RODO i e-Privacy – poznaj prawa i obowiązki wydawcy [Q&A]

fot. depositphotos.com

Aleksandra Maciejewicz

Prawnik i współzałożycielka LAWMORE, firmy świadczącej usługi doradztwa prawnego oraz biznesowego dla startupów i branży kreatywnej. Aplikantka rzecznikowska i członek Polskiej Izby Rzeczników Patentowych. Wykładowca prawa własności intelektualnej na warszawskich uczelniach.

Dziękujemy 90 000 fanom na LinkedInie. Jesteś tam z nami?

Obserwuj

Jakie obowiązki spadają na mnie jako wydawcę w związku z RODO i e-Privacy? Co się zmienia?

Poznaj Cropink – szybko i prosto twórz reklamy produktowe. Uwolnij Twoją kreatywność

Przede wszystkim wydawców czekają różne wewnętrzne zmiany o charakterze organizacyjno-technicznym. Konieczne będzie wdrożenie rejestru czynności przetwarzania oraz rejestru incydentów. Wydawca będzie musiał również wdrożyć procedurę zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu oraz procedurę zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. Rozszerzeniu ulegną również żądania osób, których dane są przetwarzane, a więc konieczne będzie również wprowadzenie procedur związanych z wykonywaniem tych żądań.

Osób ukierunkowanych na UX nie ucieszy zapewne wieść, że RODO rozszerzyło obowiązki informacyjne, jakie każdy użytkownik musi otrzymać wraz z rozpoczęciem przetwarzania jego danych osobowych.

Mamy newsletter, który rozwija marketing w Polsce. A Ty czytasz?

Rozwijaj się

Jednak wprowadzenie RODO to dobry moment na weryfikację polityki ochrony danych, modelu bezpieczeństwa oraz środków organizacyjno-technicznych ochrony danych w wydawnictwie, ponieważ rozporządzenie kładzie duży nacisk na dostosowywanie ochrony do zmieniających się możliwości technicznych. Nie wystarczy więc, że realizujemy model bezpieczeństwa wdrożony, kiedy nasze wydawnictwo startowało. Teraz firmy będą musiały przyjąć aktywną postawę w tym zakresie i zmieniać procedury oraz zabezpieczenia nawet co miesiąc, jeżeli będą tego wymagały okoliczności.

Z istotnych zmian, wprowadzone zostaną również dwie nowe instytucje, które jednak zapewne nie będą miały zastosowania do wydawnictw: obowiązek przeprowadzenia oceny skutków dla ochrony danych i przeprowadzenia ich konsultacji z odpowiednim organem lub podmiotami danych oraz obowiązek powołania inspektora ochrony danych.

Kolejną zmianą, która może być dla wydawców istotna, to regulacje związane z profilowaniem. RODO wprowadza obowiązek poinformowania użytkowników o tym, iż ich dane są gromadzone w celu profilowania, jakie decyzje w związku z tym profilowaniem wobec użytkownika są podejmowane, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Użytkownik musi mieć również możliwości wyrażenia sprzeciwu wobec profilowania.

Wykorzystuję pliki cookies jako wydawca. Czy po wejściu RODO i e-Privacy zmieni się polityka ich wykorzystywania? Jakie zmiany mnie czekają?

Tutaj kluczowe zmiany z kolei wprowadzi e-Privacy. Po pierwsze, nie będzie obowiązku uzyskania zgody na instalację Cookies używanych do celów analitycznych, które w szczególności obsługują pomiar statystyk odwiedzin poszczególnych stron i witryn. Zgoda nie będzie również wymagana do instalacji Cookies, które nie wkraczają w prywatność użytkownika, takich jak Cookies od preferencji językowych oraz innych ustawień serwisu, które pozwalają odpowiednio wyświetlić stronę.

Chociaż instalacja innych rodzajów Cookies będzie wymagała zgody użytkownika, to jednak będzie to tzw. zgoda opt-out, czyli wyrażana za pomocą odpowiednich ustawień przeglądarki internetowej.

Jako wydawca prowadzę bazę adresów email do wysyłki newslettera. Co się zmieni i co będzie mnie obwiązywać po wejściu w życie RODO i e-Privacy?

Jeżeli jest to newsletter, wykonywany jako usługa na rzecz użytkownika (użytkownik zawiera z wydawcą umowę subskrypcji), zasady się nie zmienią – nadal będzie to przetwarzanie danych osobowych w celu wykonania umowy i nie będzie wymagana do tego zgoda. Tak jak jednak wcześniej wspominałam, obowiązki informacyjne – które powinny zostać wykonane, kiedy użytkownik będzie wysyłał do nas formularz ze swoimi danymi – ulegną rozszerzeniu.

Administrator będzie miał obowiązek przekazania użytkownikowi m.in. następujących informacji: swoją tożsamość i dane kontaktowe; dane kontaktowe inspektora ochrony danych (jeżeli taki jest); informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją; informacje o zamiarze przekazania danych osobowych do państwa trzeciego, okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu, informacje o prawie wniesienia skargi do organu nadzorczego i inne.

Jako wydawca wysyłam również newslettery reklamowe do swojej bazy. Co zmienia w tej kwestii RODO i e-Privacy?

Zasady dotyczące przesyłania informacji handlowej drogą elektroniczną będą przede wszystkim przedmiotem regulacji e-Privacy.

Przede wszystkim nadrzędną zasadą będzie obowiązek posiadania zgody na wysyłanie komunikatów do celów marketingu bezpośredniego. Musi być to zgoda świadoma, na pewno nie automatyczna lub domniemana. E-Privacy wprowadza jednak istotny wyjątek od obowiązku uzyskania zgody. Otóż jeżeli otrzymamy od swojego klienta określone dane np. e-mail w związku ze sprzedażą produktu lub usługi, możemy wykorzystywać te dane do celów marketingu bezpośredniego własnych podobnych produktów lub usług. Jest jednak pewien warunek – klienci muszą mieć cały czas jasną i wyraźną możliwość wyrażenia – bezpłatnie i w łatwy sposób – sprzeciwu wobec takiego wykorzystania danych.

Czy nowe przepisy dotyczą także prowadzenia fanpage’a i jego fanów w mediach społecznościowych i jako wydawca powinienem się również przygotować na zmiany w tym obszarze?

Tak. Zresztą już za czasów „przed-rodowskich”, wiadome było, że podmiot, do którego należy fanpage, jest administratorem danych osobowych swoich fanów. Co za tym idzie, RODO będzie miało zastosowanie również do tego zbioru danych.

Czy nowe zmiany będą dotyczyć także samych redaktorów i ich własnych baz kontaktów?

Zależy, jak te kontakty są używane, ale RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.

Tomasz Michalczyk
Junior Associate, JSLegal

Jakie znaczenie dla wydawców mają RODO i e-Privacy?

O ile znamy już RODO w wersji, która podlegać będzie stosowaniu w państwach członkowskich UE od 25 maja 2018 roku, to nadal nie można mieć pewności co do ostatecznej treści rozporządzenia e-Privacy. Pomimo że pozostaje ono na etapie procedury legislacyjnej i poddawane jest intensywnym zabiegom lobbingowym, to w oparciu o lekturę opublikowanego projektu można zauważyć pewne tendencje i na ich podstawie wyciągać wnioski co do możliwego finalnego kształtu rozporządzenia.

RODO jest ogólnym aktem prawnym dotyczącym ochrony osób fizycznych. Określa on prawa osób, których dotyczą dane osobowe i wynikające z nich obowiązki podmiotów te dane przetwarzających. Regulacja ma na celu zapewnienie przetwarzania danych osobowych zgodnie z prawem, w sposób przejrzysty i zapewniający ich bezpieczeństwo.

E-Privacy ma stanowić uszczegółowienie i uzupełnienie ogólnych przepisów w zakresie ochrony danych osobowych ustanowionych na mocy RODO w odniesieniu do danych pochodzących z łączności elektronicznej, kwalifikujących się jako dane osobowe. Jego wdrożenie ma odnieść skutki nie tylko w aspekcie ochrony osób fizycznych, ale również w odniesieniu do praw i wolności osób prawnych. Na kanwie projektu e-Privacy ochrona osoby prawnej występuje z reguły tam, gdzie istnieje ryzyko naruszenia jej uzasadnionego interesu, przez co należy rozumieć zwłaszcza tajemnicę przedsiębiorstwa oraz inne dane szczególnie chronione o wartości ekonomicznej.

Jakie obowiązki spadają na mnie jako wydawcę w związku z RODO i e-Privacy? Co się zmienia?

Do głównych obowiązków wynikających z RODO, które obciążać będą wydawców, należy zaliczyć obowiązek przetwarzania danych osobowych zgodnie z prawem oraz zasadami rzetelności i przejrzystości. Jest to obowiązek o charakterze bardzo ogólnym, który sprowadza się do wykonania szczegółowych obowiązków nakładanych przez RODO, z uwzględnieniem specyfiki danych przetwarzanych przez wydawcę oraz charakteru i częstotliwości procesu przetwarzania. Wśród obowiązków należy wymienić zwłaszcza obowiązek przetwarzania danych w oparciu o jedną z podstaw przetwarzania wymienionych w art. 6 ust. 1 RODO.

Z punktu widzenia wydawcy szczególnie istotna jest rola następujących podstaw przetwarzania:

• zgoda osoby, której dane dotyczą;
• niezbędność przetwarzania do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
• niezbędność przetwarzania do wypełnienia obowiązku ciążącego na administratorze;
• niezbędność przetwarzania co celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez osobę trzecią. Nie dotyczy to sytuacji, w których nadrzędne wobec nich są interesy lub podstawowe prawa i wolności osób, których dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba ta jest dzieckiem.

Co istotne, to na wydawcy, jako administratorze danych, ciążyć będzie odpowiedzialność za przestrzeganie przepisów związanych z realizacją generalnych zasad wyrażonych w art. 5 ust. 1 RODO, do których, oprócz zgodności z prawem, rzetelności i przejrzystości przetwarzania, należą ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenia przechowywania oraz integralność i poufność. Oznacza to, że wydawca obowiązany jest posługiwać się danymi w taki sposób, aby móc w razie potrzeby wykazać przestrzeganie zasad narzuconych przez RODO.

Co do zasady, cel przetwarzania danych musi być wskazany w podstawie prawnej. Najczęściej podstawą prawną przetwarzania danych przez wydawcę będzie zgoda osoby, której dane dotyczą. Wydawca jest obowiązany pozyskać dobrowolną zgodę dla każdego celu, do którego realizacji dane będą przetwarzane. W aspekcie zasady rozliczalności kluczowe jest, aby wydawca był w stanie wykazać uzyskanie takiej zgody. Ważne jest również, by dla osoby, której dane dotyczą, wycofanie zgody było równie łatwe, jak jej udzielenie. Nie chodzi zatem o zestaw dokładnie takich samych czynności, natomiast o wycofanie zgody w następstwie podjęcia czynności o równym stopniu skomplikowania i czasochłonności (które w istocie, w aspekcie art. 7 ust. 2 RODO, powinny być istotnie ograniczone). Przetwarzanie danych osobowych, którego podstawą była zgoda, po jej wycofaniu, jest niezgodne z prawem.

Z tekstu RODO wynika pewna odmienność co do zgody wyrażanej w oświadczeniu pisemnym. Mianowicie, zapytanie o zgodę musi być skonstruowane w taki sposób, by pozwalało to odróżnić je od innych kwestii, a przy tym spełniać wymogi zrozumiałości, łatwej dostępności oraz jasnego i prostego języka. Oznacza to konieczność sporządzenia zgody w formie przystępnej i zrozumiałej dla przeciętnej osoby, wyłączając stosowanie skomplikowanego języka prawniczego, czy innych języków specjalistycznych.

Wymóg przejrzystości komunikatu odnosi się także do klauzul informacyjnych, których sporządzenie i podanie osobie, której dane dotyczą, stanowi realizację obowiązku informacyjnego ciążącego na wydawcy, występującym w charakterze administratora danych. Należy zwrócić uwagę, że co do zasady udzielenie informacji odnośnie do przetwarzanych danych jest nieodpłatne i dokonywane podczas pozyskiwania danych od osoby, której dane dotyczą. Do informacji przekazywanych w ramach realizacji rzeczonego obowiązku należą w szczególności: 1) tożsamość wydawcy i jego dane kontaktowe, 2) dane kontaktowe inspektora ochrony danych, 3) cele przetwarzania danych oraz podstawa prawna przetwarzania, 4) okres, przez który dane będą przechowywane, a gdy nie jest to możliwe, kryteria ustalenia tego okresu, 5) informacja dotycząca uprawnień przysługujących osobie, której dane są przetwarzane, 6) informacja o źródle wymogu podania danych osobowych i konsekwencjach ich niepodania oraz 7) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Pewne modyfikacje obowiązku informacyjnego powstają w przypadku pozyskiwania danych w sposób inny niż od osoby, której dotyczą.

Jak już zostało wspomniane, obowiązki administratora często aktualizują się dopiero w momencie skorzystania przez osoby, których dane dotyczą, z ich uprawnień. Przykładowo, osobie, której dane dotyczą, przysługuje prawo do uzyskania od administratora potwierdzenia, czy przetwarzane są jej dane osobowe. W momencie, gdy osoba, której dane dotyczą, zrealizuje swoje uprawnienie, po stronie wydawcy zaktualizuje się obowiązek potwierdzenia lub zaprzeczenia, że dochodzi do przetwarzania jej danych osobowych. Nie inaczej przedstawia się sytuacja w przypadku żądania dostępu do przetwarzanych danych i prawa do ich sprostowania.

Najbardziej rozsławioną instytucją ukonstytuowaną przez RODO jest tzw. „prawo do bycia zapomnianym”. Polega ono na tym, że w razie zgłoszenia stosownego żądania przez osobę, której dane dotyczą, wydawca będzie obowiązany do usunięcia tych danych bez zbędnej zwłoki. Jednakże nie każdy może skorzystać z tego uprawnienia. Będzie ono na przykład przysługiwało osobie, która zamówiła u wydawcy prenumeratę i wyraziła zgodę na przetwarzanie jej danych osobowych w celu wykonania umowy, a prenumerata ograniczona była np. do 20 egzemplarzy należących do jednej kolekcji. Również w razie wycofania zgody na przetwarzanie danych lub wniesienia sprzeciwu osoba, której dane dotyczą, ma prawo żądać ich usunięcia. Dość oczywistym, jednakże wprost wyartykułowanym w RODO, jest obowiązek usunięcia danych przetwarzanych niezgodnie z prawem. To samo dotyczy usunięcia danych w ramach celu wywiązania się z obowiązku prawnego, któremu podlega wydawca-administrator*.

Skuteczne skorzystanie z „prawa do bycia zapomnianym” wiąże się także z koniecznością usunięcia już upublicznionych danych i poinformowania innych administratorów przetwarzających te dane o żądaniu ich usunięcia.

O sprostowaniu, usunięciu danych osobowych lub ograniczeniu przetwarzania administrator obowiązany jest poinformować każdego odbiorcę, któremu ujawniono dane, chyba że okaże się to niemożliwe lub wymagać będzie niewspółmiernie dużego wysiłku.

Wskazane wyżej obowiązki wydawcy, będącego administratorem danych, powstają z reguły na etapie pozyskiwania danych lub ich przetwarzania. Są jednak i takie, których spełnienie powinno nastąpić już na etapie projektowania, co można poniekąd potraktować również jako okazję do zapewnienia racjonalnej organizacji procesów przetwarzania danych i jednocześnie uporządkowania poszczególnych aspektów związanych z przetwarzaniem danych pod kątem RODO. Środki techniczne i organizacyjne służące zapewnieniu zgodności przetwarzania z RODO powinny być wprowadzane przy uwzględnieniu charakteru, zakresu, kontekstu i celów przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych.

W ramach analizy tego ryzyka należy wskazać, jakie zagrożenia rodzi przetwarzanie przez wydawcę oznaczonych danych oraz prawdopodobieństwo wystąpienia określonych negatywnych skutków dla osoby fizycznej w związku z przetwarzaniem jej danych osobowych. Efektem przeprowadzonej operacji winno być stwierdzenie istnienia ryzyka albo wysokiego ryzyka naruszeń*.

Oprócz tego, jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, wydawca powinien w ramach przedsiębranych środków techniczno-organizacyjnych wdrożyć stosowną politykę ochrony danych. Oczywiście, wszelkie środki winny być wprowadzane z uwzględnieniem kontekstu, celu, charakteru i zakresu przetwarzania danych osobowych. Przykładowo, nie będzie konieczne wdrożenie zaawansowanych systemów zabezpieczeń komputerowych, jeżeli wydawca przetwarza dane jedynie w formie papierowej, albo odwrotnie. Polityka ochrony danych winna stanowić podstawowe źródło wiedzy co do obchodzenia się z danymi osobowymi u danego administratora, także u wydawcy. Analizując jednak problematykę obligatoryjności wprowadzenia polityki ochrony danych osobowych, należy odwołać się do zmiennych, które założył unijny prawodawca. Przede wszystkim odwołuje się on w tym zakresie do proporcjonalności w stosunku do czynności przetwarzania, co oznacza nakreślenie nieostrego i uznaniowego kryterium. Jak z reguły w tego typu sytuacjach bywa, na tym tle pojawią się rozbieżne interpretacje przesłanki proporcjonalności i może zdarzyć się, że zdanie wydawcy, który jako administrator stwierdzi brak potrzeby wprowadzania polityki ochrony danych osobowych, nie będzie pokrywało się z opinią przeprowadzających kontrolę przedstawicieli organu nadzorczego. Warto jednak zauważyć, że sporządzenie polityki ochrony danych może być korzystne z dwóch powodów. Po pierwsze, politykę ochrony danych można będzie uznać za zbiór zasad dotyczących postępowania z danymi osobowymi u oznaczonego administratora, który pozostanie aktualny pomimo nawet wymiany kadr. Po drugie, wdrożenie polityki ochrony danych może służyć wykazywaniu wobec organu nadzorczego spełniania określonych wymogów w zakresie zgodności przetwarzania danych osobowych z RODO, w tym w szczególności wdrożenia odpowiednich środków techniczno-organizacyjnych, o których ogólnie stanowi art. 24 ust. 1 RODO.

Unijny ustawodawca postanowił zrezygnować z obowiązku prowadzenia centralnego rejestru zbiorów danych. Jednak zamiast tego obciążył podmioty przetwarzające dane osobowe powinnością sporządzania rejestrów czynności przetwarzania, które powinny być regularnie aktualizowane.

Nie mniej istotna jest konieczność odpowiedniego uregulowania stosunków z podmiotami, które będą przetwarzały dane osobowe w imieniu wydawcy, czyli podmiotami przetwarzającymi (tzw. procesorami). Zgodnie z przepisami RODO, najbezpieczniej takiego powierzenia dokonać w drodze umowy powierzenia przetwarzania danych osobowych lub innego instrumentu prawnego, przy zachowaniu formy pisemnej (w tym także formy elektronicznej). Najprostszym przykładem procesora, który wystąpi w relacji z wydawcą, będzie firma kurierska. Firmie tej powierza się dane osobowe w celu prawidłowego wykonania zawartej z osobą umowy (np. dostarczenie zaprenumerowanego czasopisma). Jednakże, administrator powinien powierzać dane takim tylko podmiotom, które dają gwarancję wdrożenia adekwatnych środków technicznych i organizacyjnych.

Dla celów skutecznej realizacji uprawnień organów nadzorczych, unijny prawodawca zdecydował się zobowiązać administratorów do współpracy z organem nadzorczym. Niedostosowanie się do tego wymogu zagrożone jest sankcją w postaci kary pieniężnej w wysokości do 10 milionów euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Wymieniona kara odnosi się zresztą również do innych obowiązków administratora lub procesora, przewidzianych w art. 8, art. 11, art. 25 – 39 oraz art. 42 i 43 RODO.

Zgodnie z art. 35 RODO, jeżeli przetwarzanie, przy uwzględnieniu jego charakteru, zakresu, kontekstu i celów, może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator dokonuje oceny skutków planowanych operacji przetwarzana dla ochrony danych osobowych. Konieczność wykonania oceny stanowi emanację ustanowionego w rozporządzeniu podejścia opartego na ryzyku (risk based approach). Należy podkreślić, że obowiązek ten ma charakter uprzedni względem rozpoczęcia przetwarzania danych. W ramach oceny skutków dla ochrony danych dodatkowo istnieje konieczność konsultacji z inspektorem ochrony danych, o ile został on wyznaczony.

Regulacje RODO służą przede wszystkim ochronie danych osób fizycznych. Jednak nawet pomimo zastosowania najbardziej precyzyjnych i skutecznych zabezpieczeń, możliwe jest powstanie naruszeń, chociażby na skutek ingerencji podmiotu trzeciego. Niezależnie od zadośćuczynienia lub uchybienia obowiązkowi adekwatnego zabezpieczenia przetwarzanych danych, administrator danych obciążony jest również obowiązkiem notyfikacyjnym. Jego realizacja sprowadza się przede wszystkim do zgłoszenia naruszenia ochrony danych organowi nadzorczemu. Zgłoszenie takie winno nastąpić bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Opóźnienie wymaga złożenia na ręce organu nadzorczego stosownego uzasadnienia.

Warto wskazać, że stwierdzenie, iż naruszenie może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, skutkuje obowiązkiem zawiadomienia o naruszeniu osoby, której dane dotyczą. Zawiadomienie takie winno być dokonane bez zbędnej zwłoki.

RODO konstruuje trzy oddzielne przesłanki, których spełnienie skutkuje obligatoryjnością powołania inspektora ochrony danych (IOD). Wydaje się, że w kontekście przetwarzania danych przez wydawców znaczenie może mieć jedynie powód wskazany w art. 37 ust. 1 lit. b RODO, zgodnie z którym wymaga się powołania IOD zawsze, gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. W tym kontekście trudności interpretacyjnych nastręczają przede wszystkim pojęcia „główna działalność” oraz „duża skala” monitorowania. Jeśli chodzi o pierwsze z nich, to w doktrynie wskazuje się, że za główną działalność uznaje się taką, która nie jest działalnością poboczną. Ponadto, główna działalność to taka, „na którą składają się operacje przetwarzania danych osobowych o charakterze niezbędnym dla osiągnięcia celów administratora (…)”*.

Pojęcie dużej skali zostało natomiast przybliżone przez samego prawodawcę unijnego w motywie 91 RODO. W świetle tego, operacje przetwarzania o dużej skali, to takie „które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko, na przykład (ze względu na swój szczególny charakter) gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia”.

Przechodząc do przykładu 2 – studenta zamawiającego prenumeratę czasopisma przy użyciu łącza internetowego – zwraca się uwagę, że przepisy rozporządzenia e-Privacy znajdą zastosowanie wyłącznie w odniesieniu do tych danych osoby, które pochodzą z łączności elektronicznej prowadzonej w związku ze świadczeniem usług łączności elektronicznej i korzystaniem z tych usług.

Generalna zasada, wyrażona w art. 5 rozporządzenia e-Privacy, stanowi, że dane pochodzące z łączności elektronicznej są poufne. Wykonywanie wymienionych w powołanym przepisie czynności w stosunku do tych danych – w tym także ich przetwarzanie – jest zakazane, chyba że rozporządzenie e-Privacy stanowi inaczej. Zakaz powyższy odnosi się jednak tylko do osób, które nie są użytkownikami końcowymi, a więc w szczególności do dostawców sieci i usług łączności elektronicznej.

Jeżeli natomiast chodzi o wykorzystanie przez wydawcę danych przekazanych przy użyciu usług łączności elektronicznej przez studenta, to odmienności w stosunku do RODO pojawiają się w zakresie przesyłania przy ich użyciu komunikatów do celów marketingu bezpośredniego. Można sobie wyobrazić, że student, zamawiając prenumeratę, przekazał wydawcy następujące dane: imię, nazwisko, adres zamieszkania, adres e-mail i numer telefonu. Co do zasady istnieje obowiązek uzyskania zgody na przetwarzanie tych danych do celów marketingu bezpośredniego, jednak i tym razem reguła doznaje pewnego wyjątku. Otóż w razie reklamowania własnych produktów podobnych do tych, które nabył klient, osoba fizyczna lub prawna może korzystać z adresu e-mail uzyskanego w związku ze sprzedażą produktów lub usług.

Warunkiem jednak możliwości skorzystania z danych dotyczących poczty elektronicznej jest zagwarantowanie osobie, której dane dotyczą, jasnej i wyraźnej możliwości nieodpłatnego i łatwego wyrażenia sprzeciwu wobec dalszego ich przetwarzania.

W pozostałym zakresie, w stosunkach studenta i wydawcy, zastosowanie znajdą przepisy RODO.

Wykorzystuję pliki cookies jako wydawca. Czy po wejściu RODO i e-Privacy zmieni się polityka ich wykorzystywania? Jakie zmiany mnie czekają?

Przede wszystkim należy wskazać, że zmiany wystąpią w aspekcie organizacyjnym uzyskiwania zgód na instalację cookies. Projektowane modyfikacje zakładają brak obowiązku uzyskania zgody w sytuacji, gdy nie wiąże się to z „żadną ingerencją w prywatność lub ingerencja ta jest bardzo ograniczona”*. Jako przykład wskazuje się przypadek, gdy przechowywanie lub dostęp są absolutnie niezbędne i proporcjonalne w prawnie uzasadnionym celu umożliwienia korzystania z konkretnej usługi wprost żądanej przez użytkownika końcowego. Wymóg uzyskania zgody nie będzie występował również w wypadku korzystania z cookies dla celów pomiarowych, w tym w szczególności do pomiaru ruchu na stronie internetowej.

W odniesieniu do typowych rodzajów ciasteczek zasugerowano inne rozwiązanie. Mianowicie, dostawców przeglądarek internetowych zobowiązuje się do skonfigurowania ich w taki sposób, aby użytkownicy końcowi mogli sami ustawić stopień ochrony swojej prywatności, poprzez wybór opcji dotyczącej poziomu tolerancji dla akceptowania cookies. Według projektodawców taka konfiguracja miałaby być typowym elementem ustawień prywatności przy korzystaniu z przeglądarki internetowej.

Można zatem w skrócie powiedzieć, że zgoda na instalowanie cookies będzie wyrażana (lub nie) do pewnego stopnia a priori, chociaż możliwa będzie później zmiana tej decyzji lub jej modyfikacja względem konkretnych stron internetowych.

Zarówno więc w odniesieniu do wydawców, jak i innych podmiotów korzystających z dobrodziejstw ciasteczek, zmiany nie wiążą się z nałożeniem bezpośrednio dodatkowych obowiązków na nich samych. Prawodawca raczej skoncentrował się na nadaniu przeglądarkom internetowym, jak sam zresztą konstatuje w motywie 22 rozporządzenia e-Privacy, charakteru blokad, „które umożliwiają użytkownikom końcowym zapobieganie dostępowi do informacji lub przechowywaniu informacji z ich urządzenia końcowego (na przykład smartfona, tabletu lub komputera)”.

Jako wydawca prowadzę bazę adresów email do wysyłki newslettera. Co się zmieni i co będzie mnie obowiązywać po wejściu w życie RODO i e-Privacy?

Newsletter stanowi modelowy przykład działań podejmowanych w ramach marketingu bezpośredniego. Gromadzenie zaś danych do jego potrzeb stanowi typową czynność ich przetwarzania.

Dane osobowe w rozumieniu RODO mogą być przetwarzane na podstawie uzasadnionego interesu administratora, a zatem również wydawcy. „Za działanie wykonywane w prawnie uzasadnionym interesie może być uznane przetwarzanie danych osobowych do celów marketingu bezpośredniego”*. RODO nie stawia zatem przeszkód przetwarzaniu danych w takich okolicznościach, przeciwnie – nadaje im charakter zgodności z prawem. Konstruuje jednak w tym zakresie również pewien środek obrony po stronie osoby, której dane są przetwarzane. Tym środkiem jest sprzeciw, o którym była już mowa wyżej.

W wypadku przetwarzania danych osobowych do celów marketingowych aktualny pozostaje obowiązek informacyjny obciążający wydawcę, będącego administratorem, jak również inne powinności nałożone na niego z mocy RODO. Pamiętać należy, że podmiotami chronionymi na mocy przepisów RODO, są wyłącznie osoby fizyczne.

Jeżeli natomiast chodzi o e-Privacy, to zmienia ono zasady dotyczące przetwarzania danych do celu marketingu bezpośredniego w odniesieniu do danych pochodzących z łączności elektronicznej.

Co do zasady pojawia się bowiem wymóg uzyskania zgody przez osobę fizyczną lub prawną korzystającą z usług łączności w celu wysyłania komunikatów marketingowych użytkownikom końcowym. Nie można zapominać, że ochronie pod reżimem e-Privacy podlegają zarówno osoby fizyczne, jak i osoby prawne.

Tymczasem swoistą furtkę pozostawia się w zakresie otrzymanych od klienta w związku ze sprzedażą danych dotyczących poczty elektronicznej. E-Privacy pozwala na wykorzystanie adresu e-mail takiej osoby do celów, z tym jednak zastrzeżeniem, że musi chodzić o marketing bezpośredni własnych produktów i to podobnych do uprzednio nabytego przez tę osobę. Ponadto, warunkiem użycia tych danych jest stworzenie klientom jasnej i wyraźnej możliwości wyrażenia w łatwy sposób sprzeciwu wobec przetwarzania ich danych w opisywanym tutaj celu. Podkreśla się przy tym, że prawo takie przysługuje klientom w czasie gromadzenia danych i za każdym razem, gdy wysyłana jest wiadomość.

Osoby, które wyraziły zgodę na przetwarzanie ich danych do celów marketingowych, powinny mieć możliwość łatwego wycofania zgody w dowolnym momencie.

Jako wydawca wysyłam również newslettery reklamowe do swojej bazy. Co zmienia w tej kwestii RODO i e-Privacy?

Wykorzystanie danych osobowych w ramach newslettera, podobnie jak ich gromadzenie, kwalifikuje się po prostu do zbiorczej kategorii, zwanej przetwarzaniem danych. Stąd też w odniesieniu do wysyłania komunikatów zastosowanie znajdą te same reguły.

Czy nowe przepisy dotyczą także prowadzenia fanpage’a i jego fanów w mediach społecznościowych i jako wydawca powinienem się również przygotować na zmiany w tym obszarze?

Chociaż może się wydawać, że w sytuacji prowadzenia fanpage’a w mediach społecznościowych, administratorem zamieszczonych tam danych jest wyłącznie podmiot prowadzący dane medium, to jednak sytuacja w istocie nie jest tak prosta.

Przede wszystkim, w celu ustalenia, czy wydawca prowadzący fanpage będzie obciążony w odniesieniu do pozyskiwanych tam danych licznymi obowiązkami, które wynikają z nowo przyjmowanych przepisów, należy ustalić, czy przysługuje mu status ich administratora.

Zgodnie z art. 4 pkt 7 RODO administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Powyższe pozwala stwierdzić, że kluczowe jest ustalenie, czy wydawca prowadzący fanpage samodzielnie ustala cele i sposoby przetwarzania pozyskiwanych w ramach fanpage’a danych. Jak można wnioskować z praktycznego funkcjonowania tego typu serwisów, nie ma przeszkód, aby osoba prowadząca fanpage tworzyła zbiory na podstawie otrzymywanych przy jego pomocy danych. Następny etap, czyli określenie celów, do których użyte będą te dane, również pozostawiony jest swobodnemu uznaniu tego podmiotu. Wydawca mógłby przecież nierzadko w oparciu o dane udostępniane przez „lajkujących” fanpage ustalić ich adres email i procedować przy jego użyciu chociażby w zakresie dostarczania tym osobom informacji handlowych. Trzecia przesłanka, która powinna być spełniona powinna być kumulatywnie z pozostałymi, aby podmiot mógł zostać uznany za administratora pozyskanych danych, dotyczy samodzielności ustalania sposobu przetwarzania danych. Nie wydaje się, aby ktokolwiek mógł przeszkodzić w wykonywaniu tej prerogatywy podmiotowi prowadzącemu fanpage.

Powyższe rozważania pozwalają twierdzić, że w odniesieniu do danych pozyskiwanych w ramach funkcjonowania profilu fanowskiego w mediach społecznościowych, prowadzącemu można będzie przypisać status administratora. Wiąże się to z koniecznością spełnienia wymogów przewidywanych przez RODO w odniesieniu do otrzymanych i przetwarzanych danych.

Czy nowe zmiany będą dotyczyć także samych redaktorów i ich własnych baz kontaktów?

Zmiany dotyczyć będą także redaktorów i ich własnych kontaktów, chyba że przetwarzają oni dane w ramach czynności o czysto osobistym lub domowym charakterze albo wyłączenie stosowania nowych przepisów wynika z innych względów wymienionych w art. 2 RODO. Administratorem danych osobowych może być bowiem zarówno osoba fizyczna, jak osoba prawna.

W przypadku danych pochodzących z łączności elektronicznej, katalog przesłanek wyłączających stosowanie rozporządzenia e-Privacy znajduje się w art. 2 tego rozporządzenia. Chodzi tutaj zatem

w szczególności o fakt niestosowania e-Privacy do działań nieobjętych zakresem prawa Unii, usług łączności elektronicznej, które nie są dostępne publicznie, ale także w razie prowadzenia przez uprawnione organy stosownych działań, zmierzających m.in. do zapobiegania przestępczości lub jej ścigania.

Zakończenie

Pamiętając o konieczności rychłego wdrożenia RODO i e-Privacy w zakresie dostosowanym do prowadzonej przez siebie działalności, wydawcy powinni mieć na uwadze również akty prawne, których uchwalenie będzie możliwe w ramach realizacji upoważnień zawartych w omawianych tutaj rozporządzeniach. Trudno mieć wątpliwości co do tego, że rodzimy ustawodawca zechce wykorzystać przekazane mu kompetencje chociaż w części, a warto podkreślić, że jego potencjalna działalność zmierzać ma z reguły w stronę uszczelnienia systemu ochrony danych i jego dostosowania do realiów panujących w państwie.

*P. Litwiński (red.), P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Legalis 2018, komentarz do art. 17.
*D. Lubasz, [w:] E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Lex 2018, komentarz do art. 24.
*E. Bielak-Jomaa, [w:] E. Bielak Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie…, Lex 2018,komentarz do art. 37.
*Motyw 21 rozporządzenia e-Privacy.
*Motyw 47 RODO.