Jakie błędy popełniono, implementując do polskiego prawa dyrektywę o treściach i usługach cyfrowych?
Dyrektywa 2019/770 ma w założeniu wzmacniać ochronę konsumentów w sytuacjach, gdy za usługę lub treści cyfrowe płacą nie tylko tradycyjnie (pieniądz), ale też gdy otrzymają treści lub usługę w zamian za możliwość przetwarzania ich danych, np. do celów marketingowych. Czyli nie płacą oni pieniędzmi, ale ktoś zbiera ich dane i w zamian za to świadczy usługę. Pojawia się tu wiele problemów na pograniczu prawa ochrony konsumentów i danych osobowych – jak rozumieć tę swoistą „płatność danymi osobowymi”, jakie informacje trzeba przekazać w związku z tym konsumentom. Moim zdaniem przy implementacji przepisów popełniono błąd – nie tylko wprowadzono nowe mechanizmy dotyczące świadczenia treści i usług, ale jednocześnie ograniczono stosowanie zaimplementowanych już przepisów dyrektywy 2011/83 (która obowiązywała do tej pory w ramach ustawy o prawach konsumenta). Przewidziano bowiem, że jeśli przedsiębiorca pobiera dane konsumenta, ale ich nie stosuje jako zapłaty za usługę lub treści cyfrowe (tj. wyłącznie w celu realizacji umowy), to nie podlega pod ustawę o ochronie praw konsumenta.
Czytaj więcej
Usługi cyfrowe świadczone bez pobierania opłat będą wyłączone z prawa konsumenckiego.
A sama dyrektywa takiego wyłączenia nie przewiduje?
Unijne przepisy mówią tylko, że jeśli ktoś stosuje płatność danymi, to ma takie obowiązki jak przy płatności pieniędzmi – i w ogóle nie wpływają na pozostałe stare przepisy. Tym bardziej że nawet przed jej powstaniem było jasne, że niezależnie, czy pobieramy opłatę w danych, czy w pieniądzach, czy też w ogóle jest to opłata ukryta, to pewne obowiązki wobec konsumenta należy spełnić. Chociażby związane z potwierdzeniem umowy na trwałym nośniku. Nie oszukujmy się – nie ma darmowych lunchy i nikt nie robi nic za „frajer”. Z faktu, że przy płatności danymi przedsiębiorca ma dodatkowe obowiązki, nie wynika, a contrario, że gdy nie pobiera ani pieniędzy, ani danych, to nie ma żadnych obowiązków wobec konsumenta!
Czy zdarzają się przypadki, że ktoś nie pobiera za usługę ani pieniędzy, ani danych?
Oczywiście! Przykładowo mogę opracować aplikację, w ramach której będę dostarczał „darmowe” treści cyfrowe, bez profilowania i reklam, aby np. zbudować dużą bazę użytkowników, którą potem sprzedam wraz z moją aplikacją. Przecież taki model biznesowy też jest możliwy, a RODO pozwala (przy zastosowaniu pewnych ograniczeń) na zmianę pierwotnego celu przetwarzania danych w przyszłości. I zgodnie z ustawą implementacyjną nie będą się do mnie stosowały przepisy o ochronie konsumentów. Znowelizowano w niej art. 3, który wyłącza takie przypadki z zakresu zastosowania ustawy. Zatem wprowadzając przepisy, które miały wzmocnić ochronę konsumentów, częściowo ją osłabiono… Dotąd nie było wątpliwości, że w przypadku dostarczania treści cyfrowych nie ma znaczenia, czy i w jaki sposób następuje płatność za możliwość korzystania z nich.
Jak w świetle prawa wygląda „płacenie danymi”?
Dyrektywa 2019/770 mówi o sytuacjach, gdy w zamian za możliwość korzystania z usługi dostawca będzie przetwarzał dane nie tylko do świadczenia treści/usługi cyfrowej, ale też w dodatkowych celach, np. marketingowych. Bo przecież zawsze są potrzebne dane do samego świadczenia usługi cyfrowej – trzeba się w niej zalogować, zarejestrować. Pozyskiwania w tych celach nie uznaje się za „płatność”. Ale jeśli już przedsiębiorca chciałby tych użytkowników profilować, żeby lepiej targetować reklamę, podlega to pod przepisy dyrektywy – choć ona żadnej oficjalnej definicji „płatności danymi” nie zawiera. Problem w tym, że często dane niezbędne do świadczenia usługi i te do profilowania to te same dane. Albo korzystając z podstawowych danych kontaktowych przedsiębiorca dostarcza mi reklamy sprofilowane na podstawie tego, co robię w jego aplikacji. Co istotne, przepisy konsumenckie nie modyfikują wymogów RODO. Określają tak naprawdę cywilnoprawne konsekwencje określonych przypadków wykorzystania danych osobowych.
