Katalog danych przetwarzanych w celu świadczenia usług drogą elektroniczną sprzeczny z zasadą minimalizacji z RODO?
W dniu 3 kwietnia 2019 r. Prezydent RP podpisał tzw. ustawę wdrażającą RODO, tzn. ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO. Wśród kilku kwestii, które w ustawie wdrażającej uregulowano w sposób kontrowersyjny, znajduje się wymóg wyrażenia zgody na profilowanie oraz katalog danych osobowych, które mogą być przetwarzane przez podmioty świadczące usługi online. Katalog ten wskazany jest w art. 18 ust. 1 ustawy o świadczeniu usług drogą elektroniczną („UŚDE”). Pierwotny projekt ustawy wdrażającej RODO przewidywał skreślenie art. 18 ust. 1 UŚDE, jednak w toku prac nad ustawą zdecydowano się na pozostawienie katalogu. Takie rozwiązania mogą okazać się sprzeczne z RODO.
Czy w każdym przypadku można przetwarzać pełen katalog danych z art. 18 UŚDE?
Zgodnie z art. 18 ust. 1 UŚDE podmiot świadczący usługi drogą elektroniczną może przetwarzać szereg określonych danych osobowych niezbędnych do nawiązania, ukształtowania treści, zmiany lub rozwiązania umowy, m.in. PESEL, adres zameldowania i adres do korespondencji. Z kolei art. 5 ust. 1 lit. c) RODO stanowi, że dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego co niezbędne do celów, w których są przetwarzane. Jest to tzw. zasada minimalizacji, zgodnie z którą to do administratora należy każdorazowo decyzja co do tego, jakie dane powinny być przetwarzane w konkretnym przypadku. Wskazywanie katalogu danych, które mogą być przetwarzane, wprost w UŚDE, wydaje się więc sprzeczne z ww. zasadą i może prowadzić do przetwarzania danych osobowych na wyrost, z powoływaniem się na UŚDE jako na przepis zwalniający administratora z konieczności dokonywania oceny, jakie dane są niezbędne do przetwarzania w danym przypadku.
Aby uniknąć wątpliwości w razie kontroli przetwarzania danych osobowych, optymalnym rozwiązaniem wydaje się stosowanie zasady minimalizacji danych w każdym przypadku świadczenia usług online i nie przetwarzanie np. numeru PESEL, jeżeli nie jest to uzasadnione charakterem prowadzonej działalności.
Profilowanie na podstawie zgody także problematyczne
Zgodnie z nowym art. 18 ust. 4 UŚDE (wprowadzonym przez ustawę wdrażającą) usługodawca może przetwarzać, za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usług drogą elektroniczną. W praktyce oznacza to, że podmioty chcące dokonywać profilowania np. w celu dopasowywania reklam i badania rynku muszą uzyskać zgodę klienta. Problem w tym, że jest to uregulowanie bardziej restrykcyjne niż to wynika z RODO, które pozwala na profilowanie także na innych podstawach niż zgoda osoby, której dane dotyczą, np. na podstawie uzasadnionego interesu administratora, pod warunkiem jednak, że takie profilowanie nie prowadzi do podejmowania zautomatyzowanych decyzji. Na gruncie nowego art. 18 ust. 4 UŚDE nie ma jednak znaczenia, czy na podstawie profilowania będą podejmowane zautomatyzowane decyzje – zgoda konieczna jest zawsze. Co więcej, UODO uważa, że zgoda musi być wyraźna.
Podpisana ustawa ma dwa poważne skutki. Po pierwsze podmioty z branży on-line, które wdrażały zmiany w ochronie przetwarzanych przez nie danych osobowych z założeniem, że nie zawsze zgoda na profilowanie jest wymagana, będą musiały zmienić to podejście, co może generować dla nich poważne koszty związane z ponowną analizą zgodności procedur wewnętrznych z obowiązującym prawem. Po drugie, usługobiorcy usług świadczonych drogą elektroniczną mogą spodziewać się zalewu wiadomości e-mail i wyskakujących okienek na stronach internetowych z prośbami o wyrażenie zgody na profilowanie, co niewątpliwie nie spotka się z ich entuzjazmem.
Katarzyna Szczudlik