OKIEM PRAWNIKA: Nie samą zgodą żyje RODO

0
331

Do 25 maja 2018 r. i rozpoczęcia stosowania RODO pozostało 11 tygodni. Nie dziwi więc, że kolejne podmioty zaczynają zbierać na nowo różnego rodzaju zgody: marketingowe, na przekazywanie danych czy też np. na transfer poza EOG. To, co może wydawać się proste i oczywiste – czyli same zgody – jest w istocie dość skomplikowanym mechanizmem prawnym. Ponieważ wiele osób i organizacji skupia na nich szczególną uwagę, chcielibyśmy rozpocząć dyskusję, jak i kiedy je zbierać robić.

Nie proponujemy żadnej prostej recepty ani tym bardziej tajemnej wiedzy. Mamy natomiast sporo takich przypadków w praktyce, sporo przemyśleń i przekonanie, że wymiana wiedzy jest konieczna. Będziemy operować na zdarzeniach i klauzulach zauważonych na rynku, w szczególności w Internecie – z góry bardzo wyraźnie zaznaczając, że nie jest naszym celem krytyka żadnego konkretnego rozwiązania (krytykować można tych, co nic nie robią), ale po prostu wolimy dyskutować na prawdziwych przykładach.

WIRTUALNA POLSKA A RODO

Pierwszym spektakularnym przypadkiem zbierania zgód była akcja wysyłkowa Tauronu. Biorąc jednak pod uwagę zainteresowanie GIODO akcją energetyków, widać jak wiele problemów może to przysporzyć. Kolejny warty odnotowania przykład to Wirtualna Polska. Przykład o tyle ciekawy, że chyba każdy z nas natknął się na komunikaty WP. Od początku marca w swoich serwisach jako pierwszy z dużych wydawców internetowych WP rozpoczęła testy banera wyjaśniającego mechanizmy RODO i zbierającego zgody użytkowników portalu. Inicjatywa jest bardzo zacna, a fakt jej podjęcia zasługuje na pełne uznanie. Niestety, samo wykonanie pozostawia wiele kluczowych pytań RODO wciąż bez odpowiedzi.

ZAKRES ZGODY

Po pierwsze, nie bardzo wiadomo, na co zbierana jest zgoda. Komunikat zaczyna się od słów „Prosimy o zapoznanie się z poniższymi informacjami oraz wyrażenie zgody” (swoją drogą – czy można odmówić, a nie tylko kliknąć „nie teraz”?). Dalej – zgodnie z treścią – dotyczy on „przetwarzania (…) danych osobowych zbieranych w ramach korzystania (…) ze stron internetowych, serwisów i innych funkcjonalności Wirtualnej Polski, w tym zapisywanych w plikach cookies”Nie jest to więc tzw. zgoda na cookies (art. 173 PT), a jedynie zgoda wynikająca z RODO. Trudno powiedzieć, czy zgoda na cookies będzie przez WP zbierana i w jaki sposób – z obecnego modelu to nie wynika. A przecież zgodnie z wymogami prawa zbierana być powinna. Nie rozwiązano więc jednego z głównych problemów, dualizmu przepisów RODO oraz Prawa Telekomunikacyjnego, z którym prawnicy i branża internetowa mierzą się od jakiegoś czasu.

KLASYKA, CZYLI WIELE ZGÓD W JEDNYM

Po drugie, wątpliwe jest łączenie wielu zgód. Wg komunikatu zgody zbierane są na rzecz: (1) WP Holding SA, (2) spółek powiązanych z WP Holding SA oraz (3) „Zaufanych Partnerów” (kimkolwiek oni są – nie zostali bowiem nigdzie zdefiniowani). Sam fakt łącznego zbierania zgód był przez GIODO wielokrotnie kwestionowany, również wg RODO jest to co najmniej wątpliwa praktyka (kwestia dobrowolności zgody). Wątpliwości wywołuje też zbieranie zgód dla wszystkich podmiotów z Grupy WP (takie działanie jest bardzo rzadko uzasadnione we wszystkich spółkach dużych grup kapitałowych). Biorąc pod uwagę, że użytkownik nie ma tu żadnej swobody (nie może udzielić zgody wyłącznie jednemu lub kilku podmiotom, obowiązuje zasada „wszystkim albo nikomu”), takie rozwiązanie jest bardzo dyskusyjne na gruncie RODO.

PYTANIE ZASADNICZE – PODSTAWA PRZETWARZANIA

Po trzecie, klauzula zgody dotyczy różnych celów przetwarzania danych osobowych: celu marketingowego (wydaje się, że tzw. „marketingu cudzego”, choć nie jest to oczywiste) oraz celu analitycznego. Zastanawia nas, dlaczego WP wybrała zgodę jako podstawę prawną zamiast oprzeć się na prawnie uzasadnionym interesie administratora (w tym kontekście polecamy też ten artykuł). Wydaje się, że wybór uzasadnionego interesu byłby o wiele bardziej czytelny dla użytkowników – i jednocześnie organizacyjnie o wiele bardziej korzystny dla administratora. Uzasadnia to merytorycznie art. 6 ust. 1 lit. f RODO, który przewiduje wyraźnie, że prawnie uzasadniony interes realizowany przez stronę trzecią (czyli inny podmiot niż administrator oraz jego podwykonawca) uprawnia administratora do przetwarzania danych osobowych. Ta podstawa prawna pasuje właśnie do takich sytuacji jak „cudzy marketing”, kiedy interes leży po stronie reklamodawcy zlecającego kampanię, natomiast podstawę przetwarzania danych posiada wydawca serwisu. Ewentualny brakujący link pomiędzy przetwarzaniem danych a działalnością administratora można uzupełnić poprzez uzyskanie przez administratora zgody na cookies. Tym samym w miejsce dwóch zgód pojawia się jedna (niezwiązana z RODO, wynikająca z PT), a jednocześnie nie występuje problem zgód połączonych (czyli niedobrowolnych).

A PRZED NAMI CIEKAWE PROBLEMY

Propozycję Wirtualnej Polski, mimo że w naszej ocenie niedoskonałą, uznajemy mimo wszystko za cenną inicjatywę i przyczynek do kluczowej dla branży dyskusji. W kolejnych dniach spróbujemy skomentować i omówić problemy prawne, które pojawiły się na gruncie akcji WP. Z pewnością odniesiemy się do takich zagadnień jak:

  • kto jest administratorem, kto procesorem, a kto stroną trzecią w procesie przetwarzania danych przez uczestników reklamowego ekosystemu programmatic – wydawców, reklamodawców i dostawców technologii SSP, DSP czy narzędzi typu DMP?
  • w jaki sposób zbierać zgody na cookies po wejściu w życie RODO? Czy nadal można opierać się na zgodach zbieranych w banerach? Jak się to przełoży na praktyczne konsekwencje proponowanych rozwiązań?
  • jak można wykorzystywać interes administratora jako podstawę prawną przetwarzania danych w środowisku internetowym (w tym w przypadku profilowania marketingowego)?
  •  jak powinien skonstruować swoją politykę prywatności wydawca serwisu, aby w sposób zgodny z RODO poinformować użytkowników o przetwarzaniu ich danych? Czy konieczne jest wymienianie z nazwy wszystkich podmiotów zapisujących tzw. 3rd party cookies na urządzeniach użytkowników? Czy może należy określić je rodzajowo? A może w ogóle zrezygnować z ich opisywania?

Marcin MarutaMarcin SerafinPaweł Tobiczyk

Marcin Maruta

Marcin Maruta, Senior Partner at Maruta Wachta sp.j.

Od ponad 20 lat pomagamy naszym klientom w rozwiązaniu i uchronieniu się od problemów w obszarach prawa związanych z nowymi technologiami i zamówieniami publicznymi. Tworzyliśmy kontrakty systemów informatycznych grubsze niż książka telefoniczna Nowego Jorku, których wartość przekraczała miliard złotych. Współpracujemy od wielu lat z największymi klientami polskimi i międzynarodowymi, tworząc ponad tysiąc indywidualnych umów w rozbudowanych projektach IT. Z sukcesem pomagaliśmy w sporach z zakresu danych osobowych i prawa własności intelektualnej. Prowadzimy szkolenia i wykłady dla prawników i biznesu sektora IT, jesteśmy autorami wielu fachowych publikacji. Dysponujemy jednym z największych w Polsce zespołów prawników ściśle wyspecjalizowanych w sektorze technologii i zamówień publicznych, pracujących ze sobą od wielu lat. Szukasz pomocy? Oficjalna strona kancelarii