Konsumenci nie lubią zmian

Specjaliści od sprzedaży wiedzą, że przyzwyczajenie jest drugą naturą człowieka. Raz „złapany" klient często korzysta z danej usługi zarówno z wygody, ale też bojąc się stracić na zmianie dostawcy. W przypadku zakupów spożywczych w supermarketach online, wielu klientów używa co tydzień stałej, zapisanej przez sklep listy zakupów, którą tylko modyfikują. Teoretycznie nie ma przeszkód, żeby zmienić sklep na tańszy albo taki, który ma lepsze warunki dostawy.

Jednak myśl o tym, że w nowym sklepie trzeba będzie „przeklikać" wszystkie działy, żeby znowu stworzyć listę ulubionych produktów, może zniechęcać do wysiłku związanego z szukaniem nowego dostawcy. Podobnie w przypadku serwisów muzycznych: kto by chciał porzucać ulubioną playlistę i szukać szczęścia w nowym serwisie, w którym na nowo trzeba kompletować dyskografię? Innym przykładem, jest poczta elektroniczna. Realną obawą związaną z założeniem nowego konta jest wątpliwość co się stanie z archiwum dotychczasowej poczty. Nikt nie chce tracić zebranej przez kilka lat korespondencji.

Dziś to umowa z dostawcą reguluje czy zechce on przekazać dane w takiej formie, w której będzie można je wysłać do konkurencyjnego serwisu, aby tam ponownie z nich korzystać. Nie ma też prawnego obowiązku przekazania użytkownikowi tych informacji po zakończeniu korzystania z usługi.

Ma się to zmienić wraz z rozpoczęciem obowiązywania unijnego rozporządzenia o ochronie danych osobowych. Nowe zasady przetwarzania danych osobowych, które w maju 2018 r. wprowadzi to rozporządzenie, ułatwią konsumentom mobilność w korzystaniu z usług różnych dostawców jak i powtórne wykorzystywanie zebranych danych. Celem regulacji jest zwiększenie konkurencyjności usług dla konsumentów. Unia postanowiła, że stanie się tak za sprawą prawa do przenoszenia danych (right to data portability), które wprowadza rozporządzenie. Użytkownik będzie mógł zażądać od dostawcy usługi swoich danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego. Co więcej, będzie mógł zażądać, aby dane zostały przekazane nowemu administratorowi.

Jest to zmiana w stosunku do istniejących uprawnień. Obecnie art. 32 ustawy o ochronie danych osobowych, która implementuje dyrektywę 95/46/WE, uprawnia użytkownika do żądania od administratora danych podania treści danych w powszechnie zrozumiałej formie. Innymi słowy, można poprosić o własne dane, ale nie można wymagać żeby dalej z tych danych można było korzystać u innego usługodawcy. Zatem, nawet jeśli delikatesy internetowe mają cotygodniową listę zakupów, mogą ją przekazać w treści maila lub w pliku pdf, co niestety nie ułatwi automatycznego stworzenia takiej samej listy w innym sklepie.

Nowe prawo do przenoszenia danych nie będzie działało w każdym przypadku. Warunkiem skorzystania z prawa jest to, aby dane były przetwarzane w sposób zautomatyzowany (czyli w systemach informatycznych, a nie w wersji papierowej). Drugim warunkiem jest, aby podmiot do którego kierowane jest żądanie będący administratorem danych przetwarzał dane na podstawie zgody użytkownika lub w celu związanym z realizacją umowy z tym użytkownikiem. Oznacza to, że żądania nie będzie można kierować do organów państwowych, które posiadają dane osób fizycznych na podstawie przepisów, w celu wykonywania swoich obowiązków - np. ZUS lub urzędów skarbowych. Przepis nie dotyczy też danych przetwarzanych w celach zapewnienia opieki zdrowotnej - czyli nie będzie możliwe kierowanie żądania do placówek służby zdrowia.

Rozporządzenie mówi też, że prawo ma zastosowanie do danych dostarczonych administratorowi przez osobę fizyczną. Sprawa jest jasna, jeśli chodzi o informacje, które przekazał użytkownik rejestrując się w celu otrzymania serwisu. A co w przypadku danych, które co prawda nie zostały przekazane przez użytkownika, ale powstały w związku z korzystaniem z usługi? Chodzi przykładowo o dane o wpływach na rachunku bankowym, dane o piosenkach wybieranych w serwisie muzycznym lub też informacje o zawartości zamówień w delikatesach internetowych. Rekomendacje Grupy Roboczej art. 29, czyli niezależnego europejskiego organu doradczego w zakresie ochrony danych i prywatności wskazują na traktowanie danych, które powstały na skutek korzystania z usługi jako informacji dostarczonych przez osobę, której dane dotyczą. Żądanie nie może natomiast dotyczyć danych, które zostały stworzone przez administratora na podstawie informacji przekazanych przez klienta. Tu jako przykład podaje się wewnętrzną ocenę wiarygodności kredytowej, którą bank stworzył na podstawie analizy działań klienta.

Ważnym ograniczeniem jest zapis, że wykonanie żądania nie może niekorzystnie wpływać na prawa i wolności innych osób. Można zastanowić się, czy jeśli dane o użytkowników zawierają dane innych osób – a tak będzie w przypadku korespondencji elektronicznej – to czy realizacja żądania nie zagrozi interesom tych osób. Grupa Robocza wskazuje, że jeśli celem przeniesienia archiwum poczty do nowego dostawcy jest kontunuowanie korzystania z kontaktów w celu prowadzenia korespondencji mailowej, nie ma ryzyka dla interesów tych osób. Rekomenduje jednak wdrożenie rozwiązań, które pozwoliłyby użytkownikom wybrać dane, które chcą eksportować, tak aby móc wykluczyć dane osób trzecich. Rozwiązaniem mogą być także mechanizmy umożliwiające tym osobom wyrażenie zgody, co mogłoby mieć zastosowanie w przypadku przekazania danych do nowego portalu społecznościowego.

—Magdalena Kogut-Czarkowska

Zdaniem autorki

Magdalena Kogut-Czarkowska, radca prawny, BakerMcKenzie

Zgodnie z nowym prawem, administrator będzie miał miesiąc na wypełnienie żądania osoby, której dane dotyczą. Jeśli sprawa będzie skomplikowana termin może być wydłużony do dwóch miesięcy. Proponuje się przyjęcie przez biznes rozwiązań technicznych, które umożliwiałyby użytkownikom samodzielne korzystanie z tego prawa. Mogą to być nowe narzędzia informatyczne lub nakładki na istniejące systemy, które pozwalają na ściągnięcie kopii danych w określonym formacie, bez konieczności wnioskowania do administratora danych.