskazać należy, że RODO uznaje zgodę za konieczną wtedy, gdy przetwarzanie nie może zostać oparte na innej przesłance. Przykładowo, sprzedawca prowadzący sklep internetowy nie musi – a nawet nie powinien – wymagać od kupujących udzielenia zgody na przetwarzanie jego danych niezbędnych do zawarcia transakcji sprzedaży. Z konieczności odbierania zgód na przetwarzanie danych można często zrezygnować nawet w przypadku przetwarzania danych dla celów marketingowych, jeśli spełnione są warunki wykorzystania innej podstawy przetwarzania, w szczególności odbiorca wyraził zgodę na otrzymywanie komunikatów marketingowych w określony sposób. Zmniejszenie ilości zgód odbieranych od klientów z całą pewnością będzie powodowało, że cały proces będzie bardziej przejrzysty i przyjazny dla klientów, jednak ze zgód nie można całkowicie zrezygnować. Ich stosowanie powinno być natomiast dopasowane do celów, jakie są realizowane, a także zakresu danych, jaki podlega zbieraniu. Dodatkowo, wraz z formularzem udzielenia zgody, użytkownik powinien otrzymać informację o sposobie wykorzystania jego danych osobowych i możliwości wycofania zgody w każdym momencie. To ostatnie wiąże się również z koniecznością zapewnienia mu sposobu wycofania udzielonej zgody w sposób, który nie będzie dla niego bardziej uciążliwy niż sposób, w jaki zgoda została przez użytkownika udzielona.
Jak widać, RODO nie jest winne wszystkim wyskakującym zgodom, okienkom i informacjom, jakimi jesteśmy jako użytkownicy codziennie zalewani w Internecie – część wymogów wynika z zupełnie innych regulacji. To dzięki RODO natomiast świadomość faktu przetwarzania danych przez platformy internetowe, szczególnie największych graczy na rynku, znacznie się zwiększyła. Ta okoliczność z kolei prowadzi do powstawania inicjatyw zmierzających z jednej strony do ochrony prywatności użytkowników, a z drugiej do możliwości czerpania przez nich korzyści z wykorzystywania ich danych. Rozwój projektów godzących interesy obu grup – administratorów danych i osób, których dane dotyczą, będzie zapewne tym, czego będziemy świadkami w kolejnych latach funkcjonowania RODO.
